Hier gaat iets helemaal fout: Inboxes onnodig overspoeld door AVG toestemmingsmails

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) afgelopen 25 mei worden we overspoeld door compliance e-mails. Erg vermoeiend en met ongewenste reputatie schade voor zowel bedrijven als  geadresseerden.

 

Vraag geen onnodige toestemming vanuit paniek.

Vanuit een ‘paniekmodus’ mailen duizenden bedrijven hun bestaande mailinglijsten om bevestigende opt-in toestemming voor hun e-mail marketing te krijgen, ogenschijnlijk om te voldoen aan de AVG. Deze benadering berust op een ongelukkig misverstand, omdat de meeste van deze e-mails gestuurd worden naar mensen met wie het bedrijf reeds een commerciële relatie heeft. Daarvoor is géén toestemming nodig omdat men een ‘gerechtvaardigd belang’ heeft om bestaande relaties te blijven informeren over de producten en diensten. Dat was zo en dat blijft zo onder de AVG. Heel simpel: als ik iets in een webshop koop, mag het bedrijf me berichten sturen op basis van een gerechtvaardigd bedrijfsbelang (direct marketing) – wél met een duidelijke afmelding / opt-out mogelijkheid.

De basisregel is dat een vóór de inwerking getreden AVG gegeven toestemming geldig blijft als deze voldoet aan de AVG-standaard: ondubbelzinnig (dus geen vooraf aangevinkte vakjes) en specifiek. De toestemming moet dus aantoonbaar zijn voor aangegeven producten en diensten waarvoor men de geadresseerden ook in de toekomst wil blijven mailen. Daar moeten schriftelijke bewijzen van zijn in de administratie.

 

Hernieuwde toestemming vragen om alsnog legale mailinglijsten te krijgen.

Bedrijven die zich wel zorgen moeten maken bij hernieuwde toestemmings e-mails voor marketing, zijn degenen die momenteel niet kunnen aantonen dat deze toestemming legaal is verkregen én daarvoor al in strijd handelden met de EU-wetgeving. Zie artikel 13 van de e-Privacy Verordening (ePV) die bepaalt: “communicatie, inclusief e-mail, mag niet worden verzonden zonder voorafgaande toestemming, tenzij er al een klantrelatie bestaat.”

Beland iemand op een mailinglijst, zonder iets gekocht of afgenomen te hebben en zonder daar ooit aantoonbaar toestemming voor te hebben gegeven, dan mocht die persoon vóór 25 mei 2018 niet gemaild worden – en daarna dus ook niet. Die persoon mag strikt genomen ook niet ‘even’ gemaild worden om nu alsnog toestemming te vragen onder het mom van de AVG. Dit gaat vaak fout, waarbij de AVG wordt aangegrepen om de illegale mailinglijsten alsnog legaal te maken!

 

Toestemmingsmails in strijd met de AVG principes.

Het is zorgelijk dat bedrijven twee wetten (de AVG en de ePV) combineren ten koste van gebruikers. Dat druist regelrecht in tegen de principes van de AVG. Op zich zouden de hernieuwde toestemmingsmails via de AVG nog een goede zaak kunnen zijn als ze het bewustzijn hierover daadwerkelijk vergroten voor degenen die reeds toestemming hebben gegeven. Deze sneeuwen echter onder mede door foute e-mails in verband met illegale mailinglijsten. Mijns inziens ondermijnt dit de privacy, omdat mensen de AVG hierdoor als een ergernis gaan zien. De hierop volgende instemmingsmoeheid zorgt ervoor dat echt belangrijke e-mails die de privacy werkelijk beïnvloeden genegeerd worden. Deze vermoeidheid zal onvermijdelijk leiden tot mechanische klikken op ‘Nee, bedankt’ of het negeren van de e-mails. Dat doe ik, door deze drukte, inmiddels zelf ook. Bovendien lijkt het een goede gelegenheid om snel en automatisch van mailinglijsten af ​​te komen, omdat mensen juist gaan kiezen voor de “opt-out” of niets doen. De relatie die een bedrijf eigenlijk zonder toestemming mocht blijven mailen, raak het dan ook nog eens kwijt.

Dan is het ook nog eens de vraag of bedrijven eenieder die niet reageert op een verzoek om hernieuwde toestemming, hen daadwerkelijk uit de verzendlijsten halen. Aangezien toestemming een positieve actie moet zijn, kan stilzitten niet worden geïnterpreteerd als impliciete toestemming.

