AVG in Jip & Janneke taal
arrow_drop_up arrow_drop_down
12 augustus 2018 

AVG in Jip & Janneke taal

Wat is de AVG wet in Jip en Janneke taal en is alle commotie eromheen terecht?  

In deze blog leer je het volgende:

  1. Waar komt de AVG opeens vandaan?
  2. Simpele uitleg graag!
  3. Wat vinden we eigenlijk van de AVG? (cijfertjes)
  4. Onze conclusie

1. De Geboorte van de AVG Wet

Ok, hier gaan we. Zo simpel en correct mogelijk:

De AVG-wet (Algemene Verordening Gegevensbescherming) ziet toe op organisaties die in bezit zijn van privacy gevoelige persoonsgegevens van inwoners van de EU. De wet gaat de organisaties die deze data bewaren of ‘verwerken’ aan strikte regels houden zodat er minder misbruik van persoonsgegevens wordt gemaakt.

De AVG is de Nederlandse vertaling van de nieuwe GDPR wet die 25 mei 2018 van start ging.

De GDPR (General Data Protection Regulation) vervangt een bestaande wet, namelijk de DPD wet (Data Protection Directive) die sinds 1995 van kracht is. Er is echter veel veranderd sinds 1995 en het werd hoog tijd voor wetgeving met een breder draagvlak.

1995 CERN computer

(Deze fossiel uit 1995 is nu te zien in een museum)

Het doel van de “nieuwe” AVG is simpel:

De persoonsgegevens van alle inwoners in de EU moeten beschermd worden!
Organisaties die persoonsgegevens opslaan en ‘gebruiken’ moeten voldoende maatregelen treffen om de privacygevoelige data te beschermen tegen misbruik en misleiding.

Zaakjes iets beter op orde zetten dus! Daar komt het heel simpel gezegd op neer.

Voorbeeld voor Dummies:

Het gaat om gegevens (data) die terug te leiden zijn naar échte individuen. Naar jou en mij. We spenderen veel tijd online en vaak wordt ons surf-gedrag online bewust of onbewust gemonitord en/ of bewaard. Ons gedrag op het internet zegt veel over onze menselijke behoeftes. Welke websites we bezoeken, hoelang we daar blijven, waar we naar kijken en waar we op klikken, van welke website we vandaan komen en naar welke websites we vervolgens verder gaan, alles is van nut voor (internet) bedrijven. Deze informatie is namelijk goud waard!

Persoonsgegevens doorverkopen

Ons online gedrag wordt namelijk vaak doorgespeeld (verkocht) aan derden. Onbekende partijen die dan weer een aanbieding aan ons kunnen doen zonder dat we daar om hebben gevraagd. Of hetgeen wat we online te zien krijgen op websites of kanalen, wordt aangepast op ons gedrag uit het verleden. Zonder dat je het doorhebt krijg je dan een andere versie van een website te zien dan je buurman. Bedrijven willen jou namelijk een versie van hun website of (tv-)kanaal laten zien dat helemaal aansluit op jouw ‘profiel’.

Dit heet Profiling.
Op zich is daar nog niet zoveel mis mee. Sterker nog: we verwachten een beetje dat hetgeen we te zien krijgen op maat voor ons is gemaakt.

Online profiling Google

Maar hiervoor hebben deze bedrijven wel zoveel mogelijk data van jou nodig en ze gaan heel ver om die data te bemachtigen. De gegevens die jij bijvoorbeeld achterlaat op een klein onschuldig webshopje voor breinaalden kunnen vervolgens meerdere malen worden doorverkocht tot het bij een grote internetreus belandt die met de nieuwe kennis van jouw online aankoop, jouw “online profiel” aanpast. Om je in de toekomst weer iets te kunnen aanbieden, maar dan vanuit een andere hoek, waar je het niet van verwacht (of wenst). Dit gebeurt vandaag de dag vaker dan je denkt, zonder dat je dit door hebt.

De AVG dient ervoor om dit zoveel mogelijk tegen te gaan of in ieder geval inzichtelijk te maken voor de eindgebruiker (jij en ik). Als bovenstaand proces plaatsvindt, dan moet jij hiervan heel duidelijk op de hoogte zijn én toestemming voor hebben gegeven. In dat geval, is er ook niets aan de hand.

