Privacy Nieuws
De Algemene Verordening Gegevensbescherming (AVG) moet er voor zorgen dat onze privacy gewaarborgd wordt. In deze Europese wet is tot op de komma vastgelegd hoe organisaties met persoonsgegevens van klanten en personeel moeten omgaan. Toch?
Klopt. Maar de AVG dekt nog niet alles, zeggen Europese politici. En dus wordt er gewerkt aan een aanvullende wet. De ePrivacywet. Nog meer regels, nog meer kosten, nog meer druk. Is dat nu echt nodig?
Diverse ondernemersorganisaties in Nederland vinden dat de politici vergeten rekening te houden met de gevolgen van de privacyregels voor ondernemers.
Waarom moet er nu vlak na de invoering van de AVG nog een privacywet bijkomen? Wat is het verschil tussen de AVG en de ePrivacywet?
Hoewel er enige overlapping is, is het belangrijkste verschil tussen ePrivacy en de AVG dat de AVG betrekking heeft op de verwerking van persoonsgegevens in alle vormen, terwijl de e-Privacy-verordening meer specifiek betrekking heeft op online communicatie.
De AVG geeft individuen meer controle over hun persoonlijke gegevens. Zowel online als offline. Organisaties moeten nu toestemming vragen voor het gebruik, het delen en opslaan van persoonsgegevens.
Het recht op vertrouwelijkheid
De ePrivacywet is onder meer gericht op het recht op vertrouwelijkheid en privacy van gegevens bij alle elektronische communicatie. Dit omvat e-mail, teksten, het internet, WhatsApp, Skype, online messaging, VoIP, het internet van dingen (IOT), apps, online reclamenetwerken en telecommunicatie.
De ePrivacywet staat ook wel bekend als de cookiewet, omdat het de wet is die het gebruik van cookies op websites regelt. De ePrivacywet gaat echter verder dan cookies. Er komen nieuwe regels voor communicatie-inhoud en communicatiemetadata die inhouden dat organisaties de vertrouwelijkheid van alle elektronische communicatie moeten waarborgen en toezicht door derden moeten voorkomen.
Het belang van de ePrivacywet blijkt volgens politici uit het recente Cambridge Analytica-schandaal waarbij vertrouwelijke gegevens van Facebookgebruikers oneigenlijk misbruikt werden om de verkiezingen in de Verenigde Staten en de Brexit-enquete in Groot Brittannie te manipuleren. De ePrivacywet bevat strenge regels die misbruik en manipulatie moeten voorkomen.
Wanneer wordt de ePrivacy-verordening van kracht?
De ePrivacywet komt in de plaats van de richtlijn betreffende de bescherming van de persoonlijke levenssfeer en de elektronische-communicatierichtlijn van 2002 en zal naar verwachting eind 2018 in werking treden, waarbij organisaties waarschijnlijk net als bij de AVG een overgangsperiode van één jaar krijgen om aan de richtlijn te voldoen.
ePrivacy zal waarschijnlijk extra naleving vereisen en net als bij GDPR zal de ePrivacy-regelgeving zware boetes voor niet-naleving met zich meebrengen.
Gevolgen voor het bedrijfsleven: ePrivacy kan “turbulenter” zijn dan AVG
De meest recent bekend geworden regels die in de ePrivacywet zouden worden opgenomen lijken er op te duiden dat sommige bedrijfstakken – met name reclame, marketing en media – er door getroffen worden. In deze branches wordt daarom momenteel stevig gelobbied om de voorstellen in Brussel af te zwakken.
De gevolgen voor media, marketing en reclame kunnen ingrijpend zijn omdat het verboden wordt om bijvoorbeeld aan directmarketing of telemarketing te doen zonder voorafgaande toestemming, wat betekent dat sommige organisaties hun reclamecampagnes en marketing zullen moeten heroverwegen.
De ePrivacy-verordening zal waarschijnlijk van invloed zijn op de online reclamecampagnes en analytische oplossingen van bedrijven. Hoe ver de verordening gaat, valt nog te bezien, maar er bestaat weinig twijfel over dat veel bedrijven hun praktijken zullen moeten aanpassen.
Net als bij de AVG zullen de impact van ePrivacy en zware boetes niet beperkt blijven tot bedrijven die in de EU gevestigd zijn.
Privacy Nieuws
Het Europees Hof voor de Rechten van de Mens vindt dat Britse wetten die massasurveillance door spionagediensten mogelijk maken een schending vormen van het recht op privacy en de vrijheid van meningsuiting.
Volgens het mensenrechtenhof in Straatsburg is de massale onderschepping van communicatiegegevens door Britse geheime diensten in strijd met het recht op privacy, omdat er onvoldoende toezicht en waarborgen zijn.
