Stoom je webshop klaar voor de AVG/GDPR [handig actieplan]

De termen AVG of GDPR, je hebt het de afgelopen maanden ongetwijfeld horen vallen. AVG staat voor Algemene Verordening Gegevensbescherming en de Engelstalige benaming hiervoor is General Data Protection Regulation. Als webshopeigenaar of online ondernemer moet je deze privacywetgeving echt naleven en hieronder leg ik je eenvoudig uit wat, waarom en hoe. Easy peasy, beloofd!

Oké, laten we het bij AVG houden, zo heet de nieuwe Europese wet die 25 mei 2018 in werking gaat en gevolgen heeft voor alle e-mailmarketing. Deze privacywet heeft invloed op elke onderneming die persoonlijke data gebruikt van Europese burgers. Als je binnen de Europese Unie e-mailadressen verzamelt en e-mails verzendt, dan moet je per 25 mei voldoen aan deze wet.

Wat betekent dit voor online ondernemers en webshopeigenaren in het mkb?

Als je niet aan de wet voldoet, kun je flinke boetes riskeren.

• Overtreding van de basisbeginselen: boetes tot 20 miljoen euro of 4 procent van je omzet
• Minder zware overtredingen: boetes tot 10 miljoen euro of 2 procent van je omzet

Als mkb-ondernemer zijn onder andere dit jouw verplichtingen volgens de nieuwe wet:

• Je moet duidelijk zichtbaar een privacyverklaring op je website hebben
• Je hebt toestemming nodig van de personen van wie je gegevens verwerkt
• Personen van wie je gegevens verwerkt, hebben het recht hun persoonsgegevens in te zien, aan te passen en te verwijderen
• Je bent verplicht bewerkersovereenkomsten te hebben met alle bedrijven die voor jou persoonsgegevens verwerken
• Personen van wie je gegevens verwerkt, hebben het recht op indienen van een klacht bij de Autoriteit Persoonsgegevens (AP)
• Je hebt meldplicht bij datalekken, dat doe je bij het Meldloket datalekken AP

Wat moet je precies doen om op 25 mei ‘safe’ te zijn? Onderstaand stappenplan zal je helpen. Hand-on dus, en in niet te moeilijke taal.

Stap 1. Verse privacyverklaring

Zorg voor een nieuwe privacyverklaring die helemaal klaar is voor 25 mei. In dit artikel van Charlotte Meindersma lees je wat er in je privacyverklaring moet staan. Als je aangesloten bent bij een keurmerk, dan zou je kunnen navragen welke rol zij hierin kunnen betekenen. Van Thuiswinkel.org weet ik dat zij een handige Privacy Policy generator hebben voor leden.

In een privacyverklaring staat in elk geval het volgende beschreven:

• Je bedrijfsgegevens
• Doeleinden (reden van de verwerking van de persoonsgegevens)
• Persoonsgegevens (welke persoonsgegevens verwerk je)
• Recht van toestemming
• Recht op inzage, aanpassing en verwijdering
• Beveiligingsmaatregelen
• Cookies

ACTIE > ga na waar je bij bent aangesloten en of daar iets wordt geregeld in de vorm van een solide privacyverklaring. Ben je niet aangesloten bij een keurmerk, kijk dan of je advies nodig hebt van bijvoorbeeld een jurist.

Stap 2. Privacyverklaring-pagina

De privacyverklaring moet heel eenvoudig te vinden zijn op je website. Geef deze dan ook een geheel eigen pagina, een link in de footer én op elke plek waar je persoonsgegevens verzamelt.

ACTIE > Maak een privacyverklaring-pagina en de link duidelijk in de footer van je website.

Stap 3. Google Analytics geanonimiseerd gebruiken

Let op: dit is alleen nodig als je geen goede cookiemelding hebt.

Afhankelijk van je instellingen deelt Google Analytics data met Google voor diverse doeleinden. Daarnaast is het mogelijk gebruikers te tracken door middel van een User ID. Google Analytics werkt op basis van IP-adressen, die je kunt herleiden naar personen en dat is daarom niet anoniem.