De huidige wet (DPD) wordt daarmee eigenlijk uitgebreid met de GDPR wet, want de 8 fundamentele pijlers van de DPD die gelden voor organisaties gevestigd en handelend binnen de EU blijven ongewijzigd.

  1. Het eerlijk verkrijgen en bewerken van persoonlijke data
  2. Gebruik de data voor slechts 1 doeleinde of gespecificeerd meerdere rechtmatig doeleinden
  3. Verwerk gegevens alleen zoals je beloofd hebt te doen
  4. Bewaar de verkregen data veilig
  5. Houd de data accuraat en up-to-date
  6. Zorg dat de data een doel heeft, relevant is en bewaar geen onnodige gegevens
  7. Bewaar de gegevens niet langer dan noodzakelijk voor het bereiken van je doelstelling
  8. Geef op verzoek van de eigenaar een kopie van de bewaarde data

De AVG wet is geschreven door advocaten en is bedoeld voor de gehele EU. Ieder land in de EU dient vervolgens zelf deze wet te integreren in hun wetgeving. Sommige landen kunnen er dus voor kiezen om deze kans te pakken en hier en daar zelfs nóg strengere wetgeving toe te passen.

Landen in de EU 2018

De GDPR geldt nu echter ook voor bedrijven gevestigd buiten de EU die:

  • hun producten of diensten in de EU aanbieden
  • mensen uit de EU-landen en hun gedrag monitoren

FEIT: In Engeland, Ierland, Duitsland, Oostenrijk en Zwitserland vindt 81% van de ondervraagde consumenten deze nieuwe privacy wetgeving een goed idee. Na uitgebreide uitleg over de GDPR vindt zelfs 90% dat de principes van deze nieuwe wet goed zijn voor consumenten.

2. Simpele uitleg AVG in Jip en Janneke taal

1) Individuele rechten

Toestemming

Automatisch aangevinkte vakjes zijn definitief verleden tijd!

Één van de problemen waar de AVG (laten we het Nederlands houden) voor opkomt is de toestemming voor van het verkrijgen van persoonsgegevens.

Deze informatie moet nu:

Vrijelijk gegeven worden, specifiek en ondubbelzinnig”. Organisaties moeten “duidelijke en simpele” taal gebruiken als ze naar je gegevens vragen en de vraag zelf moet “makkelijk te herkennen” zijn.
say what chris rock GIF

Simpel gezegd: de vraag naar jouw toestemming moet heel goed te “onderscheiden” zijn van de rest van de tekst op een website of formulier.

Voorheen werd nog getolereerd dat jouw gegevens automatisch werden opgenomen in systemen van organisaties zoals een mailinglijst na een wel of niet duidelijke toestemming. Als de “uitschrijfknop” maar ergens zichtbaar was.

Dat is nu onder de nieuwe AVG niet meer mogelijk, daar de toestemming voor opname in een bestand of register door de individu héél nadrukkelijk zelf moet worden gegeven.

Ook moet heel duidelijk gemeld worden als jouw gegevens gebruikt gaan worden door derde partijen zoals Facebook en Google. Al is het maar om een aantal websitebezoeken te meten. Er als bedrijf van uitgaan dat dit vanzelfsprekend is, bestaat niet meer.

FEIT: In Nederland is een individu gemiddeld in 250 tot 500 netwerken of lijsten opgenomen zonder dat hij of zij zich daar volledig bewust van is.

Het is anno mei 2018 niet meer mogelijk dat je niet weet dat je onderdeel bent van een lijst of dat een onbekend bedrijf je gegevens beheert. Je móet op de hoogte gesteld worden over hetgeen er met je persoonsgegevens gebeurt en je moet worden gewezen op jouw recht om jouw toestemming in te trekken.

