De impact van de AVG op culturele organisaties

Nieuwsbrieven verzenden, remarketing op social media, website bezoekers meten en online kaartverkoop monitoren. Deze marketingmiddelen zet jij als cultuur marketeer waarschijnlijk regelmatig in om je publiek beter te leren kennen en te bereiken. Vaak gaan deze middelen gepaard met het (onrechtmatig) gebruik van persoonsgegevens zoals browse-gedrag, IP adres, e-mailadres en demografische gegevens. Maar let goed op, want de regels omtrent online privacy en het verzamelen van persoonlijke data worden steeds strenger. Per 25 mei 2018 treedt namelijk de nieuwe Algemene verordening gegevensbescherming (AVG) in. Mestmag.nl dook in het onderwerp en deelt praktische tips om volledig compliant te zijn op 25 mei dit jaar.

– Geschreven door Tanneke Rouws, namens Afdeling Online

Wat houdt de AVG in?

De voorloper van de AVG is de Wet bescherming persoonsgegevens (Wbp). Deze wet is sinds 1997 van kracht. Het grootste nadeel van deze wet is dat hij per land verschillend wordt geïnterpreteerd. Met het huidige, snel ontwikkelende medialandschap is het van belang dat deze wet aangescherpt wordt. En vooral dat de wet voor heel de Europese Unie eenduidig is. Per 25 mei 2018 is het dan zover: de intrede van de Algemene verordening gegevensbescherming (AVG). Deze nieuwe wet waarborgt de privacy van de burger en draait om het verzamelen, opslaan en gebruiken van persoonlijke data. Twee kernwoorden binnen deze wet zijn ‘persoonlijke data’ en ‘transparantie en toestemming’. Hieronder een korte beschrijving van deze begrippen:

Persoonlijke data

Persoonlijke data is alles wat jou als persoon definieert: van IP adres tot DNA en van e-mailadres tot burgerservicenummer. Ook als gegevens niet direct naar jou als persoon te herleiden zijn, noemen we dit persoonlijke data.

Transparantie en toestemming

De AVG zorgt voor transparantie over waar en wanneer jouw persoonlijke data wordt opgeslagen en wat er met deze data gedaan wordt. Het is van belang dat je als individu actief en bewust toestemming geeft voor het bewaren en gebruiken van je persoonlijke data.

“Persoonlijke data is alles wat jou als persoon definieert: van IP adres tot DNA en van e-mailadres tot burgerservicenummer.” – Tanneke Rouws

De 6 rechten van een individu binnen de AVG

De AVG gaat dus om persoonlijke data, transparantie en actief en bewust toestemming verlenen. Ook beschrijft de AVG dat het individu zijn of haar opgeslagen persoonlijke data te allen tijde kan controleren, wijzigen of zelfs ongedaan kan maken. Jij blijft namelijk te allen tijde eigenaar van je eigen data. Dit zijn de zes overkoepelende rechten die ieder individu heeft:

  1. Recht op informatie. Je hebt recht om te weten hoe jouw data wordt verwerkt. De informatie dient beknopt, in begrijpelijke taal én gratis verstrekt te worden
  2. Recht op toegang. Je hebt te allen tijde recht om je data in te zien en om te weten waar je data voor gebruikt wordt
  3. Recht op rectificatie. Wil je je persoonsgegevens laten wijzigen? Dan dient de verwerkende organisatie je gegevens binnen één maand te wijzigen. Ook als de informatie is gedeeld met derden, is de verwerkende partij verantwoordelijk voor rectificatie
  4. Recht op verwijdering. Als data niet langer meer wordt gebruikt waarvoor deze is verzameld, dient de data verwijderd te worden. Dat geldt ook als een individu zijn toestemming intrekt of protesteert
  5. Recht op restrictie. Je hebt het recht om het gebruik van je data te blokkeren. In dit geval mag de data niet gebruikt worden, maar wel opgeslagen blijven
  6. Recht op verhuizing. Wanneer een individu een verhuizing van aangeleverde data heeft aangevraagd, dient deze verhuizing gratis te gebeuren. Denk hierbij aan het verhuizen van patiëntgegevens

Recht op restrictie
Recht op restrictie

Vier rollen binnen een informatiestroom

We hebben nu vooral de rechten van het individu besproken, maar er verandert voor jou als (culturele) organisatie ook één en ander. Om de veranderingen helder te krijgen, is het belangrijk om te weten welke rollen er bestaan binnen een informatiestroom. Hieronder lees je de vier rollen met de bijbehorende rechten en plichten:

  1. Verwerkingsverantwoordelijke: deze persoon of organisatie is degene die het verzamelen van persoonsgegevens initieert, toestemming geeft en eindverantwoordelijk is. We nemen als voorbeeld: Theater X
  2. Betrokkene: dit is het individu waarvan persoonlijke data verzameld wordt. De zes rechten die we eerder bespraken, zijn bestemd voor de betrokkene. We nemen als voorbeeld een bezoeker van Theater X
  3. Verwerker: dit is de persoon die, of het systeem dat, opdracht heeft gekregen om de persoonsgegevens daadwerkelijk te verzamelen en te verwerken. Denk dan aan de communicatiemedewerker van Theater X, de e-mailmarketing software of de Facebookadvertentie
  4. Subverwerker: dit is een externe partij waaraan de verwerking van persoonsgegevens wordt uitbesteed. Denk aan een marketingbureau dat in opdracht werkt van Theater X. Wanneer je samenwerkt met een extern bureau, is het belangrijk dat je een verwerkersovereenkomst sluit. Hierin wordt vastgelegd hoe beide partijen met de data om dienen te gaan en wie waarvoor verantwoordelijk is.

