In mei 2018 ging de wet Algemene Verordening Gegevensbescherming in. Deze wet houdt in dat data van gebruikers op het internet niet meer zomaar verspreid mag worden.
Over welke data gaat het?
Als bedrijf beschik je al gauw over een heleboel informatie over je klanten en je leads. Denk bijvoorbeeld aan telefoonnummers, emailadressen, adresgegevens en geboortedata. Maar ook voorkeuren op websites, IP-adressen en identificatienummers van apparaten waren te achterhalen en te verkopen aan derden.
Er kunnen drie soorten data onderscheiden worden:
- Anonieme data: Gegevens waarnaar een persoon niet te herleiden valt. Deze gegevens vallen niet in de scope van de AVG.
- Pseudo-anonieme data: Deze gegevens kunnen niet zonder aanvullende informatie naar een individu herleid worden, maar maken een persoon wel identificeerbaar. Denk hierbij aan versleutelde emailadressen, een gebruikers-id of klantnummer. Deze gegevens vallen wel onder de scope van de AVG.
- Persoonsgegevens: Dit zijn de gegevens die rechtstreeks naar individuen te herleiden zijn. Denk hierbij aan naam, adres en woonplaats, emailadres, geboortedatum, apparaat-id en locatie. Deze gegevens vallen uiteraard ook onder de scope van de AVG.
Basisprincipes van de AVG
Er zijn een aantal basisregels waar elk bedrijf zich aan moet houden.
- Transparantie: degene van wie jij informatie opslaat heeft er toestemming voor gegeven en kent zijn rechten.
- Doelbeperking: de persoonsgegevens worden voor één specifiek doel verzameld, en mogen niet voor andere zaken gebruikt worden.
- Gegevensbeperking: alleen de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld.
- Juistheid: de persoonsgegevens moeten juist zijn en blijven.
- Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel.
- Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging.
- Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen.
AVG en emailmarketing
Verzamel je emailadressen op je website om elke maand een nieuwsbrief naartoe te sturen? Dan moet je, voordat men zich aanmeldt, aangeven dat je zijn emailadres alleen gaat gebruiken om nieuwsbrieven naartoe te sturen, en hoe vaak je dat gaat doen. Diegene moet dan expliciet toestemming geven dat hij nieuwbrieven wil ontvangen (opt-in).
Ook moet elke mail die je stuurt een uitschrijflink bevatten, zodat de ontvanger zich weer gemakkelijk uit kan schrijven (opt-out). Daarnaast mag je iemand die zich heeft uitgeschreven ook echt niet meer mailen. De gebruiker heeft namelijk het ‘recht om vergeten te worden’. Of met andere woorden: Als iemand zich uitschrijft, moet je zijn gegevens weggooien.
AVG en trackingprogramma’s
Trackingtools als Google Analytics en Hotjar gebruiken IP-adressen om individuele gebruikers te onderscheiden. Deze IP-adressen zijn gecodeerd, waardoor ze door marketeers niet te herleiden zijn naar echte personen. Hierdoor wordt de data pseudo-anoniem. Om de trackingtools te kunnen gebruiken, moet er dus expliciet toestemming worden gevraagd aan de gebruiker.
AVG en advertenties
Als je doelgroeplijsten gebruikt bij SEA of social media advertenties, moet je hiervoor ook expliciet toestemming hebben. Ook als je gebruik maakt van similar audiences (Google) of look-a-like audiences (Facebook) heb je toestemming van de gebruiker nodig.
Gegevens verspreiden naar derden
Als je je gegevens aan een partner doorspeelt, moet je dit opgenomen hebben in je privacyverklaring, waar bezoekers toestemming voor moeten geven als ze gegevens achter laten. Je moet bijvoorbeeld al aangeven dat je emailadressen in Mailchimp invoert. Ook je partnerschap met Google moet je daar aangeven.
Koppelen van databases
Het is onder de AVG ook niet toegestaan om databases te koppelen. Voor marketeers is het natuurlijk de ideale situatie als ze de persoonsgegevens en verkoopgeschiedenis aan Google Ads kunnen koppelen. Dan kun je heel precies je advertenties richten op specifieke personen. Maar dat mag dus niet.
