ICT / Internet in uw organisatie

Mag ik ook onder de AVG nog een nieuwsbrief aanbieden via onze (bedrijfs)website?

Ja, dat mag mits u zich houdt aan een aantal regels.

  1. Allereerst heeft u toestemming van de betrokkene nodig. Dat mag niet via een reeds aangevinkt “ja, ik wil” vakje. Dit moet via de zogenaamde opt/in methodiek met een open en vrije mogelijkheid tot aanvinken. De toestemming moet heel expliciet en specifiek juist voor deze nieuwsbrief zijn. Als u meerdere nieuwsbrieven heeft, voldoet één bepaald toestemming niet automatisch voor het toezenden van de rest.
  2. Ten tweede dient u ervoor te zorgen dat u alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. U heeft geen adresgegevens nodig voor het verzenden van een online nieuwsbrief en evenmin heeft u bijv. het geslacht van de ontvanger nodig. Vaak kunt u volstaan met de naam van de ontvanger en diens emailadres.
  3. Kortom: verzamel niet meer dan nodig is. Hoe verleidijk het wellicht vanuit marketingdoeleinden ook is om juist zoveel mogelijk te weten te komen over uw (potentiële) klanten. Bij deze regel gaat het overigens sec om het verzamelen, verwerken en gebruiken van informatie van een natuurlijk persoon. Algemene gegevens van een organisatie of instelling zijn geen persoonsgegevens; nadere gegevens van een contactpersoon binnen die organisatie of instelling zijn dat weer wel.
  4. In het kader van het toestemmingsproces moet u uw klant aangeven wat er met de gegevens die u vraagt gaat doen. Voor een nieuwsbrief is dit veelal simpel: u heeft die gegevens nodig om de nieuwsbrief te kunnen verzenden en wellicht kunt u ook aangeven hoe vaak u per jaar van plan bent dat te doen. U kunt e.e.a. ook in uw privacy statement opnemen en in het toestemmingsproces daarnaar verwijzen.
  5. Vergeet vervolgens niet om in elke nieuwsbrief de mogelijkheid op te nemen om eenvoudig uit te kunnen schrijven. Deze mogelijkheid moet u bieden. En het liefste niet in een bijna onleesbare lettergrootte. De AVG verwacht van u volledige transparantie.
  6. Een transparantie die ook tot uitdrukking moet komen in het doel van de nieuwsbrief. Heeft u een commercieel doel dan mag u zich niet verschuilen achter allerlei fraaie mistige verhalen die tot doel hebben uw commerciële insteek juist te verhullen.
  7. U moet volstrekt duidelijk zijn van wie de nieuwsbrief afkomstig is. Door de naam van de nieuwsbrief, uw bedrijfslogo, uw adresgegevens etc. en (zeker niet te vergeten) de wijze waarop men op een eenvoudige wijze met u in contact kan komen.

De nieuwe privacywetgeving heeft dus impact op de nieuwsbrieven aan uw klanten.

Moet ik een privacystatement hebben op bedrijfswebsite?

Een privacy statement is wettelijk verplicht voor elke website die persoonsgegevens van bezoekers gebruikt. U moet in het statement aangeven welke privacygevoelige gegevens u verzamelt en met welk doel. De informatieverstrekking bij het verkrijgen van persoonsgegevens rechtstreeks van de betrokkene is in de AVG specifieker en uitgebreider dan die was in de Wbp.

Een privacy statement moet voor klanten makkelijk te vinden. Als klanten op uw website via een digitaal bestelproces producten kunnen bestellen, dan is sterk aan te raden om het privacy statement (naast uw algemene voorwaarden) een “af te vinken” onderdeel van dit proces te laten zijn.

In uw privacy statement dient u de volgende onderwerpen (in begrijpelijke taal!) op te nemen:

  • uw bedrijfsgegevens;
  • welke gegevens verzameld worden;
  • wat u met de verzamelde gegevens doet;
  • met welk doel (bijv. contact opnemen, producten leveren etc.) u de gegevens nodig heeft;
  • of u voor de verwerking van de persoonsgegevens derde partijen gebruikt (de zgn. bewerkers);
  • hoe lang u de gegevens wilt bewaren;
  • welke cookies u gebruikt (indien van toepassing);
  • op welke wijze u de gegevens beveiligt;
  • waar u de gegevens opslaat (in Ned. of elders?);
  • uitleg over inzage en correctie recht van de opgegeven privacy gegevens en de verwijdering daarvan (het recht om vergeten te worden);
  • contactgegevens in verband met inzage- en correctie recht alsmede het recht om vergeten te worden.

 

Als u al deze onderwerpen in uw privacy statement opneemt dan is uw privacystatement AVG-gereed.

Mogen wij op onze bedrijfswebsite gebruik maken van cookies?

Mogen wij op onze bedrijfswebsite gebruik maken van cookies?

In maart 2015 werd de tot dan toe bestaande cookie wetgeving aangepast. Vanaf die datum geldt als regel voortaan dat men zonder toestemming cookies plaatsen mag mits de cookies de privacy van de bezoeker niet, of slechts een klein beetje, schenden én je dat doet dan slechts dan in het kader van het doel om “informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij”.

 

  • Geen toestemming vereist

Wanneer we dan spreken over cookies die geen of weinig inbreuk op de privacy maken dan kunnen we een onderscheid maken tussen:

  • analytische cookies en
  • functionele cookies:

 

  • Altijd toestemming vereist!

Websites die inbreuk maken op de privacy moeten altijd toestemming aan de gebruiker vragen om cookies te plaatsen.

Te denken is m.n. aan tracking software. Met deze software wordt het surfgedrag van een gebruiker gevolgd over één of meerdere websites en apps.

Weg met de pop-up vensters?

Ja: in het geval er geen cookies worden gebruikt waarvoor toestemming nodig is kunnen de pop-up schermen achterwege blijven.

Nee: zoals hierboven uitgelegd, op het moment dat een cookie gebruikt wordt voor trackingdoeleinden, dan blijft het verplicht om de bezoeker vooraf om toestemming te vragen. Dit cookiegebruik valt namelijk buiten het doel van het verzamelen van ‘informatie over kwaliteit of effectiviteit’ en deze cookies maken bovendien een meer dan geringe inbreuk op de privacy. Omdat met name deze vorm van cookiegebruik voor een hoop web-gedreven aanbieders interessant is, betekent dit dat we nog niet van pop-up vensters en banners zijn verlost.

Let op: Ook in het geval slechts “toegestane” cookies worden geplaatst betekent dat nog niet dat de bezoeker over het gebruik van dat soort cookies niet geïnformeerd hoeft te worden. Omdat in de Telecommunicatiewet wordt verwezen naar de Wbp zijn de betreffende bepalingen daaruit ook relevant voor de cookiewetgeving.

Zie voor een meer uitgebreide toelichting over dit onderwerp het artikel: Een Cookie erbij?