Om aan de nieuwe wetgeving te voldoen, moet in de cookiemelding te lezen zijn dat cookies pas geplaatst worden als mensen:

• Actief aangeven dat ze hiermee akkoord gaan, of
• Als ze verder navigeren door de website. Dit laatste is voor nu is de makkelijkste oplossing.

ACTIE > Nu schijnt het niet zo moeilijk te zijn om Google Analytics privacyvriendelijk te maken. Bij Autoriteit Persoonsgegevens (pdf) vind je daarvoor een handleiding. Wel mis je hiermee een aantal handige zaken, zoals de mogelijkheid van remarketing. Wil je deze wel (blijven) gebruiken, dan moet je de bezoeker wel vragen om de cookies van jouw website te accepteren. Wil je hiermee geholpen worden? Schakel dan een Google Analytics-expert in.

Stap 4. Beveiliging regelen

De opslag en verwerking van gegevens moet op en top beveiligd zijn. Oftewel: een SSL-certificaat is nu echt een noodzaak. De website waar de persoonsgegevens opgeslagen zijn, moet voorzien zijn van de allerlaatste beveiligingsupdates van de gebruikte software en plugin.

ACTIE > Heb je nog geen SSL-certificaat? Meteen regelen via je domeinhost of programmeur. Houd de software van je website altijd up-to-date.

Stap 5. Wees glashelder met het verzamelen

Op het moment dat gebruikers persoonsgegevens achterlaten op je website, bijvoorbeeld met een e-mail opt-in, moet voor deze gegevens helder zijn waarom je ze nodig hebt en hoe je ze gaat gebruiken. Je moet bij het verzamelen van gegevens altijd verwijzen naar de privacyverklaring van jouw website of onderneming.

ACTIE > Duidelijk beschrijven waar iemand zich voor inschrijft, hoe vaak er wordt verstuurd en dat je je heel makkelijk – op elk gewenst moment – weer uit kan schrijven (opt-out). Bovendien moet de opt-in een duidelijke en bevestigende actie zijn. Verwijs bij elke opt-in met een link naar de privacyverklaring.

Voor de duidelijkheid: een opt-in is waar de eigenaar van een e-mailadres expliciet en aantoonbaar toestemming geeft voor het ontvangen van e-mail van een bepaalde mailinglist. Een opt-out daarentegen is exact het tegenovergestelde: waar je je kunt afmelden.

Stap 6. Het recht om vergeten te worden

Accounts en profielen moeten (zo eenvoudig mogelijk) in te zien, aan te passen of te verwijderen zijn. Mensen met een account bij een website kunnen wellicht al een aantal gegevens zelf inzien en wijzigen. Hetzelfde geldt voor e-mailvoorkeuren die gewijzigd kunnen worden binnen programma’s zoals MailChimp. Men moet zich ook specifiek kunnen afmelden voor dataprofilering. Dit is – heel eenvoudig gesteld – het opdelen van de doelgroep in groepen, zodat je deze een nog beter toegespitste boodschap kunt voorleggen, die hoogstwaarschijnlijk eerder leidt tot conversie.

MailChimp doet dat al en geeft dat ook aan in de footer van een nieuwsbrief, er staat dan zoiets als ‘klik hier om jouw profiel te wijzigen’. Dit geldt ook voor het verwijderen van gegevens (het recht om vergeten te worden). In de privacyverklaring moet daarom ook heel staan hoe mensen hun gegevens kunnen wijzigen of verwijderen.

ACTIE > Ga na of de leverancier van jouw nieuwsbriefsoftware het je mogelijk maakt deze stappen te maken met het systeem – of het mogelijk maakt om het in te bouwen. Zorg ervoor dat bovenstaande mogelijk is.