Nieuwe rechten voor individuen

De AVG brengt ook 2 nieuwe rechten voor individuen:

  • het recht om vergeten te worden
  • het recht om je eigen data te beheren

Deze rechten maakt het makkelijker voor jou om een organisatie die jouw gegevens heeft opgeslagen te verplichten de data definitief te verwijderen of in te mogen zien. De organisaties moeten jouw gegevens vervolgens binnen een bepaalde tijd aanleveren in een veelgebruikt bestand dat je ook daadwerkelijk zelf kunt openen.

Organisaties dienen alleen gegevens te bewaren die écht nodig zijn om hun product of dienst uit te dragen. Dus bijvoorbeeld een naam en email adres. Of fysiek adres als er een pakketje afgeleverd moet worden. Maar leeftijd, schoenmaat, en geslacht zijn vaak dingen die er helemaal niet toe doen maar er wordt wel onnodig vaak naar gevraagd.

Verwijderen online slakkenspoor

Persoonsgegevens

Onder persoonsgegevens verstaan we heel veel dingen. Er bestaat een lijst van ongeveer 100 soorten persoonsgegevens. Maar primair gaat het om de volgende voor de hand liggende gegevens:

  • Naam
  • Adres
  • Telefoonnummer
  • E-mailadres
  • IP-adres
  • Geboortedatum
  • Geslacht
  • Schoenmaat

Maar ook gegevens waarmee je een (online) profiel kunt opbouwen, zoals:

  • KlantID
  • OrderID
  • GebruikersID
  • Versleuteld e-mailadres
  • Gepersonaliseerde data uit tracking scripts

Organisaties dienen heel nadrukkelijk te vermelden:

  • Welke persoonsgegevens ze verzamelen
  • Hoe ze worden verzameld
  • Waarom ze de gegevens verzamelen
  • Tot wanneer ze de gegevens bewaren en waarom
  • Met wie ze de gegevens delen

Bedrijven dienen de opgeslagen persoonsgegevens niet té lang te bewaren. Maar gek genoeg zijn hier (nog) geen specifieke richtlijnen noch restricties voor uitgezet in de AVG. Echter is wel uitgerekend dat het soms jaren kan duren voordat men een herhaal aankoop doet bij eenzelfde bedrijf. Dat zou ervoor kunnen pleiten dat een bedrijf tenminste 3 tot 5 jaar jouw gegevens mag bewaren. Wat in ieder geval duidelijk moet zijn voor jou als consument is:

  • Hoe lang je persoonsgegevens bewaard worden en waarom
  • Hoe deze gegevens automatisch worden verwijderd
  • Hoe eventuele derde partijen de gegevens ook verwijderen
  • Hoe deze gegevens ook uit backups worden verwijderd

Verzoek tot toegang

Je had altijd al het recht om inzicht in jouw bewaarde data te krijgen. Maar vanaf 25 mei 2018 kan een organisatie je hier ook niets meer voor in rekening brengen. Tenzij ze kunnen aantonen dat jouw verzoek heel veel moeite kost en/of omslachtig is. Ook mogen organisaties er niet langer over doen dan 30 dagen om aan jouw verzoek gehoor te geven.

2) Interne Procedures

DPIA

Voor organisaties die persoonsgegevens verwerken is er de nieuwe verplichting om Privacy “By Design” toe te passen. Dit houdt in dat zodra een instantie een verandering wil toepassen aan hun bedrijfsvoering of (bijvoorbeeld) website, zij verplicht zijn een Data Privacy Impact Assessment (DPIA) uit te voeren.

DPIA is een risicoanalyse voor bedrijven van wat de mogelijke schadelijke gevolgen kunnen zijn van geplande “nieuwe technologieën” voor de individuen waarvan zij persoonsgegevens bewaren.

Data Privacy Officer

De AVG vereist van veel bedrijven ook dat zij iemand aanstellen om alle gerelateerde aanvragen en verzoeken te verwerken en na te komen. Dit geldt voornamelijk voor overheidsinstanties of bedrijven die primair draaien om privacy gevoelige gegevens. Denk aan het BKR (Bureau Krediet Registratie) of DigiD.
Aangestelde DPO’s binnen deze instanties moeten ook coördineren met externe partijen die hun organisatie helpen bij het opslaan en verwerken van jouw persoonsgegevens. Een uitdagende job dus!

saluting donald duck GIF


Contracten & Privacy Beleid

Omdat de AVG helemaal draait om eerlijkheid en transparantie, dienen organisaties hun Algemene Voorwaarden, Privacy Beleid enzovoorts te herzien zodat ze in lijn liggen met de vereisten van de AVG.