 

Correcte email marketing onder de AVG, hoe zit dat nu?

Zoals met gegevensbescherming vaak het geval is het niet zwart of wit. E-mail of direct marketing moet gesplitst worden in twee delen:

1)          de AVG beoordeelt de verwerking van persoonsgegevens om een marketingmail te kunnen verzenden aan de geadresseerde en

2)         de  e-Privacy-richtlijn omvat de regels omtrent het verzenden van de communicatie zelf.

Toestemming voor e-mail marketing is al een vereiste onder de Europese wetgeving inzake e-privacy. De e-privacy verordening maakt dit type marketing mogelijk via een opt-out voor bestaande klanten. Dus als je je afmeldknop hebt geplaatst, is alles goed. De AVG brengt daar geen verandering in!  Onder de AVG moet een bedrijf eerst een wettelijke grondslag hebben om de persoonsgegevens voor het doel van e-mail marketing te mogen gebruiken. Dat betekent voor bestaande klanten dus ‘een gerechtvaardigd belang’ en voor personen die nog geen klant zijn, ‘toestemming vragen’.

Daarbij is het ook zo dat als bedrijven niet zeker weten hoe ze de contactgegevens hebben verzameld, ze mogelijk geen reden meer hebben om met de gebruiker contact op te nemen. Contact opnemen met mensen die zich in het verleden hebben afgemeld voor alle communicatie is sowieso illegaal, omdat deze gegevens geen deel meer mogen maken van een database. Ze worden waarschijnlijk langer bewaard dan strikt noodzakelijk. Het kan overigens ook een argument zijn om de opt-outs te behouden om te voorkomen dat ze terugkomen in de mailinglijst bij het samenvoegen van databases of iets dergelijks. Daar zou dan wel een bewaartermijn voor moeten worden vastgesteld.

Hoe dan ook, het gebruik van opt-outs om opnieuw om toestemming te vragen is in ieder geval not-done. Als een bedrijf persoonlijke gegevens heeft verkregen, moet het nog steeds de juiste en aantoonbare grondslag hebben om überhaupt te mogen mailen onder de AVG.

Als er in het geval van bulkmailadreslijsten, geen AVG grondslag is voor de verwerking, kan toestemming vragen wel de meest simpele oplossing lijken, maar dit is ook een risicovolle. Bedrijven moeten dan immers ook de betrokkenen informeren over hoe het bedrijf de privégegevens in de eerste plaats heeft gekregen.

 

Zorgvuldige acties met de juiste professionele begeleiding.

Bedrijven moeten hoe dan ook hun mailing acties zorgvuldig overwegen om elke mogelijke reputatiecrisis en onnodig verlies van legale geadresseerden te voorkomen. Ook is het raadzaam dat zij zich laten bijstaan door gecertificeerde privacy experts die écht weten hoe van de hoed en de rand. Op dit moment bestaat er maar een Europees erkend privacy keurmerk en dat is die van de CIPP/e (certified information privacy professional) van de IAPP (International Association Privacy Professionals) in Ierland. Zorg dat u zich laat bijstaan door een privacy expert met een IAPP lidmaatschap en het CIPP/e examen met goed gevolg heeft afgelegd. Zo bent u verzekerd van de kwaliteit van het advies, ook over de mailingacties maar ook over andere privacy consultancy vraagstukken zoals omtrent de verwerkersovereenkomsten, de verwerking van bijzondere persoonsgegevens, de juiste privacy administratie en documentatie.

 

Mr. Hella Vercammen CIPP/e (link certificaat https://bit.ly/2seQBtx )
Directeur en jurist The Legal Privacy Company B.V.

 

Persbericht: MKB kennis AVG ‘redelijk voldoende’, maar nu nog doorpakken in de praktijk

Amstelveen, 24 mei 2018 – 9 van de 10 MKB-ondernemers weet dat alleen al het opslaan van persoonsgegevens betekent dat de onderneming persoonsgegevens verwerkt. En dat de AVG (Algemene Verordening Gegevensbescherming) meer omvat dan enkel het beveiligen van persoonsgegevens. Maar in de praktijk gaat het nog vaak mis: slechts 20% van de bedrijven geeft aan dat zij een data-lek protocol hebben. Ook heeft slechts 15% privacy awareness trainingen voor het personeel georganiseerd – dé manier om het personeel te instrueren over de risico’s bij de beveiliging en waarborging van persoonsgegevens.

