Vanaf 25 mei is de AVG wetgeving (in het Engels GDPR) officieel van kracht geworden in Nederland. Dit houdt in dat je, als gegevensverwerker, aan nieuwe eisen en regels moet voldoen. Maar wat houdt dit nu effectief in als je gebruik maakt van online marketing? In dit blog hoop ik je een eerste antwoord te kunnen geven op een aantal vragen.
Persoonsgegevens verwerken met de AVG
Volgens de AVG (Algemene Verordening Gegevensbescherming) ben je een gegevensverwerker als je (onder andere) gegevens opslaat, deelt of wijzigt. Je hoeft dus niet per se gegevens te bewerken (als in wijzigen); het opslaan van deze gegevens is voldoende. Belangrijk voor de AVG is dat het moet gaan om ‘persoonsgegevens’. Dit zijn gegevens waarmee jij te identificeren bent als persoon.
Zo’n persoonsgegeven kan heel persoonlijk zijn, zoals een adres, telefoonnummer of e-mailadres. Maar ook gegevens die in eerste instantie misschien niet worden gezien als persoonsgegevens, vallen hieronder. In de wereld van het internet gaat het dan bijvoorbeeld over verzamelde data voor Google Analytics of marketing in de vorm van cookies.
Een cookie is misschien niet zo helder als een e-mailadres, maar met een cookie is het meestal mogelijk het ip-adres van een persoon te achterhalen. Omdat dit ip-adres heel vaak is toegewezen aan een uniek persoon, wordt een cookie beschouwd als persoonsgegeven. Het feit dat cookies vallen onder de persoonsgegevens, wordt zelfs in de AVG wet als voorbeeld aangehaald.
Cookies en online marketing
Om persoonsgegevens te verwerken, heb je een reden (grondslag) nodig. Heb je die niet, dan is de verwerking van deze gegevens illegaal. Deze grondslagen zijn uiteenlopend. Zo kan je gegevens verwerken met als grondslag ‘het gemeenschappelijk belang’ of ‘voor de gezondheid van de persoon’. In dat geval heb je hiervoor geen toestemming nodig. Een voorbeeld van de verwerking via het gemeenschappelijk belang is het kunnen aanbieden van een goed werkende website.
Marketingcookies die geplaatst zijn om bijvoorbeeld advertenties te kunnen tonen op andere websites, vallen niet onder een van de automatische grondslagen. Hiervoor heb je dus apart toestemming nodig van de persoon (betrokkene) waarvan je de gegevens verwerkt. Gelukkig bestaat hiervoor de grondslag ‘het geven van toestemming’.
Het geven van toestemming moet ondubbelzinnig gebeuren, waarbij duidelijk wordt aangegeven waarvoor toestemming wordt gevraagd. Dit mag dus eigenlijk niet met een ‘wij gebruiken marketingcookies’ en een akkoord knop. Nee, volgens de wet zul je nu toestemming door middel van bijvoorbeeld opt-in (een vinkje dat niet vooraf is aangevinkt) moeten vragen, voordat je de gegevens mag verwerken.
Wie geeft er toestemming voor online marketing
Ja, dit is zo ernstig als het lijkt. Om gebruik te maken van (re)marketing zul je nu altijd toestemming moeten vragen aan de bezoeker van de website. Een rondgang door enkele goed bezochte websites leert echter dat dit nog lang niet altijd wordt gevraagd. En ergens is dat begrijpelijk: als jij de keuze had dat je gegevens worden gedeeld met Facebook, Google of LinkedIn, zou jij dat dan gewoon maar aanzetten?
Sommige mensen voorspellen zware tijden voor marketeers via internet, maar persoonlijk denk ik dat er al snel een oplossing zal komen. Zo moet het technisch mogelijk worden om de gegevens op zo’n manier op te slaan, dat deze niet kunnen worden ingezien, maar wel kunnen worden gekoppeld aan marketingdoeleinden. De eerste partij die daarmee komt, kan vast flink geld verdienen met hun oplossing.
Moet ik me zorgen maken?
Dit is een vraag die veel grote en kleine bedrijven bezighoudt. Hoeveel risico loop ik als ik deze gegevens illegaal verzamel? In Nederland is de toezichthouder op het rechtmatig verkrijgen en verwerken van gegevens de Autoriteit Persoonsgegevens (AP). Zij delen de boetes uit als ze vinden dat deze onrechtmatig is verkregen of verwerkt. Die boetes kunnen oplopen tot een zeer hoge som van twintig miljoen euro of vier procent van het jaarlijks inkomen van een organisatie.
Echter, de AP heeft ook al laten weten dat ze dringend personeel nodig hebben. Met de nieuwe wetgeving hebben ze het dubbele aantal werknemers nodig, vergeleken met wat ze nu hebben. Daarnaast zullen ze in eerste instantie op zoek gaan naar (zeer) grote bedrijven die gegevens verwerken en zal het mkb voorlopig nog buiten schot blijven. Dit zal niet blijven duren en vergeet niet dat de AVG wetgeving gewoon van kracht is.
Jurisprudentie
Als ik een voorspelling moet doen, dan denk ik dat er binnen één of twee maanden een (grote) rechtszaak van start gaat. Op Europees niveau zal dan besloten worden in hoeverre het grijze gebied of onduidelijkheden in de wet beter moeten worden bepaald. Het zou mij niet verbazen als grote en kleine organisaties zo’n rechtszaak afwachten om uiteindelijk een (betere) beslissing te kunnen nemen in hoeverre zij volledig voldoen aan de AVG.
Want ja, een wet op papier bedenken is allemaal leuk en aardig. Uiteindelijk gaat het erom hoe de markt ermee omgaat. Wil je nu al 100% zeker zijn dat je voldoet aan de AVG? Dan kun je het beste een grondige check laten uitvoeren van je website om er zeker van te zijn dat je aan alle eisen voldoet. En wil je ook (re)marketing cookies gebruiken, zorg dan voor een cookiebar. Een voorbeeld is die van cookieinfo.net.
Als je echter besluit om nog even te wachten met wat je precies moet doen met de AVG, dan ben je niet de enige. Bedenk wel dat je dan risico loopt en uiteindelijk schade kunt oplopen aan je bedrijf.
Geef een reactie