Tevens moeten DPO’s toezien dat de bedrijven met wie zij samenwerken, binnen of buiten de EU, óók voldoen aan de vereisten van artikel 28 van de AVG. De contracten met eigen werknemers moeten (waarschijnlijk) door bedrijven ook worden aangescherpt om AVG-compatible te zijn.

Cookies

Cookies zijn al lange tijd een dingetje. Op veel websites zie je nu diverse creatieve manieren om Cookies te presenteren en ze te laten accepteren door websitebezoekers. Ik ben bang dat we nóg ‘creatievere’ oplossingen gaan zien in de nabije toekomst.

Er zijn voornamelijk 2 soorten Cookies:

Functionele Cookies
Targeting Cookies

Voor functionele Cookies hoeven bedrijven niet altijd toestemming te vragen. Ze zijn nodig om je website volledig te kunnen laden en tonen. Een winkelwagentje moet bijvoorbeeld gebruik maken van Cookies, anders kan het niet jouw gewenste producten of diensten vasthouden terwijl je ‘door winkelt’ op de site. Als gebruiker wil je die Cookies standaard laten werken. Ook vind ik het zelf heel fijn als een website mijn inloggegevens bewaart, maar dat is voor iedereen persoonlijk.

Voor alle andere Cookies moet een organisatie wél expliciet toestemming vragen.

Deze Cookies verwerken namelijk persoonsgegevens, zoals bijvoorbeeld:

  • Cookies waarmee individueel klikgedrag wordt gemeten
  • Cookies waarmee wordt gemeten hoe lang iemand op een pagina is (om daarna bijvoorbeeld een chatsessie te kunnen aanbieden)
  • Cookies waarmee bezoekers kunnen reageren via social media (Facebook, Youtube, Twitter)
  • Cookies om te meten of iemand een advertentie heeft gezien

Toestemming die je hiervoor geeft is 12 maanden geldig (of tot jij ze weer intrekt). Daarna moet een bedrijf opnieuw om jouw toestemming voor deze cookies vragen.

AVG in Jip en Janneke taal

Een ‘CookieWall’ mag vanaf mei 2018 ook niet meer. Dat is een pop up die het hele scherm ‘blokkeert’ zodra je een website bezoekt. Een websitebezoeker móet dan deze Cookies accepteren om uberhaupt door naar de website te kunnen gaan. Dat mag niet meer. Bedrijven moeten ook toegang tot hun website verlenen voor diegenen die geen targeting cookies accepteren. Ook een ‘standaardinstelling’ met alle Cookies alvast aangevinkt is niet meer toegestaan.

3) Toezichthouders

Inbraak melding

Een andere vereiste van de AVG is dat verwerkers (organisaties) van persoonsgegevens de plicht hebben een lek van data binnen 72 uur te melden, tenzij de data anoniem of versleuteld is. In de praktijk worden deze inbraken eerst gemeld aan de DPO’s (die ‘politieagenten’). Maar schendingen die schadelijk (kunnen) zijn voor individuen moeten ook binnen het genoemde tijdsbestek aan de desbetreffende slachtoffers gemeld worden.

4)  Verantwoording en Boetes

Verantwoording

Deze nieuwe wet dwingt organisaties openheid te geven over hun huidige processen en deze aan te scherpen naar de nieuwe standaard. Processen moeten worden vastgelegd, geïmplementeerd en herzien op frequente basis. Personeel dient hiervoor te worden getraind en organisatiestructuren zullen worden aangepast om naleving van de AVG aan iedereen te kunnen demonsteren.

Boetes

De AVG wet onderstreept haar ernst door de hoge boetes die uitgedeeld zullen worden aan overtreders. Afhankelijk van de type overtreding kunnen organisaties die persoonsgegevens verkeerd verwerken boetes van € 20 miljoen euro verwachten of 4% van hun jaarlijks bruto omzet (afhankelijk van wat hoger is).