 

Dat blijkt uit de ‘AVG Zelfkennis en Voorbereidingstest’ die MKB privacy expert TLPC (The Legal Privacy Company) in samenwerking met branche organisaties, waaronder MKB Belangen, Accountancy Vanmorgen, Clean Totaal, Meer Business en lokale MKB partijen zoals de Amstelveens Ondernemersvereniging, in de afgelopen twee weken uitvoerde. MKB-ondernemers deden massaal mee met 2500 deelnemers. In de test werd onderscheid gemaakt tussen kennis en praktijk. Vanaf 25 mei a.s. moeten bedrijven en organisaties kunnen aantonen dat zij aan de AVG voldoen.

 

MKB privacy pilot

Vergelijkbare ervaringen blijken uit een pilot met vier MKB-bedrijven in de afgelopen maanden en een beta-versie van een door TLPC ontwikkeld digitaal privacy portaal dat op 25 mei a.s. live zal gaan.

Gebleken is dat de combinatie van praktische begeleiding door een privacy expert, samen met een digitale tool met de benodigde functionaliteiten om privacy proof te worden en te blijven bij het MKB het beste werkt.

 

Doorpakken in de praktijk

Mr. Hella Vercammen, directeur TLPC en CIPP/E gecertificeerd privacy jurist legt uit: “Ondanks vele berichten dat het MKB bedrijfsleven niet klaar is voor de AVG en de focus op boetes bij het in gebreke zijn, zien wij een positief beeld. Alhoewel men de zaak complex vindt en tegen de uitvoering aanhikt, begrijpt het MKB heel goed dat ze de AVG en de rol van privacy serieus moeten nemen. Wij zien inmiddels dat bij een belangrijk deel van het MKB de kennis én de wil aanwezig is, maar het schort nog bij het doorpakken in de praktijk. Toch kan een MKB ondernemer met enige hulp en een aantal tools, redelijk snel en tegen relatief geringe kosten privacy verantwoord ondernemen. Daarmee worden uiteindelijk boetes en het mislopen van opdrachten voorkomen, maar men kan hieruit ook een USP creëren. Ook kan dit een rol spelen bij de verkoop van een onderneming”.

 

Fonville schoonmaakbedrijven

Marcel Mink van Fonville Schoonmaakbedrijven BV: “Wij waren met dit voor ons belangrijke onderwerp bezig omdat we met 1800 mensen werken en dus veel persoonsgegevens hebben. De combinatie van een privacy masterclass, een nulmeting en een speciaal software tool van TLPC hebben ons daarbij heel goed geholpen. We hebben hierdoor zelf de benodigde documentatie kunnen opstellen en het is met één privacy dashboard veel overzichtelijker geworden. De implementatie en het management van de AVG is daarmee een stuk duidelijker en behapbaar geworden.”

 

‘Lichte onvoldoende’

Uit de AVG test bleek verder dat kennisvragen bij 64% van de deelnemers een voldoende opleverde, maar dat bij praktijkvragen laag werd gescoord (30%). Hier valt uit op te maken dat MKB-ondernemers wel over kennis van de AVG beschikken, maar dat men met de toepassing in de praktijk minder ver is. De gemiddelde score was een ‘lichte onvoldoende’. Bij de kennisvragen bleek dat, naast de eerder genoemde  positieve resultaten, vooral de ‘meldplicht datalekken’ het slechtst scorende onderwerp. Dat is opvallend omdat de meldplicht datalekken al op 1 januari 2016 is ingegaan. Wat in de praktijk beter gaat is het uitvoeren van een data-inventarisatie waarmee inzicht wordt verschaft in welke persoonsgegevens de onderneming verwerkt, op welke wijze en of dat ook rechtmatig is. Ook bleek de instructie over hoe om te gaan met de veiligheid van persoonsgegevens van anderen op de werkplek redelijk op orde te zijn via bijvoorbeeld clean desk policies.

 

Invoering AVG

Vanaf 25 mei 2018 dient het bedrijfsleven, waaronder het MKB,  te voldoen aan de Europese privacy wetgeving via de AVG (Algemene Verordening Gegevensbescherming). Op naleving van de AVG wordt toegezien door toezichthouder Autoriteit Persoonsgegevens (AP). Onder de nieuwe regelgeving heeft de burger altijd het recht te weten wie welke gegevens van hem bewaart en wat daarmee gebeurt. Bedrijven en organisaties mogen alleen nog persoonsgegevens verzamelen, bewaren en verwerken voor een vastgesteld doel en met de juiste wettelijke grondslag. De data zijn niet voor andere zaken te gebruiken en mogen niet langer dan strikt noodzakelijk worden bewaard. Bovendien moeten bedrijven de gegevens goed beschermen.

