GlobalSign Blog

09 jul. 2019

Als Google en Facebook niet klaar waren voor de AVG, hoe kunt u dat wel zijn?

Op 25 mei 2018 zorgde de Algemene verordening gegevensbescherming (AVG of GDPR) voor opschudding in de digitale wereld door een reeks nieuwe normen voor gegevensbescherming in te luiden. Deze belangrijke wetgeving zet richtlijnen uit voor het op de juiste manier verzamelen, verwerken en delen van gebruikersgegevens. Hoewel de verordening in de Europese Unie (EU) is gebaseerd, moet elk bedrijf dat in contact komt met de gegevens van personen die in de EU verblijven of wonen voldoen aan deze uitgebreide verzameling van regels.

Gezien de toenemende mondialisering van zakendoen, worden bijna alle grote bedrijven – en een enorm aantal kleine en middelgrote bedrijven – getroffen door de AVG.

Zelfs na miljarden dollars te investeren om te voldoen aan de AVG werden er al rechtszaken aangespannen tegen een aantal grote bedrijven omdat hun praktijken niet voldoen aan de regelgeving.

Als zelfs deze bedrijven niet klaar waren voor de GDPR, hoe kunt u dat dan wel zijn?

Laten we eens kijken waar het bij deze grote spelers fout liep en hoe uw inspanningen om te voldoen aan de GDPR kunnen voorkomen dat u hetzelfde overkomt.

Hoe verkrijgt u op de juiste manier toestemming?

In de beginperiode van de regelgeving bleek dat het verkrijgen van toestemming vaak aan de basis van overtredingen lag. Binnen 24 uur na de implementatie werden er rechtszaken aangespannen tegen Facebook en Google voor het overtreden van de AVG, wat zou kunnen resulteren in ongeveer 8,8 miljard dollar aan boetes.

Welke overtreding tegen de AVG zou Facebook en Google miljarden kunnen kosten?

Toestemming verkrijgen op de verkeerde manier

In de rechtszaak die tegen Google werd aangespannen, werd gesteld dat het bedrijf onrechtmatig een systeem van 'gedwongen toestemming' gebruikt door gebruikers de toegang tot bepaalde Android-software te ontzeggen als ze geen persoonlijke gegevens opgeven.

In de klacht tegen Facebook is 'gebundelde toestemming' het grote probleem. In de rechtszaak wordt gesteld dat de site gebruikers dwong om akkoord te gaan met hun beleid en voorwaarden via een 'te nemen of te laten' strategie waarbij gebruikers die geen toestemming gaven geen andere keuze hadden dan het platform helemaal te verlaten.

Volgens artikel 7 van de AVG is dit geen wettige toestemming. Toestemming is enkel geldig volgens de AVG als deze aan de volgende voorwaarden voldoet:

  • Bevestigend – de betrokkene moet een actie ondernemen om zijn toestemming te geven voor het opgegeven gegevensgebruik. Dat betekent dat u in plaats van een standaardoptie (zoals een vooraf ingeschakeld selectievakje om akkoord te gaan met voorwaarden of marketingactiviteiten) te voorzien, u gebruikers zelf een selectievakje moet laten aanvinken of een andere bevestigende actie moet laten uitvoeren
  • Uit vrije wil gegeven – hierbij speelt 'gebundelde toestemming' een rol. De betrokkene moet uit vrije wil zijn toestemming kunnen geven, zonder dwang, manipulatie of voorwaarden. Doordat Facebook het gebruik van hun platform afhankelijk maakte van het instemmen met hun voorwaarden, overtreedt het bedrijf deze AVG-richtlijn.
  • Granulair – een gebruiker moet apart toestemming geven voor elke activiteit waarbij u gegevens verzamelt of verwerkt. Wanneer de betrokkene zijn toestemming geeft, moet dit gebeuren voor elke activiteit waarbij gegevens verzameld of verwerkt worden. Gebundelde toestemming voor meerdere activiteiten is niet toegestaan. Gebruikers bijvoorbeeld vragen om akkoord te gaan met uw privacy beleid en te bevestigen dat ze wekelijks nieuwsbrieven willen ontvangen, mag niet in één keer gebeuren. Ze moeten voor beide apart hun toestemming geven.

Als uw bedrijf toestemming van gebruikers nodig heeft om persoonlijke gegevens te verzamelen, vermijd dan de valkuilen waarin Facebook en Google trapten door ervoor te zorgen dat elk punt waarop u toestemming vraagt voldoet aan de bovenstaande vereisten.

