Disclaimer: De inhoud van deze pagina bevat geen juridisch advies. Deze pagina is alleen bedoeld voor informatieve doeleinden en we raden je ten zeerste aan om onafhankelijk juridisch advies in te winnen om te begrijpen hoe jouw organisatie dient te voldoen aan de AVG.
Wetgeving GDPR (AVG) & E-mailmarketing vanaf 2018
Inwerkingtreding Algemene Verordening Gegevensbescherming
- Op 14 april 2016 heeft het Europees Parlement de Algemene Verordening Gegevensbescherming, hierna te noemen, ‘AVG’ aangenomen. In het Engels wordt deze wet de General Data Protection Regulation, afgekort ‘GDPR’ genoemd. Vanaf 25 mei 2018 is de AVG van toepassing in de gehele Europese Unie.
- Met behulp van dit artikel geeft MailBlue je een update over deze wetgeving en wat MailBlue/ActiveCampaign in actie hebben gezet om aan de wetgeving te voldoen. Daarnaast geven we je tips over wat je zelf als ondernemer kan doen om aan de wetgeving te voldoen.
- Zorg er in ieder geval voor dat je organisatie voldoet aan de nieuwe wetgeving. Wanneer je namelijk niet aan de AVG wet voldoet kun je een boete ontvangen van maximaal 20 miljoen euro of 4% van je totale wereldwijde omzet.
Wat houdt de AVG in?
Vergroting bescherming persoonsgegevens
- De AVG is een Europese verordening die is ontworpen om de bescherming van de verwerking van persoonsgegevens van betrokkenen in de Europese Unie te vergroten.
Voor wie is de AVG van toepassing?
- De AVG is van toepassing op elke organisatie in de Europese Unie die persoonsgegevens verwerkt. De verordening is ook van toepassing op elke organisatie die persoonsgegevens verwerkt van Europese betrokkenen, ongeacht of de organisatie in de Europese Unie gevestigd is. Als persoonsgegevens van welk type dan ook, inclusief e-mailadressen, worden verzameld, beheerd of geanalyseerd, dan is de AVG waarschijnlijk van invloed op je organisatie.
Let op: Dit gedeelte behandelt veel van de wijzigingen van de AVG, maar bevat geen uitputtende opsomming. We raden je ten zeerste aan om onafhankelijk advies in te winnen om te bepalen in hoeverre de AVG van invloed is op je bedrijf.
Veranderingen door AVG
De AVG bevat een reeks aan vereisten met betrekking tot toestemming, rechten van de betrokkenen en gegevensverwerking. Het onderstaande overzicht is een niet-uitputtende samenvatting van de meest belangrijke vereisten van de AVG.
Toestemming van betrokkene
Toestemming, oorspronkelijk gedefinieerd in artikel 4, wordt in de gehele tekst van de AVG behandeld. Over het algemeen stelt de AVG een veel hogere standaard van het begrip ‘toestemming’ vast in vergelijking tot de Databeschermingsrichtlijn.
Op grond van artikel 12 AVG moet toestemming zowel geïnformeerd als expliciet zijn. Organisaties hebben de verplichting om informatie over de verwerking te presenteren “in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm in duidelijke en ondubbelzinnig geformuleerde taal”.
Wanneer gegevensverwerking is gebaseerd op toestemming, dan hebben organisaties op voet van artikel 7 AVG expliciete toestemming van individuen nodig en moeten zij ook kunnen aantonen dat individuen toestemming hebben gegeven. Wanneer organisaties persoonsgegevens verzamelen, dan zijn zij verplicht bepaalde informatie bekend te maken conform artikel 13 AVG.
Rechten van de betrokkene
Artikelen 12 tot en met 23 AVG bevatten de rechten van de betrokkene. Over het algemeen breidt de AVG deze rechten uit als het gaat om persoonsgegevens.