AVG boetes

3. Wat vinden we eigenlijk van de AVG?

FEIT: 91% van de consumenten ondervraagd in de EU verwacht dat de organisaties met wie zij in zee gaan compleet eerlijk en transparant zijn over hoe hun data wordt gebruikt.

(3017 mensen ondervraagd uit Engeland, Ierland, Duitsland, Oostenrijk en Zwitserland in 2017)

Echter aan de andere kant, hoe voorbereid zijn bedrijven in de EU op deze nieuwe wetgeving. Spoiler: niet erg goed.

Sterker nog, heel veel bedrijven weten niet eens van deze aanstaande verandering in wetgeving die grote impact gaat hebben op hun bedrijfsvoering.

Dit zijn de resultaten op de vraag: ben jij voorbereid op de nieuwe GDPR? gesteld aan 363 directeuren en marketeers van bedrijven verspreid over de EU.

  • 12% gaf toe dat ze van de nieuwe wet hebben gehoord middels een enquête
  • 23% is niet zeker of hun eigen organisatie is gestart met voorbereidingen voor de nieuwe wet
  • 31% weet dat de nieuwe wetgeving in mei 2018 van start gaat
  • 41% weet waar de wet voor staat.
  • 42% is ‘enigszins’ voorbereid op de nieuwe wet.

Hoe komt dit toch? Een mogelijke verklaring is dat directeuren en marketeers zich niet goed bewust zijn van wat klanten van hun verwachten. Of niet goed weten wat de consument van hun organisatie als minimum inzet vereist. Als dit namelijk wel zo zou zijn, dan hadden organisaties begrepen dat ruim 90% van hun eigen klanten verwacht dat de organisaties klaar zijn voor de wet zodra die van start gaat.

no idea idk GIF

Wellicht steken organisaties liever hun kop in het zand. Ze zijn bang wat de nieuwe wet voor gevolgen gaat hebben op het bedrijfsresultaat.

Organisaties verwachten het volgende na ingang van de wet:

  • 33% verwacht dat hun lead conversies-ratio naar beneden gaat
  • 37% verwacht dat hun marketing routine aangetast gaat worden
  • 41% verwacht meer externe platformen te zullen gaan gebruiken, zoals Facebook of Google, om de persoonsgegevens van hun leads (potentiele klanten) te verwerken
  • 51% verwacht dat hun marketing lijsten (email nieuwsbrief abonnees) zullen krimpen
4. Onze Conclusie!

Het is duidelijk dat veel bedrijven nog aardig wat te doen hebben om volledig klaar te zijn voor de start van de AVG deze maand. Maar, de nieuwe wet is ook iets waar we allemaal naar uit mogen kijken en blij mogen zijn dat het plaatsvindt en (hopelijk) zal worden gehandhaafd. Ondanks dat veel bedrijven er enorm tegenop zien, kijken wij bij juist uit naar de intreding van de AVG, om de volgende redenen:

  • De aandacht van mensen zal worden beloond met het respect dat het verdiend.

Om te slagen als bedrijf zodra de AVG van kracht is, moet je gaan focussen op het geven van waarde aan je klanten. Dit betekent wel dat het werk voor marketeers nóg moeilijker gaat worden. Zij moeten harder werken om de aandacht van de consument te trekken. Maar dat moet eigenlijk ook niet te makkelijk zijn. Aandacht is tenslotte een kostbaar koopwaar, waar eerlijk gezegd in de afgelopen jaren door marketeers slordig mee om is gegaan.

  • Meer transparantie tussen mensen en bedrijven die hun data opslaan.

Als de AVG slaagt, dan zal het meer transparantie geven aan EU-bewoners en kunnen zij de opgeslagen data die door organisaties wordt bewaard beter controleren en beheren. Vandaag de dag ziet men nog niet de voordelen van het delen van persoonsgegevens, maar wordt het toch vaak gedaan om een dienst of product te kunnen krijgen/ gebruiken. Door organisaties te dwingen eerlijk te zijn over waarom zij bepaalde data willen hebben zal de zakenwereld meer waarde moeten gaan geven aan consumenten ter compensatie. De consument stijgt dus een beetje naar gelijk niveau tegenover de grote bedrijven met wie ze (soms dagelijks) interactie hebben. Dat kan alleen maar een goede ontwikkeling zijn naar onze mening.