 

The Legal Privacy Company

The Legal Privacy Company (TLPC) in Amstelveen is een Europees gecertificeerd privacy expert kantoor gericht op het ‘privacy proof’ maken van het Nederlandse MKB. TLPC – en haar team van privacy juristen en consultants – wil met de juiste juridische privacy producten en oplossingen, zoals haar privacy portaal (theprivacyportal.com) ervoor zorgen dat MKB ondernemingen kunnen voldoen aan de complexe privacy wetgeving en privacy verantwoord kunnen ondernemen. Het kantoor is in 2003 opgericht om als juridische afdeling te fungeren voor MKB-ondernemingen (zonder eigen juristen) en dat praktisch en betaalbaar te maken.

Dé belangrijkste AVG misverstanden en prioriteiten op een rij!

Nog maar 13 dagen tot 25 mei 2018 om te zorgen dat uw onderneming of uw organisatie voldoet aan de nieuwe Europese privacyregelgeving (Algemene Verordening Gegevensbescherming). Als u nu nog moet beginnen dan is het belangrijk dat u weet wat uw 4 belangrijkste prioriteiten zijn. In deze blog help ik u daar graag mee op weg. Eerst maar even 5 misverstanden over deze Europese wet uit de weg ruimen.

Misverstand #1

Even een paar standaard documentjes downloaden van internet, knippen en plakken en dan voldoen we aan de wet.”

Onthoud dat de implementatie van de AVG geen eenmalige exercitie is. De privacy huishouding binnen uw bedrijf of organisatie dient op orde te blijven net zoals uw financiële boekhouding. U heeft een wettelijke documentatieplicht om aan te tonen dat dat zo is. Regel dus een inzichtelijk online privacy managementsysteem (www.theprivacyportal.com) dat er blijvend op toeziet dat de bescherming van persoonsgegevens pro-actief wordt gemanaged.

Misverstand #2

Ach, dat gedoe rondom de privacy, dat is gewoon een hype van voorbijgaande aard. Straks kraait er geen haan meer na.

Privacyrechten van voorbijgaande aard? Privacy rechten zullen in deze maatschappij een steeds grotere rol gaan spelen. De exponentiële groei van het verwerken, het delen, het doorgeven, het raadplegen en het verzamelen van persoonsgegevens op grote schaal is namelijk nog lang niet in zicht. We digitaliseren en automatiseren steeds verder en voegen daar ook nog nieuwe technologische  dimensies aan toe die ook weer nieuwe privacy vraagtekens opwerpen. Neem het toenemend gebruik van gedragsvoorspellende technologie met behulp van kunstmatige intelligentie. Neem de opkomst van Blockchain, Bitcoins en andere toepassingen van K.I. De daarvoor verantwoordelijke organisaties en bedrijven zullen daarom in toenemende mate de privacy rechten van hun klanten, werknemers, toeleveranciers, onderaannemers, samenwerkingspartners etc. moeten managen. De kans dat u met deze organisaties in uw bedrijfsketen te maken krijgt is groot.

Misverstand #3. 

De kans dat iemand gaat zeuren over privacy bij mijn organisatie en bovendien mensen delen alles zelf op social media.

Dat mensen alles delen op social media is hun goed recht. Zij mogen vrijelijk beschikken over hun persoonsgegevens maar dat betekent nog niet dat een ander daar misbruik van mag maken. Dit soort activiteiten vallen bovendien niet onder de reikwijdte van de AVG omdat het om huishoudelijke activiteit gaat. Privacy gaat nu juist over gegevens die de mensen niet willen delen maar geheim willen houden. Niemand zet zijn pincode of de stand van zijn bankrekening of spaarrekening op facebook.

Bedenk ook dat niet alleen gaat om de privacy van anderen maar ook om uw eigen recht op bescherming van uw persoonlijke levenssfeer, om geheimhouding van uw persoonlijke informatie, om communicatie. Het betreft ook uw fundamenteel grondrecht, een mensenrecht dat na de tweede wereldoorlog is vastgelegd in internationale (mensenrechten) verdragen en uiteindelijk nu in een rechtstreeks werkende Europese wet.