Recht van inzage
Op grond van artikel 15 AVG is het recht van inzage het recht van de betrokkene om informatie op te vragen over de manier waarop zijn/haar gegevens worden gebruikt, alsmede een kopie van de gegevens zelf te verkrijgen.
Recht op rectificatie
Volgens artikel 16 AVG mogen personen contact opnemen met een verwerkingsverantwoordelijke om een rectificatie van onjuiste persoonsgegevens te verkrijgen. Artikel 16 luidt als volgt:
Artikel 16 AVG (Rectificatie): 'De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken'.
Recht op wissen van gegevens
Volgens artikel 17 kunnen betrokkenen het wissen van persoonsgegevens verzoeken onder bepaalde specifieke omstandigheden. Deze omstandigheden omvatten, maar zijn niet gelimiteerd tot:
- Wanneer de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt.
- Wanneer de betrokkene zijn toestemming intrekt.
- Wanneer de persoonsgegevens onrechtmatig zijn verwerkt.
Recht op beperking van de verwerking
Volgens artikel 18 hebben betrokkenen het recht om in bepaalde omstandigheden een beperking van de verwerking te verkrijgen.
Recht op overdraagbaarheid van gegevens
Betrokkenen hebben overeenkomstig artikel 20 het recht de hem betreffende persoonsgegevens te verkrijgen en het recht om die gegevens ergens anders te gebruiken.
Recht op bezwaar
Artikel 21 bepaalt dat betrokkenen in bepaalde gevallen het recht hebben om bezwaar te maken tegen de verwerking van de hem betreffende persoonsgegevens, 'tenzij de verwerkingsverantwoordelijke dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering'.
Gegevensverwerking
De AVG specificeert een verscheidenheid aan vereisten met betrekking tot de verwerking van persoonsgegevens. In deze sectie worden enkele vereisten van verwerking van persoonsgegevens onderzocht en worden links naar relevante secties van de tekst van de AVG weergegeven.
Verwerkingsverantwoordelijke en verwerker
Een verwerkingsverantwoordelijke is de organisatie die bepaalt hoe persoonsgegevens worden gebruikt. Een verwerker is de organisatie die persoonsgegevens namens en in opdracht van de verwerkingsverantwoordelijke verwerkt. De specifieke verantwoordelijkheden van elke partij zijn uiteengezet in de artikelen 24-43.
In de meeste gevallen is MailBlue een verwerker en is de klant de verantwoordelijke. Let op dat het mogelijk is dat één organisatie zowel verwerker als verwerkingsverantwoordelijke is.
Overeenkomsten gegevensverwerking
Artikel 28 stelt dat de verwerkingsverantwoordelijke een duidelijk gedocumenteerde overeenkomst met de verwerker dient te hebben die de reikwijdte van de verwerking definieert. Deze overeenkomsten worden 'in schriftelijke vorm, waaronder elektronische vorm, opgesteld'. Vereisten voor verwerkingsovereenkomsten zijn te vinden in artikel 28.
Functionarissen voor gegevensbescherming
Ingevolge artikel 37 dienen vele organisaties een functionaris voor gegevensbescherming te benoemen. De specifieke verantwoordelijkheden van een functionaris voor gegevensbescherming worden opgesomd in artikel 39. In het algemeen is de functionaris voor gegevensbescherming verantwoordelijk voor de naleving van de AVG.
Doorgifte van persoonsgegevens aan derde landen of internationale organisaties
Artikelen 44-50 van de AVG omvatten specifieke vereisten over de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. De AVG vereist niet dat persoonsgegevens van EU burgers uitsluitend in de EU blijven, maar de AVG stelt wel enkele vereisten voor een dergelijke doorgifte.
Raadpleeg een juridisch professional
DISCLAIMER: De inhoud van deze pagina is informatief en is expliciet geen advies aan je als lezer. Om de effecten van de AVG op uw organisatie volledig te begrijpen, raden wij je ten zeerste aan juridisch advies in te winnen bij een juridische professional. MailBlue B.V. aanvaardt geen enkele aansprakelijkheid voortvloeiende uit het raadplegen en gebruik van dit specifieke artikel. Het gebruik van dit artikel is geheel voor rekening en risico van gebruiker(s).
