AVG wetgeving en e-mailmarketing in 2018

De Algemene Verordening Gegevensbescherming (AVG) zal op 25 mei 2018 definitief in werking treden. Dit is wat je moet weten.

Disclaimer: De inhoud van deze pagina bevat geen juridisch advies. Deze pagina is alleen bedoeld voor informatieve doeleinden. We raden je ten zeerste aan om onafhankelijk juridisch advies in te winnen om te begrijpen hoe jouw organisatie dient te voldoen aan de AVG.

Inwerkingtreding Algemene Verordening Gegevensbescherming

  • Op 14 april 2016 heeft het Europees Parlement de Algemene Verordening Gegevensbescherming, de ‘AVG’, aangenomen. In het Engels wordt deze wet de General Data Protection Regulation, ‘GDPR’, genoemd. Vanaf 25 mei 2018 is de AVG van toepassing in de gehele Europese Unie.
  • Met behulp van dit artikel geeft MailBlue u een update over deze wetgeving. Ook vind je terug wat MailBlue en ActiveCampaign in actie hebben gezet om aan de wetgeving te voldoen. Daarnaast geven we u tips wat u zelf als ondernemer kan doen om aan de wetgeving te voldoen.
  • Zorg er in ieder geval voor dat uw organisatie voldoet aan deze wetgeving. Wanneer u namelijk niet aan de GDPR wet voldoet, kunt u een boete ontvangen van maximaal 20 miljoen euro (of 4 procent van uw totale wereldwijde omzet).

Wat houdt de AVG in?

Vergroting bescherming persoonsgegevens

  • De AVG is een Europese verordening met als doel de bescherming van de verwerking van persoonsgegevens van alle betrokkenen in de Europese Unie te vergroten.

Voor wie is de AVG van toepassing?

  • De AVG is van toepassing op elke organisatie in de Europese Unie die persoonsgegevens verwerkt. Ook is de AVG van toepassing op elke organisatie die persoonsgegevens verwerkt van Europese betrokkenen, ongeacht of de organisatie in de Europese Unie gevestigd is of niet. Als persoonsgegevens (dus ook e-mailadressen) worden verzameld, beheerd of geanalyseerd: dan is de AVG waarschijnlijk van invloed op uw organisatie.

OPMERKING: Dit gedeelte behandelt veel van de wijzigingen van de AVG, maar bevat geen volledige opsomming. We raden u sterk aan om onafhankelijk advies in te winnen om te bepalen in hoeverre de AVG van invloed is op uw bedrijf.

Veranderingen door AVG

  • De AVG bevat een reeks aan vereisten met betrekking tot toestemming, rechten van de betrokkenen en gegevensverwerking. Het onderstaande overzicht toont een samenvatting van de meest belangrijke vereisten van de AVG.

Toestemming van betrokkene

  • Toestemming, oorspronkelijk gedefinieerd in artikel 4, wordt in de gehele tekst van de AVG behandeld. Over het algemeen stelt de AVG een veel hogere standaard van het begrip ‘toestemming’ in vergelijking tot de databeschermingsrichtlijn.
  • Op grond van artikel 12 AVG moet toestemming zowel geïnformeerd als expliciet zijn. Organisaties hebben hierbij de verplichting om informatie over de verwerking begrijpelijk te presenteren. Het dient in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm duidelijk en ondubbelzinnig geformuleerd te worden.
  • Wanneer gegevensverwerking is gebaseerd op toestemming, dan hebben organisaties op voet vanart. 7 AVG expliciete toestemming van individuen nodig en moeten zij ook kunnen aantonen dat individuen toestemming hebben gegeven. Wanneer organisaties persoonsgegevens verzamelen, dan zijn zij verplicht bepaalde informatie bekend te maken conform artikel 13 AVG.

Rechten van de betrokkene

  • Artikelen 12 tot en met 23 AVG bevatten de rechten van de betrokkene. Over het algemeen breidt de AVG deze rechten uit als het gaat om persoonsgegevens.