  • De lat voor marketeers is verhoogd!

Heel eerlijk: de lat is (gedwongen) verhoogd voor marketeers en organisaties.

De Lat verhogen

Sluwe marketingtechnieken die zo binnenkort niet meer matchen met de AVG zullen tot de geschiedenis behoren. Hierdoor zullen marketeers en organisaties weer creatief en innovatief moeten gaan zijn om de aandacht van klanten (op nieuwe manieren) op te eisen. We zullen in de toekomst daarom betere en kwalitatieve marketing gaan zien waarbij daadwerkelijk waarde wordt overgedragen zodra iemand zich ergens voor opgeeft. Zo niet, dan is die persoon en diens gegevens ook zo weer weg.

Tot slot

Het wordt een filterproces waarbij we het kaf van het koren zullen scheiden. De AVG zal veel bedrijven dwingen na te denken over hoe zij hun marketing inzetten en hun klanten aanspreken.

Wij als onafhankelijk adviesbureau HVD | Werving, Selectie & Advies zien deze nieuwe wet alleen maar als grote plus. Kwaliteit geven staat al sinds de oprichting bovenaan in onze mission statement, onze bedrijfsmissie. Om nóg transparanter te zijn naar onze klanten zijn we sinds kort overgestapt van emailservice. Onze maandelijkse “Tips voor (startende) ondernemers” sturen we nu niet meer via een buitenlandse (gratis) mailservice maar via een (betaald) Nederlands bedrijf. Zodat we hier heldere afspraken mee kunnen maken en zelf meer controle behouden.
Ook onze website zal binnenkort via een nieuwe tool meer in eigen beheer komen, zodat we niet langer volledig afhankelijk zijn van derde partij (webdeveloper).

Nog meer aanpassingen zullen volgen zodat we jou als waardevol lezer/ klant in het vervolg meer inzage kunnen bieden in wat we doen, hoe we het doen en welke kwaliteit (waarde) we bereid zijn aan je te geven ten gunste van jouw succes als (startende) zelfstandig ondernemer.


Veel gestelde vragen

Hoe zal het Recht van het Individu worden aangetast door de AVG

Individuen hebben al heel veel rechten die voortkomen uit de “oude” wet DPD uit 1995 en de GDPR bouwt hier op door.

Individuen kunnen nu:

  • Details ontvangen over hoe hun data wordt verwerkt bij organisaties
  • Een kopie ontvangen van de persoonsgegevens die een organisatie van hun bewaart
  • Onvolledige of incorrecte data inzien en aanpassen
  • Eisen dat hun data wordt gewist, tenzij het een organisatie betreft dat de data rechtmatig móet bewaren
  • Eisen dat een organisatie persoonsgegevens vrijgeeft en overzet naar een andere organisatie
  • In sommige omstandigheden bezwaar maken dat een organisatie hun persoonsgegevens verwerkt
  • Eisen om (uitzonderingen daar gelaten) niet onderworpen te worden aan geautomatiseerde beslissingen die bedrijven instellen zoals profilering (aanpassen van iemands “online profiel”)

Is een dubbele-Opt-In vereist na mei 2018?

Nee, dat is niet verplicht in de GDPR, maar dit kan wel per land alsnog worden ingevoerd als minimaal vereiste. De Nederlandse AVG zou dit dus zomaar alsnog kunnen eisen van de in Nederland gevestigde of handelende bedrijven. Een Opt-In is bijvoorbeeld het inschrijven op een nieuwsbrief. Een Dubbele-Opt-In is wanneer een consument vervolgens een email ontvangt waarin hij of zij nógmaals op een link of knop moet klikken om te bevestigen dat hij of zij zich vrijwillig inschrijft op de nieuwsbrief. Enkele bedrijven doen dit al standaard. Maar dit is niet verplicht in de GDPR.

 

Reactie plaatsen

Minimale Cookies