Stap 7. Legale lijsten

Je moet al je e-mail opt-ins ‘registreren’. Achteraf moet je kunnen aantonen hoe je ze hebt verkregen en waarvoor deze personen precies toestemming hebben gegeven. Zo moet je dus onderscheid maken tussen opt-ins die worden verkregen als iemand een bestelling doet en bijvoorbeeld voor opt-ins die verkregen hebt via een pop-up of lead magnet (een gratis aanbod dat je doet aan je bezoeker in ruil voor het e-mailadres van deze bezoeker).

ACTIE > Maak verschillende groepen of lijsten binnen je nieuwsbriefsysteem. Als je de opt-ins automatisch koppelt met een universele plug-in, dan zal in de database duidelijk en eenvoudig terug te kijken zijn wanneer wie, waar en hoe iemand zich heeft aangemeld.

Let op! Kun je dit niet aantonen voor je huidige klantenbestand? Zorg dan nu eerst voor een e-mail met daarin een opt-in voor de daadwerkelijke e-maillijst, van waaruit je vervolgens gaat e-mailen. Alleen mensen die zich dan actief aanmelden zul je mogen blijven mailen. Overigens mag je klanten met wie je een betaalrelatie hebt, nog wel zonder actieve opt-in mailen over soortgelijke producten of diensten (yes!). Zelf zou ik altijd het zekere voor het onzekere nemen, heel transparant blijven communiceren én altijd een heel duidelijke opt-out bieden (mogelijkheid tot uitschrijving).

Tip! Stel een automatische mailing in om de nieuwe abonnees te verwelkomen. Zet hierin een aantrekkelijke (!) welkomsttekst met de informatie dat de ontvanger vanaf nu mail kan verwachten én die duidelijke opt-out. Vergeet daarin niet de links naar al je socialmedia-accounts te vermelden. Misschien wil de ontvanger geen nieuwsbrief van je, maar je wel volgen via social media.

Stap 8. Leg vast hoe lang je persoonsgegevens bewaart

Eigenlijk mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel van je verwerking. Onder het mom van statistische doeleinden kun je deze termijn vrij lang maken. Statistische doeleinden zijn als je de gegevens gebruikt voor bijvoorbeeld de opbouw van je statistieken of onderzoek. Beschrijf dit wel goed in je privacyverklaring. Overigens is dit (nog) een grijs gebied. Volg de berichtgeving over dit onderwerp dus goed.

ACTIE > Leg jouw bewaarbeleid duidelijk vast in de privacyverklaring.

Stap 9. Bewerkersovereenkomsten

Je hebt een bewerkersovereenkomst (ook wel DPA – data processing agreement genoemd) nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt. Dit is het vervelendste punt van die hele AVG, hoewel het niet nieuw is. De verwachting is dat er veel strenger gecontroleerd gaat worden en ook zijn er een aantal verplichte zaken bijgekomen.

Het betreft dus een overeenkomst die je afsluit met partijen als Google Analytics, MailChimp, hostingbedrijf, programmeur, et cetera. De overeenkomst biedt garanties dat de bescherming van de rechten van personen wordt gewaarborgd. Als er problemen ontstaan, kan de verwerker hier verantwoordelijk en aansprakelijk voor zijn.

ACTIE > Maak een lijstje van de partijen waarmee jij samenwerkt inzake de verwerking van persoonsgegevens. Ga na hoe dit eventueel nu is geregeld. Er bestaat een grote kans dat de betreffende partij al zo’n overeenkomst heeft klaarliggen. Is er geen overeenkomst, zorg dan dat dit in orde komt. Er zijn diverse modelovereenkomsten in omloop, zoals deze van Juridox. Veel meer over bewerkingsovereenkomsten lees je bij Justitia.