Recht van inzage

  • Op grond van artikel 15 AVG is het recht van inzage het recht van de betrokkene om informatie op te vragen over de manier waarop zijn gegevens worden gebruikt, alsmede een kopie van de gegevens zelf te verkrijgen.

Recht op rectificatie

  • Volgens artikel 16 AVG mogen personen contact opnemen met een verwerkingsverantwoordelijke om een rectificatie van onjuiste persoonsgegevens te verkrijgen. 

Recht op wissen van gegevens

  • Volgens artikel 17 kunnen betrokkenen het wissen van persoonsgegevens verzoeken onder bepaalde specifieke omstandigheden. Deze omstandigheden omvatten, maar zijn niet gelimiteerd tot:
    • Indien de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt
    • Op het moment dat de betrokkene zijn toestemming intrekt
    • Wanneer de persoonsgegevens onrechtmatig zijn verwerkt

Recht op beperking van de verwerking

  • Volgens artikel 18 hebben betrokkenen het recht om in bepaalde omstandigheden een beperking van de verwerking te verkrijgen.

Recht op overdraagbaarheid van gegevens

  • Betrokkenen hebben overeenkomstig artikel 20 het recht de hem betreffende persoonsgegevens te verkrijgen en het recht om die gegevens ergens anders te gebruiken.

Recht op bezwaar

  • Artikel 21 bepaalt dat betrokkenen in bepaalde gevallen het recht hebben om bezwaar te maken tegen de verwerking van de hem betreffende persoonsgegevens.

Gegevensverwerking

  • De AVG specificeert een verscheidenheid aan vereisten met betrekking tot de verwerking van persoonsgegevens. In deze sectie worden enkele vereisten van verwerking van persoonsgegevens onderzocht en worden links naar relevante secties van de tekst van de AVG weergegeven.

Verwerkingsverantwoordelijke en verwerker

  • Een verwerkingsverantwoordelijke is de organisatie die bepaalt hoe persoonsgegevens worden gebruikt. Een verwerker is de organisatie die persoonsgegevens namens en in opdracht van de verwerkingsverantwoordelijke verwerkt. De specifieke verantwoordelijkheden van elke partij zijn uiteengezet in de Artikelen 24-43.
  • In de meeste gevallen is ActiveCampaign een verwerker en zijn de gebruikers verwerkingsverantwoordelijken. Let op dat het mogelijk is dat één organisatie zowel verwerker als verwerkingsverantwoordelijke is.

Overeenkomsten gegevensverwerking

  • Artikel 28 stelt dat de verwerkingsverantwoordelijke een duidelijke gedocumenteerde overeenkomst met de verwerker dient te hebben die de reikwijdte van de verwerking definieert. Deze overeenkomsten worden “in schriftelijke vorm, waaronder elektronische vorm, opgesteld”. Vereisten voor verwerkingsovereenkomsten zijn te vinden in Artikel 28.

Functionarissen voor gegevensbescherming

  • Ingevolge artikel 37 dienen vele organisaties een functionaris voor gegevensbescherming benoemen. De specifieke verantwoordelijkheden van een functionaris voor gegevensbescherming worden opgesomd in artikel 39. In het algemeen is de functionaris voor gegevensbescherming verantwoordelijk voor de naleving van de AVG.

Doorgifte van persoonsgegevens aan derde landen of internationale organisaties

  • Artikelen 44-50 van de AVG omvatten specifieke vereisten over de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. De AVG vereist niet dat persoonsgegevens van EU burgers uitsluitend in de EU blijven, maar de AVG stelt wel enkele vereisten voor een dergelijke doorgifte.

Raadpleeg een juridisch professional

DISCLAIMER: De inhoud van deze pagina is informatief en is expliciet geen advies aan u als lezer. Om de effecten van de AVG op uw organisatie volledig te begrijpen, raden wij u daarom ten zeerste aan juridisch advies in te winnen bij een juridische professional.  MailBlue B.V. aanvaardt geen enkele aansprakelijkheid voortvloeiende uit het raadplegen en gebruik van dit specifieke artikel. Het gebruik van dit artikel is geheel voor rekening en risico van gebruiker(s).