Strenge eisen
Het op grote schaal verzamelen van communicatieverkeer zelf is niet in strijd met de mensenrechten, maar moet volgens het Europees Hof wel aan strenge eisen voldoen.
Telecomproviders
Ook het feit dat telecomproviders communicatie aan Britse inlichtingendiensten doorgeven is door het mensenrechtenhof onwettig verklaard. Ook bij deze handelingen zijn onvoldoende waarborgen ingebouwd.
Het Europees Hof voor de Rechten van de Mens heeft in de zaak over de Britse spionagewetgeving vastgesteld dat:
- Het historische bulk-interceptiesysteem van het Verenigd Koninkrijk een inbreuk op het recht op bescherming van de persoonlijke levenssfeer vormt. Dit recht wordt beschermd door artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM), en op het recht op vrije meningsuiting, dat wordt beschermd door artikel 10.
- Het onderscheppen van communicatiegegevens net zo’n zware inbreuk op de privacy is als het onderscheppen van inhoud, wat betekent dat de Britse regeling voor het massaal onderscheppen van communicatiegegevens onwettig is.
- De Britse regeling voor het toestaan van bulkcontrole is niet in staat om de “inmenging” te beperken tot wat “noodzakelijk is in een democratische samenleving”.
De volledige uitspraak van het Europese Hof vind je hier.
Edward Snowden
De illegale spionagepraktijken van de Britse inlichtingendiensten kwamen aan het licht door de onthullingen van de Amerikaanse klokkenluider Edward Snowden in 2013.
Britse overheid bespioneerde Amnesty International
Drie jaar geleden dwong deze zelfde zaak de Britse regering toe te geven dat de geheimedienst GCHQ Amnesty International bespioneerde. “Een duidelijk teken dat ons werk en de mensen met wie we samenwerken in gevaar waren gebracht”, aldus Lucy Claridge, Directeur Strategische Geschillen van Amnesty International.
Alliantie van voorvechters privacy en meningsvrijheid
De zaak bij het Europees Hof voor de Rechten van de Mens werd aangespannen door Amnesty International, Liberty, Privacy International en elf andere mensenrechten- en journalistieke groepen – evenals twee individuen – die gevestigd zijn in Europa, Afrika, Azië en Noord- en Zuid-Amerika.
Misbruik toezichtsbevoegdheden
“De uitspraak van vandaag betekent een belangrijke stap voorwaarts in de wereldwijde bescherming van de privacy en de vrijheid van meningsuiting. Het geeft een sterk signaal af aan de regering van het Verenigd Koninkrijk dat het misbruik maakt van zijn uitgebreide toezichtsbevoegdheden en indruist tegen de beginselen die het beweert te verdedigen”, aldus Lucy Claridge.
“Dit is vooral belangrijk vanwege de bedreiging die overheidstoezicht vormt voor degenen die werkzaam zijn in mensenrechten en onderzoeksjournalistiek. Mensen die vaak hun eigen leven wagen om zich uit te spreken. Drie jaar geleden dwong deze zelfde zaak de Britse regering toe te geven dat GCHQ Amnesty bespioneerde – een duidelijk teken dat ons werk en de mensen met wie we samenwerken in gevaar waren gebracht.”
Grote overwinning voor rechten en vrijheid van mensen
“Dit is een grote overwinning voor de rechten en vrijheid van mensen in het Verenigd Koninkrijk. Het toont aan dat er een grens is – en moet zijn – aan de mate waarin staten hun burgers kunnen bespioneren. Politie en inlichtingendiensten hebben geheime toezichtsbevoegdheden nodig om de bedreigingen waar we vandaag de dag mee te maken hebben aan te pakken – maar het Hof heeft geoordeeld dat deze bedreigingen niet rechtvaardigen dat iedere burger zonder adequate bescherming wordt bespioneerd.”
“Onze regering heeft een surveillanceregime opgebouwd dat extremer is dan dat van welke andere democratische natie dan ook en heeft de rechten en vrijheden die terroristen juist willen aanvallen, opgegeven. Het kan en moet ons een effectief, doelgericht systeem geven dat onze veiligheid, gegevensbeveiliging en grondrechten beschermt”, aldus Caroline Wilson Palow, General Counsel bij Privacy International.
“In het arrest wordt ook terecht erkend dat het verzamelen van communicatiegegevens – wie, wat en waar van onze communicatie – net zo ingrijpend is als het verzamelen van de inhoud.”
Hoger beroep
De uitspraak is gedaan door de op een na hoogste rechtbank van het Europees Hof voor de Rechten van de Mens. Beide partijen kunnen nog in hoger beroep.