Wij zullen AVG-gerelateerde wijzigingen/updates op voortschrijdende basis via onze website aankondigen.
Goed voorbereid op AVG wetgeving
Stel een opt-in bevestiging in
Het inschakelen van een dubbele opt-in is een goede start die je kan helpen om te voldoen aan het vereiste van de ‘ondubbelzinnige toestemming’ van de AVG. Bij opt-in heeft de eigenaar van een e-mailadres expliciet toestemming gegeven voor het ontvangen van e-mails van een bepaalde mailinglist. Wanneer een dubbele opt-in is ingeschakeld zullen contactpersonen hun e-mailadres moeten bevestigen voordat zij verdere berichten ontvangen. Je leert hoe je een dubbele opt-in kunt inschakelen via dit help document (let op: het gebruiken van een dubbele opt-in is niet verplicht maar wordt wel aangeraden).
Weet hoe je contactpersonen moet bewerken en verwijderen
Onder de AVG hebben contactpersonen het recht om correctie of verwijdering van de hen betreffende persoonsgegevens te verzoeken. Als je vertrouwd bent met het verwerken en verwijderen van contactgegevens, kun je aan dergelijke verzoeken voldoen.
Weet hoe je contactgegevens exporteert
Het recht op overdraagbaarheid van gegevens en het recht op toegang stelt contactpersonen in staat om de hen toekomende persoonsgegevens op te vragen. Het exporteren van gegevens kan je helpen om aan deze verzoeken te voldoen. Je leert hoe je contactgegevens kunt exporteren via dit help document.
Gebruikersverklaringen toevoegen aan opt-in formulieren
De AVG vereist dat je mensen vertelt hoe je hun persoonsgegevens zult gebruiken en wanneer je deze verzamelt. Dit maakt deel uit van de nieuwe vereisten voor een ondubbelzinnige toestemming.
Hoewel de exacte verklaringen die moeten worden opgenomen afhangen van hoe je de gegevens gebruikt, kunt je elke gewenste instructie opnemen door een HTML-blok of tekstblok in de MailBlue-formulieren te gebruiken. Bovendien kunt je aangepaste velden gebruiken om een extra selectievakje toe te voegen dat expliciete toestemming aangeeft. Je leert hoe je aangepaste velden kunt toevoegen via dit help document.
Krijg bewijs van toestemming bestaande contactpersonen
De AVG vereist dat je het bewijs van expliciete en ondubbelzinnige toestemming van betrokkenen kunt aantonen. Dit is ook van toepassing op contactpersonen van wie je persoonlijke informatie hebt verzameld voordat de AVG werd ingevoerd. Als je op dit moment geen double opt-in toestemming van deze contactpersonen kunt aantonen, moet dringend contact opnemen en opnieuw toestemming vragen. Hoe je dit kunt doen staat uitgelegd in dit help document.
Verwijder contactpersonen en lijsten die je niet langer nodig hebt
De AVG is bedoeld om de privacy van betrokkenen te beschermen, waaronder het minimaliseren van risico dat gegevens kunnen worden misbruikt. Het kan zinvol zijn om niet-geabonneerde contactpersonen en lijsten die je niet langer gebruikt te verwijderen om risico’s te beperken.
Vraag, gebruik en bewaar enkel noodzakelijke gegevens
Vaak worden er nog onnodige gegevens gevraagd door bedrijven. Je wilt enkel de gegevens vragen en opslaan die je nodig hebt voor het doel waar je oorspronkelijk de gegevens voor hebt willen verzamelen.