Extra to-do’s voor je nieuwsbrief

• Zorg dat alle opt-ins die je hebt binnen je website, shop, social media en landingspagina’s voldoen aan de eisen die hierboven staan beschreven. Vergeet ook je lead-magnets niet!
• Als iemand nog geen 16 jaar is, moet iemand met ouderlijk gezag (mede)toestemming geven
• Overbodig om te vermelden eigenlijk, maar toch: je mag iemand natuurlijk niet meer mailen als iemand zich uitschrijft voor je nieuwsbrieven
• Een ‘noreply@’-e-mailadres mag onder de nieuwe wetgeving niet meer. Als je dat nu gebruikt als afzender voor je (nieuwsbrief)mailverkeer, dan moet je dat aanpassen naar een adres waar de ontvanger wel naar kan mailen
• Alleen iemands naam en mailadres vallen onder ‘gewone informatie’ die je mag opvragen. Vraag je bijvoorbeeld om een geboortedatum, dan moet je laten weten waarom (een verrassing op je verjaardag). Zulke data niet verplicht moeten zijn om je te kunnen aanmelden.
• Ga na of de softwareleverancier van jouw nieuwsbrief AVG-proof is (zie ook hieronder)

Dubbelcheck

Je mag verwachten van jouw nieuwsbrief-softwareleverancier dat hij nu of heel binnenkort AVG-proof is. Om zeker te zijn, zou je het moeten nagaan bij de bron, of direct jouw vraag moeten stellen.

Ik heb zelf contact opgenomen met MailChimp (waar Sell your stuff online partner van is). Nu heeft deze leverancier alles altijd al bijzonder netjes afgetimmerd, maar om het zeker te weten heb ik contact gehad met het Legal Department en zij konden ons verzekeren dat zij ruim voor tijd AVG/GDPR-proof zullen zijn. Dit is hetofficiële bericht wat ik hierover kreeg:

We are currently in the process of preparing a white paper on the GDPR that will outline the compliance efforts MailChimp is undertaking and will also include some information for our users that is relevant to their own GDPR compliance. We expect this white paper to be completed in the coming weeks. But please know that we are assessing the provisions of the EU’s General Data Privacy Regulation with guidance from the Article 29 Working Party and various member state DPA’s. MailChimp is working with experts in this area, and intend to be compliant with the GDPR within the requirements of the provision.
One step we are taking that will likely be helpful to our EU users is updating our DPA (data processing agreement) to incorporate provisions to address (among other things) the GDPR. We expect to release the updated DPA in the coming months, and our current DPA can be found online here. Additionally, MailChimp adheres to the Privacy Shield Principles. We are EU-U.S. and Swiss-U.S. Privacy Shield certified through 2017 and listed on the US Department of Commerce Privacy Shield website as The Rocket Science Group LLC d/b/a MailChimp.

Waar moet je iemand informeren?

Deze nieuwe wetgeving vraagt dat je veel informatie verstrekt aan (bijvoorbeeld) je potentiële nieuwe nieuwsbrieflezer. Nergens wordt écht heel duidelijk wanneer je deze informatie moet overleggen, anders dan bij het vragen van toestemming om een bericht te mogen sturen (bij de opt-in dus). Wel heeft de AVG het over een ‘duidelijk vindbare plaats’, ik denk dat we mogen aannemen dat een verwijzing is naar je (up-to-date) privacyverklaring.

Zie de AVG als een kans

Verder adviseer ik online ondernemers om het als een kans te zien. Hoe dan? Doordat je transparanter in je communicatie naar de klant moet worden, betekent dat ook dat je gerichter én dus persoonlijker zal communiceren. Als je dat op de juiste manier doet, gaat je klant dat ongetwijfeld waarderen.

Bovendien pleit ik altijd voor kwalitatief klantcontact. Liever 1.000 volgers uit je doelgroep dan 10.000 fake-volgers op bijvoorbeeld Instagram. Een nieuwsbrief moet als het ware aanvoelen als de Allerhande van je onderneming en niet als een pakketje knalactie-folders.

Ook als je kijkt naar de veranderingen die Facebook laatst heeft aangekondigd, is het tijd voor een nieuw tijdperk. Het tijdperk waar klant weer koning wordt en de ondernemer hen ook weer gaat respecteren zoals het hoort. Old school, maar wél met de nieuwste middelen. Have fun!