Privacy Nieuws
Mogen wij nog wel nieuwsbrieven versturen op basis van de mailadressen die we al jarenlang gebruiken? Wij hebben geen opt-in gegevens. Een dilemma waar veel bedrijven voor staan bij het inrichten van de organisatie voor de privacywet AVG / GDPR.
Moeten zulke organisaties hun hele mailinglijst vernietigen?
Zo’n drastische maatregel is soms, maar gelukkig niet altijd nodig.
Er zijn een aantal oplossingen. En soms heel eenvoudig.
Maar laten we eerst beginnen bij het begin.
Goed dat u zich verdiept in het zorgvuldig en rechtmatig inrichten van uw emailmarketing.
U weet waarschijnlijk al dat emailmarketing binnen de GDPR aan strenge regels gebonden is.
Niet zonder reden.
Veel mensen ergeren zich iedere dag aan de vele spam-mail die ze in hun mailbox aantreffen.
Daarbij veel nieuwsbrieven waar ze zich nooit op hebben geabonneerd.
Eenvoudig afmelden onvindbaar
Of nieuwsbrieven waar ze zich ooit impulsief wel op hebben geabonneerd, maar waar ze maar niet vanaf komen omdat er geen duidelijke en eenvoudige afmeldfunctie te vinden is.
Dan hebben we natuurlijk ook nog de reclamemail die je krijgt omdat je ooit in een winkel of op een beurs je mailadres hebt ingevuld voor een of andere vage winactie die je je al niet meer kunt herinneren.
En er zijn bedrijven die voor weinig geld een bestand met mailadressen hebben gekocht voor een reclamecampagne. Ze hebben geen idee hoe de verkopende partij aan de adressen is gekomen.
De nieuwe privacywet AVG / GDPR moet een einde maken aan schimmige emailmarketingpraktijken. Om dat te bewerkstelligen zijn er een paar duidelijke voorwaarden waaraan een emailmarketingcampagne voortaan moet voldoen.
Ondubbelzinnige toestemming
De belangrijkste is dat de persoonsgegevens die gebruikt worden voor emailmarketing op basis van de grondslag ‘ondubbelzinnige toestemming’ moet zijn verkregen. Dat betekent dat personen bewust toestemming moeten geven voor het gebruik van zijn/haar gegevens en dat ook duidelijk moet zijn waar deze toestemming voor is.
Deze toestemming moet gegeven worden aan de hand van actie die de ander moet doen en waarvan het effect dan ook volledig duidelijk is, zoals een schriftelijke verklaring of mondelinge verklaring.
Uit deze verklaring blijkt dat ‘de persoon specifiek, vrijelijk, geïnformeerd en ondubbelzinnig instemt met de verwerking van zijn persoonsgegevens’.
Organisaties moeten kunnen bewijzen dat ze toestemming hebben gevraagd (wanneer, hoe, waarvoor) en gekregen (wanneer, hoe).
De toestemming moet voldoen aan de volgende punten:
- De e-mail opt-in moet een duidelijk en een bevestigende actie zijn. Het akkoord mag dus niet al vooraf aangevinkt zijn.
- Het mag geen onderdeel zijn van de algemene voorwaarden.
- Er moet sprake zijn van een actieve handeling. De persoon moet deze handeling altijd zelf doen om toestemming te geven op de verwerking van de persoonsgegevens. Dit kan een schriftelijke of een mondeling verklaring zijn. Niets aanvinken is dus geen toestemming.
- De toestemming moet in vrijheid zijn gegeven, dus er mag geen verplichting achter zitten. Er mag geen combinatie worden gemaakt dat als iemand iets wil ontvangen, er een verplichting ontstaat om toestemming te geven.
- Er moet sprake zijn van een specifieke verwerking en een specifiek doel. Dit houdt in dat het duidelijk moet zijn waarom de gegevens verwerkt worden, wat het doel hiervan is. Als je een telefoonnummer ter verificatie van een levering vraagt, mag dit telefoonnummer niet gebruikt worden voor marketing doeleinden, tenzij de klant hier expliciet toestemming voor heeft gegeven. Ook het verzamelen van specifieke persoonsgerelateerde data zonder direct doel, of om er in te toekomst nog iets mee te doen, is niet meer toegestaan.
- De persoon die instemt, moet gericht worden geïnformeerd. Een moeilijke juridische tekst voorleggen aan bijvoorbeeld jongeren wil dus niet zeggen dat ze geïnformeerd zijn. Voor hen is het namelijk moeilijk om zo’n tekst te begrijpen.
- Er moet sprake zijn van ondubbelzinnigheid. Hiermee wordt bedoeld dat de toestemming niet dubbelzinnig gegeven mag worden en dat het duidelijk is dat er geen twijfel ontstaat over de vraag of de toestemming bewust is gegeven. Deze toestemming moet ook op elk moment weer ingetrokken kunnen worden.