Misverstand #4

“Als de IT security op orde is in mijn organisatie, is 80% van de AVG al geregeld.”

De naleving van de AVG is niet voornamelijk een kwestie van technische veiligheidsmaatregelen om te zorgen dat de persoonsgegevens gehackt worden. Die maatregelen vormen slechts 20% van de maatregelen die u moet nemen om de AVG na te leven. Datalekken komen met name voor omdat mensen fouten maken. Het gaat dus ook om awareness trainingen. Ook heeft de andere 80% er betrekking op dat u checkt en blijft checken dat u alleen persoonsgegevens verwerkt waarvoor u een wettelijke grondslag heeft. Dat u niet te veel persoonsgegevens uitvraagt, dat u ze ook op een correcte wijze verwerkt zodra u een grondslag heeft. Ook moet u organiseren in uw bedrijf dat de uitoefening van de privacyrechten van uw klanten, werknemers en andere natuurlijke personen niet belemmert maar juist faciliteert. Zodra zij recht op inzage van de door u verwerkte persoonsgegevens vragen, dient u hen zo snel mogelijk doch uiterlijk binnen 1 maand te berichten.

Misverstand #5.

Mijn huisadvocaat regelt dit wel even voor mij, die kent mijn hele organisatie van haver tot gort”.

Het privacyrecht is helaas een zeer complex en gespecialiseerd rechtsgebied waarbij diepgaande juridische kennis en praktijkervaring nodig is om de implementatie van de AVG correct te kunnen adviseren. U kunt zich geen omissies en fouten veroorloven. Daarvoor zijn de zakelijke afbreukrisico’s en de boetes te groot.

Check dus goed of uw advocaat praktijkervaring heeft, vraag referenties op. Vraag ook naar de opleiding die deze heeft genoten op dit gebied. Let erop dat de privacy jurist een Europees gecertificeerde privacy expert is. Indien de privacy jurist de CIPP/E titel gebruikt dan is dat een aanduiding dat de privacy jurist de gehele AVG zeer goed heeft bestudeerd, daar les over heeft gehad en geëxamineerd is door de IAPP, ‘werelds grootste en meest gerenommeerde beroepsorganisatie voor privacy experts.

En dan nu zoals beloofd hierbij de 5 AVG prioriteiten voor als u nog moet beginnen.

  1. Data-inventarisatie: In deze fase wordt gekeken welke persoonsdata in- door en uit uw organisatie stroomt en wat u precies doet aan verwerkingen van deze persoonsdata. Er wordt vastgelegd wat de huidige stand van zaken is rondom de verwerkingen in uw organisatie en door wie wat wordt gedaan. Laat dit altijd door een externe partij doen omdat men door bedrijfsblindheid al snel bepaalde zaken over het hoofd kan zien.
  2. Grondslagen en rechtmatigheidsonderzoek. In deze fase wordt in kaart gebracht of uw organisatie wel de persoonsgegevens in kwestie mág verwerken. En zo ja, wat uw organisatie nog aan maatregelen moet nemen om dit correct en veilig te doen conform de AVG regels en normen.
  3. Uitvoeren van de AVG maatregelen en verbetertaken. In deze fase gaat u de geadviseerde en geformuleerde maatregelen doorvoeren in uw fysieke en digitale werkprocessen en in uw personele organisatie. Zodanig dat u toewerkt naar 100% compliance aan de AVG.
  4. AVG Beheerfase. In deze laatste fase zult u voortdurend moeten monitoren of de maatregelen die u heeft genomen ook daadwerkelijk worden uitgevoerd én nog steeds up to date en toereikend zijn. Maatregelen kunnen dat namelijk niet meer zijn op het moment dat u andere verwerkingen gaat doen of wanneer u gaat werken met nieuwe technologieën of met andere verwerkers. U zal dan nieuwe maatregelen moeten nemen. Ook beschikt u een overzichtelijk management en registratie tooling waardoor het privacy beheer inzichtelijk is bij een controle door de AP. Ook tooling waarmee u de continuïteit van uw privacy beheer kunt garanderen en dit dus niet afhankelijk is een of meer personen die bij u in dienst zijn maar weg kunnen gaan.Via een AVG audit van TLPC en een abonnement op The Privacy portal inclusief de daarbij geleverde account privacyjurist regelt u in één klap alle bovenstaande stappen.

 

Auteur: mr. Hella Vercammen CIPP/E (Certified Information Privacy Professional/Europe)