Bij een webshop heb je bijvoorbeeld wel de adresgegevens nodig om een bestelling te leveren maar diezelfde gegevens heb je niet nodig om iemand een e-mail nieuwsbrief te sturen. Wanneer de gegevens niet meer noodzakelijk zijn, dan kun je deze gegevens ook weer verwijderen. Leg daarom ook vast hoe lang je de gevraagde gegevens gaat bewaren.
Plaats een privacy policy op uw website
Om e-mailadressen te verzamelen is het belangrijk om een privacy policy op uw website te hebben staan. In deze privacy policy vermeld je hoe de gegevens worden verwerkt en waarvoor deze worden gebruikt. In de privacy policy moeten o.a. de volgende gegevens staan:
- De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van je vertegenwoordiger in de EU;
- De contactgegevens van de FG als je die hebt;
- De doeleinden en rechtsgrond van de verwerking, en als je je beroept op een gerechtvaardigd belang: op welk belang je jezelf dan beroept;
- De (categorieën van) ontvangers van de persoonsgegevens;
- Of je van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie en op welke juridische grond;
- De bewaartermijn van de gegevens;
- De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering. Zie ook stap 10;
- Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken;
- Dat de betrokkene een klacht kan indienen bij de relevante privacy toezichthouder;
- Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt;
- Of je gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe je besluiten neemt;
- Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens afkomstig van zijn, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.
(Bron: autoriteitpersoonsgegevens.nl)
Raadpleeg een juridisch professional
DISCLAIMER: De inhoud van deze pagina is informatief en is expliciet geen advies aan je als lezer. Om de effecten van de AVG op uw organisatie volledig te begrijpen, raden wij je ten zeerste aan juridisch advies in te winnen bij een juridische professional. MailBlue B.V. aanvaardt geen enkele aansprakelijkheid voortvloeiende uit het raadplegen en gebruik van dit specifieke artikel. Het gebruik van dit artikel is geheel voor rekening en risico van gebruiker(s).
Wij zullen AVG-gerelateerde wijzigingen/updates op voortschrijdende basis via onze website aankondigen.
De voorbereiding van ActiveCampaign & MailBlue
Nu de AVG van toepassing is, willen we onze gebruikers ervan verzekeren dat wij volledig zullen voldoen aan de verordening. Om naleving beter te faciliteren implementeert ActiveCampaign updates voor zowel producten als non-producten voordat de AVG van toepassing is. Deze updates zorgen niet alleen voor onze naleving, maar zullen het ook gemakkelijker maken voor onze klanten om hieraan te voldoen. Hieronder staat de lijst met relevante updates die ActiveCampaign gaat maken:
Updates Producten
- Verbeteren van mogelijkheden tot verwijderen van contactpersonen om te voldoen aan verzoeken met betrekking tot gegevenswissing.
- Verbeteren van sitetracking zodat het kan voldoen aan nalevingsvereisten van je website.
- Verbeteren van de dubbele opt-in functie om te verwijzen naar het vereiste AVG-gerelateerd registratiesysteem.
- Verwijzen van cookie-naleving voor www.activecampaign.com via website functionaliteit.
Updates Non-Producten
- Updaten van de Overeenkomst Gegevensverwerking.
- Creëeren van nieuwe inhoud voor trainingsdoeleinden die betrekking heeft op hoe gebruikers ActiveCampaign / MailBlue kunnen gebruiken om de principes van de AVG na te leven.
- Updaten van ons Privacy Beleid om wijzingen in verband met de AVG weer te geven.
Hoewel het doel van deze updates is om onze klanten te helpen om de AVG na te leven zonder in te boeten op de bruikbaarheid van het platform, raden wij klanten aan om een juridisch adviseur te raadplegen als zij vragen hebben over hoe de AVG een bedrijf zal beïnvloeden. In de toekomst zal het product worden ontwikkeld met de AVG in gedachten. Dit betekent een nadruk op de flexibiliteit met betrekking tot gegevens.
(Dit artikel is samengesteld door MailBlue in samenwerking met ActiveCampaign en gecontroleerd en gerectificeerd door Precise and Wise Juristen)