Bovenstaande eisen gelden vanaf 25 mei niet alleen voor nieuwe abonnees op uw nieuwsbrief, maar ook voor bestaande abonnees.
Stel dat u niet kunt aantonen hoe u aan de mailadressen bent gekomen?
Wat dan?
Allereerst contact opnemen met een gediplomeerde privacymanager of functionaris gegevensbescherming. Bijvoorbeeld met PrivacyZone. Bespreek uw situatie. Soms is er een maatoplossing nodig.
Ga niet zelf experimenteren met voorbeelden zoals in dit artikel zo gegeven worden. Voorkom dat u een belangrijk specifiek detail dat in uw geval van toepassing is over het hoofd ziet.
Welk emailmarketingsysteem gebruikt u bijvoorbeeld? Voldoet dat aan de eisen? Hebt u het systeem goed ingericht?
Een fout kan u duur komen te staan. Een hoge boete van de Autoriteit Gegevensbescherming, imagoschade. Neem geen risico.
Als u contact opneemt met een privacymanager of functionaris gegevensbescherming kunt u vragen om te assisteren bij het opzetten van twee eenvoudige oplossingen om met uw bestaande adressenbestand nieuwsbrieven te kunnen blijven sturen.
De eenvoudigste oplossing is de soft-optin. E-mailberichten aantoonbaar bestaande klanten met reclame voor eigen en/of soortgelijke producten en/of diensten mogen zonder opt-in worden verstuurd
Wat is soft opt-in?
Soft opt-in is geregeld in de Telecomwet en betreft een specifieke voorziening voor het gebruik van elektronische contactgegevens (zoals e-mailadressen) die zijn verkregen in het kader van een bestaande klantrelatie, ofwel bij de verkoop van een eigen product of dienst.
Voor het gebruik van deze elektronische contactgegevens geldt een opt-out regime voor zover het gaat om het overbrengen van communicatie over eigen en/of soortgelijke producten en/of diensten.
Kortom, e-mailberichten aan klanten met reclame voor eigen en/of soortgelijke producten en/of diensten kunnen zonder opt-in worden verstuurd, maar dienen wel altijd een opt-out te bevatten.
Aangezien deze regeling wordt gezien als een beperkte verzachting of versoepeling van de harde opt-in regel, wordt er gesproken van soft opt-in.
De nette manier
Veel mensen zullen zich na 25 mei afvragen hoe bedrijven aan hun mailadresgekomen zijn. Ze weten niet meer of ze zichzelf ooit hebben aangemeld. Door alle media-aandacht over de GDPR gaan mensen bedrijven op de proef stellen. Ze gaan vragen of u kunt aantonen hoe u aan hun adres bent gekomen of waarom u hen mail stuurt.
Als de soft opt-in methode op u van toepassing is hebt u wettelijk dan wel de boel op orde, maar door alle commotie en onduidelijkheid rond de GDPR hebt u toch de schijn tegen. U handelt dan nog steeds schimmig in de ogen van sommige klanten. Dat is jammer en onnodig.
Advies: plaats in iedere nieuwsbrief die u uitstuurt eenvoudig een kleine GDPR-melding mee. Leg in een paar zinnen uit waarom uw klant de nieuwsbrief ontvangt en hoe u op basis van de GDPR met persoonsgegevens van uw klanten omgaat. Vraag vervolgens om een herbevestiging van de aanmelding voor de nieuwsbrief. (“Bevestig je inschrijving op deze nieuwsbrief”) en link door naar een landingspagina waar je expliciet om een toestemming vraagt.
Deze nette methode heeft een nadeel. Er zullen zich onherroepelijk mensen afmelden voor de nieuwsbrief. Is dat erg? Het zou omzet kunnen schelen. Maar waarschijnlijk valt dat wel mee. Deze klanten melden zich niet voor niets af. Zijn het dan nog wel klanten?
Nog een laatste tip.
Zorg er voor dat u uw administratie voor de emailmarketing op orde heeft. Splits uw database met nieuwsbriefcontacten op in twee segmenten. Mail bovenstaande boodschap alleen naar de contacten waarvan u een re-opt-in nodig hebt.
P.S. 1: Is dit allemaal mogelijk met het nieuwsbriefsysteem dat u gebruikt? Schroom niet om professionele ondersteuning in te schakelen. Uw eigen uren kosten toch ook geld? En misschien bent u veel meer tijd kwijt dan een deskundige.
P.S. 2: Hebt u zich al aangemeld voor de nieuwsbrief van PrivacyZone? Stel ons gerust op de proef.
