Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming van kracht. Oftewel, de AVG. Deze datum was het einde van een twee jaar durende overgangsperiode, waarna bedrijven en organisaties verplicht werden gesteld zich te houden aan de AVG. Zo niet, dan zouden er voor Nederlandse begrippen ongekend hoge boetes kunnen volgen.
De datum ging gepaard met een hoop hectiek. Bedrijven waren in veel gevallen simpelweg te laat. Er werd een soort mediahype gecreëerd rondom deze nieuwe wetgeving. Er heerste nog veel onduidelijkheid en bepaalde gedeeltes van de wet bieden ruimte voor interpretatie. Op het gebied van online marketing veranderde dan ook van alles. Voor marketing cookies moest nu toestemming worden gevraagd en je bent verplicht te kunnen bewijzen dat iemand zich ondubbelzinnig heeft ingeschreven voor de nieuwsbrief.
Een hoop veranderingen dus, maar wat zijn de gevolgen van drie maanden AVG eigenlijk?
De wereld vergaat niet met de AVG
We zijn nu bijna drie maanden verder en de eerste hype lijkt voorbij. Uiteindelijk bleek dat de wereld gewoon doorging op 26 mei. De Nederlandse autoriteit op het gebied van Privacy (de AP) had in eerste instantie extra mankracht nodig om alle nieuwe ontwikkelingen te kunnen reguleren. In die zin gaf dit nog wat respijt. Toch weerhield dit personen er niet van om klachten in te dienen bij de AP. In de eerste maanden zijn er al enkele honderden klachten ingediend en het is nu aan de autoriteit om hier een reactie op te geven.
Wat dat betreft leek het allemaal rustig voort te kabbelen. Tot afgelopen week. Ineens kwam daar het bericht dat de Theodoor Gilissen Bankiers een dwangsom moest betalen, omdat zij niet op tijd konden voldoen aan een verzoek tot inzage van persoonsgegevens. Hoewel deze boete niet de miljoenenboete is waarmee vooraf werd geschermd, is dit wel een stevige wake-up call voor organisaties.
Bedrijven zoeken speelruimte binnen de AVG
De wetgeving is erg streng als het gaat om de verwerking van persoonsgegevens. Voor de verwerking van deze gegevens is vrijwel altijd een grondslag (reden) nodig. In vele gevallen heb je als marketeer te maken met de grondslag ‘toestemming’. Dit houdt in dat je expliciete toestemming, vaak door middel van een opt-in, nodig hebt om deze gegevens te verzamelen of te verwerken. Die toestemming moet duidelijk zichtbaar zijn en mag geen beperking van informatie tot gevolg hebben. Ook moet je deze even snel kunnen intrekken als dat je toestemt.
Het grootste euvel voor online marketing komt voort uit de marketing cookies. Dit zijn cookies waar bedrijven vaak leads uit genereren of daadwerkelijk geld mee verdienen. Het vragen voor toestemming is dan ook in vele gevallen ongewenst. Google creëerde een speciale pagina voor deze situatie, waarin het verschillende mogelijkheden geeft voor een cookiebar. De verschillende aangeboden diensten zijn echter niet allemaal AVG-compliant.
Hier gaan ongetwijfeld nog juridische processen op volgen. Bedrijven proberen op dit moment een gedeeltelijke toestemming om te zetten naar een volledige toestemming (bijvoorbeeld door ‘accepteer alle cookies’) of geven in veel gevallen geen mogelijkheid tot nee zeggen. En zelfs als de verschillende varianten van cookies worden weergegeven is het niet altijd makkelijk om de toestemming weer in te trekken.
De belastingdienst heeft moeite met de AVG
En ook de Nederlandse belastingdienst heeft moeite om op tijd te voldoen aan de AVG. In een recent nieuwsbericht werd aangegeven dat zij verwacht nog minimaal een jaar nodig te hebben om de zaken op orde te hebben. Het grootste probleem is dat de belastingdienst te pas en te onpas gebruik maakt van het BSN, wat een bijzonder persoonsgegeven is. Hiervoor gelden nog strengere en speciale regels. De communicatiekanalen van de belastingdienst zijn daar nog niet op ingesteld.
Eigenlijk is het vreemd dat iedereen zo laat is begonnen met het aanpassen van privacy verklaringen, cookies en marketinguitingen. De wet was immers al twee jaar geleden van toepassing, maar toen was er nog sprake van een overgangsfase. Het lijkt erop dat in de communicatie over de wet ook sprake was van te weinig duidelijkheid van de omvang en urgentie van de situatie. Het is dan ook misschien niet verrassend dat veel organisaties moeite hebben met de implementatie.
Is de AVG wel toereikend?
Laat ik een ding vooropstellen: de bescherming van privacy en persoonsgegevens vind ik ontzettend belangrijk. Als marketeers hebben we nu eenmaal eenvoudig toegang tot gegevens die gevoelige informatie kunnen bevatten. Daar moeten we erg zorgvuldig mee omgaan en het feit dat er op Europees niveau over is nagedacht is een goede start. Toch moet er worden uitgekeken dat het doel niet voorbij gestreefd wordt.
Zorgde jij er vroeger voor dat je netjes op de klassenfoto stond? Tegenwoordig is van alle ouders toestemming nodig om deze foto te laten maken. Wat doe je als een zo’n ouder die toestemming niet geeft of vergeet te geven? Zet je dan alle andere klasgenootjes op de foto? Er bestaat een risico dat de persoonlijkheid verdwijnt, bijvoorbeeld als zorginstanties nergens namen van cliënten in de openbare ruimtes mogen plaatsen.
Hoe nu verder met de AVG?
Ook na de eerste drie maanden lijkt het een heel goed idee om ervoor te zorgen dat je organisatie voldoet aan de AVG. In hoeverre je dat voor de volle honderd procent doet is aan de organisatie zelf. De AP heeft aangegeven in eerste instantie te kijken naar misbruik door multinationals. Het is goed om in de gaten te houden wat uit deze onderzoeken komt.
Verder blijft de AP ook komen met verduidelijkingen van de wet, zodra deze bekend worden. Een voorbeeld is de vage term ‘grootschalige verwerking voor persoonsgegevens’ voor ziekenhuizen. Er is nu bepaald dat grootschalig meer dan tienduizend betekent. Deze verduidelijkingen zijn hoognodig en zorgen ervoor dat zaken als speelruimte verdwijnen.
Op de website van de Autoriteit Persoonsgegevens vind je de laatste informatie. Ook voor klachten en vragen kun je bij hun terecht. Bekijk ook de speciale pagina die Google heeft gewijd aan de GDPR. GetBright geeft ook advies aan online organisaties over de AVG, onder andere met een AVG check voor websites en webshops.
Geef een reactie