Uw formulieren, e-mails en pagina's voorzien van passende keuzemechanismen hoeft ook niet veel tijd en moeite te kosten. Op het internet zijn er tal van op naleving gerichte formulierhelpmiddelen beschikbaar die selectievakjes om toestemming te geven voor u installeren – sommige zijn zelfs gratis.

Voldoet uw beleid aan de AVG?

Hoewel het niet op de juiste manier verkrijgen van toestemming aan de basis lag van de klachten tegen Facebook en Google, hing die toestemming samen met hun juridische beleid. Volgens de AVG moeten gebruikers niet alleen toestemming geven voor het verzamelen van hun gegevens, maar moeten ze ook de mogelijkheid krijgen om akkoord te gaan met het privacy beleid en de voorwaarden van het bedrijf.

De AVG heeft de lat hoger gelegd voor hoe bedrijven toestemming moeten verkrijgen voor hun juridische beleid en tegelijk de eisen verhoogd waaraan het beleid zelf moet voldoen – vooral op het vlak van privacy verklaringen.

Om te voldoen aan deze vereiste, moet u rekening houden met het volgende bij het opstellen van een privacy beleid dat voldoet aan de AVG:

Zorg dat uw beleid volledig is

Zoals u waarschijnlijk al gemerkt heeft, eist de AVG dat bedrijven zich met de details bezighouden. De verordening dwingt bedrijfseigenaars en webmasters om tot de kern van hun activiteiten voor gegevensverzameling door te dringen en alles duidelijk te stellen voor gebruikers en toezichthouders.

Bijvoorbeeld:

  • Welke gegevens verzamelt u?
  • Voor welke doeleinden gebruikt u die gegevens?
  • Op welke gronden verwerkt u gegevens? (Artikel 6 van de AVG legt zes mogelijke uitgangspunten voor gegevensverwerking vast – toestemming, legitieme belangen, vitale belangen, wettelijke verplichting, nakomen van een overeenkomst en publieke belangen.)
  • Deelt u gegevens met iemand?
  • Draagt u gegevens over buiten de EU? (Als u een Amerikaans bedrijf bent dat zich op EU-burgers richt, is het antwoord 'ja'. U moet ook vermelden waar uw servers zich bevinden en waarnaar u mogelijk gegevens overdraagt.)
  • Heeft u een functionaris voor gegevensbescherming?
  • Heeft u een vertegenwoordiger in de Europese Economische Ruimte (EER).

Dit is slechts een gedeelte van de informatie die u moet vermelden in uw privacy beleid om het detailniveau te behalen dat werd opgelegd door de AVG. Idealiter moet u elke interactie die u met gebruikersgegevens heeft vermelden in uw privacy beleid.

Maak uw beleid transparant

Vóór de AVG waren privacy verklaringen niet noodzakelijk bedoeld voor het publiek. Hoewel het altijd hun bedoeling was om te verduidelijken hoe bedrijven omgaan met de persoonlijke gegevens van hun klanten, waren deze niet gemakkelijk leesbaar – tot nu.

Artikel 12 van de AVG probeert het privacybeleid leesbaarder en begrijpelijker te maken voor gebruikers zonder rechtendiploma of achtergrond in de bedrijfswereld. Dit gedeelte van de verordening bevordert het gebruik van 'eenvoudige en duidelijke taal' en 'transparante informatie en communicatie' in de privacybeleid van bedrijven.

Stel uzelf de volgende vraag wanneer u uw eigen beleid bekijkt: Kunnen mijn klanten dit lezen en echt begrijpen hoe we met hun gegevens omgaan?

TipAls een document vol juridisch jargon, verborgen betekenissen en ingewikkelde bewoordingen staat, is het antwoord 'nee'.

Maak uw beleid makkelijk toegankelijk

Als het gaat over gebruikerstoestemming integreren in uw juridisch beleid, zullen al uw tijd en inspanningen om uw privacybeleid te perfectioneren voor conformiteit met de AVG weinig nut hebben als u het beleid zelf niet toegankelijk maakt voor uw gebruikers.

U moet niet alleen links naar uw beleid vermelden op pagina's, op formulieren, in pop-ups en/of in e-mails die toestemming met het beleid vragen, maar u moet ook links voorzien in het menu en de voettekst van uw site zodat gebruikers naar uw privacybeleid, servicevoorwaarden en andere juridische overeenkomsten kunnen navigeren.