Wij zullen AVG-gerelateerde wijzigingen/updates op voortschrijdende basis via onze website aankondigen.

Goed voorbereid op AVG wetgeving

Stel een opt-in bevestiging in

  • Het inschakelen van een dubbele opt-in is een goede start die u kan helpen om te voldoen aan het vereiste van de ‘ondubbelzinnige toestemming’ van de AVG. Bij opt-in heeft degene van een e-mailadres expliciet toestemming gegeven voor het ontvangen van e-mail van een bepaalde mailinglist. Wanneer een dubbele opt-in is ingeschakeld zullen contactpersonen hun e-mailadres moeten bevestigen voordat zij verdere berichten ontvangen. Hier lees je hoe je een dubbele opt-in kunt inschakelen (het gebruiken van een dubbele opt-in is niet verplicht, maar wordt wel aangeraden).

Weet hoe u contactpersonen moet bewerken en verwijderen

  • Onder de AVG hebben contactpersonen het recht je te verzoeken hun persoonsgegevens te wijzigen of te verwijderen. Als je vertrouwd bent met het verwerken en verwijderen van contactgegevens, dan kun je aan dergelijke verzoeken voldoen. Hier leer je hoe contactpersonen kan bewerken in MailBlue.

Weet hoe u contactgegevens exporteert

  • Het recht op overdraagbaarheid van gegevens en het recht op toegang stelt contactpersonen in staat om hun eigen persoonsgegevens op te vragen. Het exporteren van gegevens kan je helpen om aan dit soort verzoeken te voldoen. Hier leer je hoe je contactgegevens kunt exporteren.

Gebruikersverklaringen toevoegen aan opt-in formulieren

  • De AVG vereist daarnaast dat je personen vertelt hoe je hun persoonsgegevens zult gebruiken. Ook dien je duidelijk te zijn over wanneer je deze gegevens verzamelt. Dit maakt tevens deel uit van de nieuwe vereisten voor een ondubbelzinnige toestemming.Hoewel de exacte verklaringen die moeten worden opgenomen afhangen van het feit hoe je de gegevens gebruikt, kun je elke gewenste instructie opnemen door een HTML-blok of tekstblok in de MailBlue-formulieren te gebruiken. Bovendien kun je aangepaste velden gebruiken om een extra selectievakje toe te voegen dat expliciete toestemming aangeeft. Hier leer je hoe je aangepaste velden kunt toevoegen.

Verkrijg bewijs van toestemming bestaande contactpersonen

  • De AVG vereist dat je kunt bewijzen dat je contacten expliciete toestemming hebben gegeven, die bovendien ondubbelzinnige toestemming was. Dit is ook van toepassing op contactpersonen van wie je al persoonlijke informatie verzameld hebt. Als je op dit moment geen double opt-in toestemming van contactpersonen kunt aantonen, moet je mogelijk contact opnemen met bestaande contactpersonen voordat de AVG in werking treedt. Volg dit stappenplan om op de juiste manier via een campagne toestemming aan je mailinglijst te vragen.

Verwijder contactpersonen en lijsten die u niet langer nodig hebt

  • De AVG is bedoeld om de privacy van betrokkenen te beschermen, waaronder het minimaliseren van risico dat gegevens kunnen worden misbruikt. Het kan zinvol zijn om niet-geabonneerde contactpersonen en lijsten die u niet langer gebruikt te verwijderen om risico’s te beperken.

Vraag, gebruik en bewaar enkel noodzakelijke gegevens

  • Vaak worden er nog onnodige gegevens gevraagd door bedrijven. U wilt enkel de gegevens vragen en opslaan die u nodig hebt voor het doel waar u oorspronkelijk de gegevens voor hebt willen verzamelen.
  • Bij een webshop heeft u bijvoorbeeld wel de adresgegevens nodig om een bestelling te leveren maar diezelfde gegevens heb u niet nodig om iemand een e-mail nieuwsbrief te sturen. Wanneer de gegevens niet meer noodzakelijk zijn, dan kun u deze gegevens ook weer verwijderen. Leg daarom ook vast hoe lang u de gevraagde gegevens gaat bewaren.