Adverteert u uw inspanningen op het gebied van privacy op de juiste manier?

De mislukkingen die we tot nu toe hebben gezien, beperken zich niet tot miljardenclaims, zoals die tegen Facebook en Google. Sommige van de overtredingen die het meest ongewenste aandacht trekken via kanalen zoals Twitter zijn degene die afkomstig zijn van bedrijven die opnieuw toestemming van hun klanten proberen te krijgen of hun inspanningen om aan het AVG te voldoen via e-mail aankondigen.

Als u van plan bent om klanten via e-mail om toestemming te vragen of op de hoogte te brengen van wijzigingen aan uw beleid, houd dan rekening met het volgende om de valkuilen te vermijden waarin andere bedrijven trapten:

1. Doe wat u zegt

Toen WeBuyAnyCar gebruikers een e-mail stuurde om toestemming te vragen voor hun nieuwe servicevoorwaarden en aan te geven of ze in de toekomst e-mails van het bedrijf wilden ontvangen, klikten klanten die dit niet wensten op een dode link. Gebruikers controle geven over hun gegevens en ze dan niet de mogelijkheid bieden die controle uit te oefenen is uiteraard in strijd met de AVG.

2. Houd rekening met de voorkeuren van uw klanten

Om al tijdig aan de AVG te voldoen, stuurden Flybe en Honda hun klanten afgelopen jaar e-mails om hen om toestemming te vragen voor e-mailmarketing. Hoewel ze dit deden om conform te werken, was dit een enorme mislukking omdat de bedrijven massa-e-mails naar hun lijsten met afgemelde gebruikers stuurden.

Hoewel deze ervaring hen samen in totaal 83.000 pond kostte, werd de boete opgelegd vóór de lancering van de AVG en zou de boete aanzienlijk hoger zijn geweest onder deze verordening. Uit deze overtredingen kunnen we een makkelijke les leren – houd rekening met de wensen van uw klanten en neem geen contact met hen op als ze zich hebben uitgeschreven.

3. Doe niet meer kwaad dan goed

Een aantal van de grootste overtredingen van de AVG zijn van bedrijven die hun eigen glazen ingooiden wanneer het over de privacy van hun gebruikers gaat. Laten we de overtredingen van Ghostery en VITL als voorbeeld nemen. Beide bedrijven verstuurden e-mails om hun conformiteit te verbeteren en de gebruikers hun voorkeuren te laten beheren. Ze vergaten echter de contactgegevens van anderen in de mailinglijst te verbergen en deelden zo duizenden e-mailadressen zonder toestemming.

De overduidelijke les hier is om adressen uit mailinglijsten altijd in BCC te zetten. De minder duidelijke, maar even belangrijke les is voorzichtig te zijn en de AVG ernstig te nemen. Niemand zal van de ene op de andere dag aan de eigen voldoen– en dat zou niemand ook moeten proberen. Bedrijven moeten de nodige tijd en moeite nemen om maatregelen te implementeren en hun data-activiteiten aan te passen aan de normen van de AVG.

Conclusie

De AVG is een grensverleggende verordening en niet de enige in zijn soort. Hoewel doorgaans eerst de wetgeving de lat hoger legt voor gebruikersprivacy op dit niveau, zullen steeds meer verordeningen in de toekomst vergelijkbare normen vastleggen.

Om hoge boetes en reputatieschade ten gevolge van de AVG te vermijden, moet u voorzichtig te werk gaan om uw gegevenspraktijken te verfijnen en uw klanten meer transparantie en controle over hun gegevens bieden.

Over de auteur

KJ Dearie is een productspecialist en privacy-adviseur voor Termly. Ze adviseert eigenaars van kleine bedrijven over de best practices in de wereld van de digitale privacy en hoe ze conform kunnen blijven met de meest recente wetgeving inzake gegevensbescherming.

Opmerking: Dit blogartikel werd geschreven door een externe medewerker om onze lezers een gevarieerder aanbod te geven. De standpunten uiteengezet in dit artikel van een externe medewerker zijn enkel die van de medewerker en komen niet noodzakelijk overeen met die van GlobalSign.

door KJ Dearie

Share this Post

Aanbevolen Artikel

Lessen in digitale transformatie van een DPO na GDPR