Plaats een privacy policy op uw website

  • Om e-mailadressen te verzamelen is het belangrijk om een privacy policy op uw website te hebben staan. In deze privacy policy vermeld u hoe de gegevens worden verwerkt en waarvoor deze worden gebruikt. In de privacy policy moeten o.a. de volgende gegevens staan:
    • De identiteit en de contactgegevens van degene die verantwoordelijk is voor de verwerking van de gegevens en, in voorkomend geval, van diens vertegenwoordiger in de EU;
    • De contactgegevens van de FG als u die heeft;
    • De doeleinden en rechtsgrond van de verwerking, en als u zich beroept op een gerechtvaardigd belang: op welk belang u zich beroept;
    • De (categorieën van) ontvangers van de persoonsgegevens;
    • Of u van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie en op welke juridische grond;
    • De bewaartermijn van de gegevens;
    • De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering. 
    • Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken;
    • Dat de betrokkene een klacht kan indienen bij de relevante privacy toezichthouder;
    • Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt;
    • Of u gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe u besluiten neemt;
    • Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.

(bron: autoriteitpersoonsgegevens.nl)

Raadpleeg een juridisch professional

DISCLAIMER: De inhoud van deze pagina is informatief en is expliciet geen advies aan u als lezer. Om de effecten van de AVG op uw organisatie volledig te begrijpen, raden wij u ten zeerste aan juridisch advies in te winnen bij een juridische professional. MailBlue B.V. aanvaardt geen enkele aansprakelijkheid voortvloeiende uit het raadplegen en gebruik van dit specifieke artikel. Het gebruik van dit artikel is geheel voor rekening en risico van gebruiker(s).

Wij zullen AVG-gerelateerde wijzigingen/updates op voortschrijdende basis via onze website aankondigen.

De voorbereiding van ActiveCampaign & MailBlue

Nu de AVG op 25 mei 2018 van toepassing is, willen we onze gebruikers ervan verzekeren dat wij volledig zullen voldoen aan de verordening. Om naleving beter te faciliteren implementeert ActiveCampaign updates voor zowel producten als non-producten voordat de AVG van toepassing is. Deze updates zorgen niet alleen voor onze naleving, maar zullen het ook gemakkelijker maken voor onze klanten om hieraan te voldoen. Hieronder staat de lijst met relevante updates die ActiveCampaign gaat maken:

Updates Producten

  • Het verbeteren van de mogelijkheden tot verwijderen van contactpersonen, om te voldoen aan verzoeken met betrekking tot het wissen van gegevens.
  • Verbetering van site tracking, zodat het voldoet aan de vereisten op uw website.
  • Optimaliseren van de dubbele opt-in functie, om te verwijzen naar het vereiste AVG-gerelateerd registratiesysteem.
  • Verwijzen van cookie-naleving voor www.activecampaign.com via website functionaliteit.

Updates Non-Producten

  • Updaten van de Overeenkomst Gegevensverwerking.
  • Creëeren van nieuwe inhoud voor trainingsdoeleinden die betrekking heeft op hoe gebruikers ActiveCampaign / MailBlue kunnen gebruiken om de principes van de AVG na te leven.
  • Updaten van ons Privacy Beleid om wijzingen in verband met de AVG weer te geven.

Hoewel het doel van deze updates is om onze klanten te helpen om de AVG na te leven zonder in te boeten op de bruikbaarheid van het platform, raden wij klanten aan om een juridisch adviseur te raadplegen als zij vragen hebben over hoe de AVG een bedrijf zal beïnvloeden. In de toekomst zal het product worden ontwikkeld met de AVG in gedachten. Dit betekent een nadruk op de flexibiliteit met betrekking tot gegevens.

(Dit artikel is samengesteld door Mailblue in samenwerking met ActiveCampaign en gecontroleerd en gerectificeerd door Precise and Wise Juristen)