Daarnaast is het voor organisaties met meer dan 250 medewerkers verplicht om een Data Protection Officer (DPO) aan te stellen. Deze persoon zorgt ervoor dat de AVG correct wordt nageleefd.

De praktische veranderingen van de AVG voor online marketing

Even concreet, want welke online veranderingen brengt de AVG teweeg? Hieronder lichten we er slechts enkele uit, maar wellicht zijn er voor de informatiestromen binnen jouw (culturele) organisatie andere wijzigingen noodzakelijk.

  • Op een contactformulier is transparantie over waar je persoonlijke data voor gebruikt wordt verplicht, evenals over waar en hoe lang de data wordt bewaard. Vertel op het contactformulier ook wie het aanspreekpunt is als de data gewijzigd of verwijderd moet worden
  • Als iemand zijn gegevens achterlaat via bijvoorbeeld een contactformulier, is het volgens de AVG verboden dat het vinkje automatisch aanstaat voor ‘Ja, ik wil de nieuwsbrief ontvangen’
  • Het is van belang dat je in de voorwaarden duidelijk communiceert waar de data voor gebruikt wordt en waar de data wordt opgeslagen
  • Verzamelde data mag niet inactief Je mag bijvoorbeeld geen verouderde CRM-systemen bezitten. Verwijder dus contacten waarmee je al circa zes maanden niet hebt gecommuniceerd
  • Voorheen mochten er cookies geplaatst worden om de website te verbeteren. Denk daarbij aan A/B testen op je website. Volgens de AVG mogen deze functionele cookies niet meer gebruikt worden, mits je een cookiewall implementeert
  • Een ander feitje over de cookiewall is dat de websitegebruiker voortaan de keuze moet hebben om de cookies niet te accepteren. Ook wanneer de websitegebruiker kiest voor ‘Nee’, moet de website in volle glorie beschikbaar zijn

Voorbeeld van een cookiewall volgends de AVG
Voorbeeld van een cookiewall volgends de AVG

  • Ook voor het gebruik van Google Analytics veranderen er zaken. Zorg ervoor dat je op de cookiewall vermeldt dat persoonlijke data wordt gedeeld met Google. Om de privacy van de websitegebruiker te waarborgen is het ook slim om IP Anonymize te gebruiken. Daarmee worden de IP adressen van de websitegebruikers onzichtbaar voor jou als Analytics beheerder. Zorg er ook voor dat binnen Analytics de vinkjes onder ‘Data Sharing Setting’ uitstaan (zie afbeelding hieronder). Op die manier wordt de data niet gedeeld met Google.

Vinkjes onder ‘Data Sharing Setting’ staan uit
Vinkjes onder ‘Data Sharing Setting’ staan uit

  • De AVG is er ook om de privacy en persoonsgegevens van kinderen onder de 16 jaar te beschermen. Pas wanneer het kind 16 jaar of ouder is, mag hij of zij rechtsgeldig toestemming geven in een online omgeving. Handig om te weten voor organisaties die zich bezig houden met cultuureducatie en amateurkunst
  • De AVG is bedoeld voor organisaties die structureel gegevens verzamelen. Houd je je als organisatie niet aan de regels, dan riskeer je een boete die kan oplopen tot 4% van de wereldwijde jaaromzet of 20 miljoen euro. Maar geen paniek, de rechter zal altijd vanuit redelijkheid en billijkheid oordelen of een boete nodig is

Bereid je voor op de AVG met deze checklist:

  1. Laat zo nodig een Privacy Impact Assessment (PIA) uitvoeren. Hiermee kun je informatiestromen in kaart brengen en daarna eventueel maatregelen nemen om privacyrisico’s te verkleinen
  2. Breng de rollen binnen je informatiestromen in kaart
  3. Werk je met een derde partij? Sluit dan een verwerkersovereenkomst
  4. Richt je informatiestromen zo in dat ze voldoen aan de gestelde regels
  5. Implementeer een cookiewall en ben transparant over het verzamelen en gebruiken van persoonlijke data
  6. Controleer je contactformulieren op transparante informatie en géén automatische vinkjes
  7. Verwijder persoonlijke data van mensen die nooit toestemming hebben gegeven of vraag hen alsnog om toestemming
  8. Indien nodig: wijzig de algemene voorwaarden rondom privacy en het verzamelen van persoonlijke data

Voor iedere branche liggen de nuances anders en gelden er andere regels. De AVG zal dus voor iedere organisatie afzonderlijk ingericht worden. Wil je op detailniveau weten welke consequenties de AVG met zich meebrengt voor jouw organisatie? Neem dan contact op met een jurist. Wil je op marketingniveau meer weten over de gevolgen van de AVG? Neem dan gerust contact op met één van de experts van Afdeling Online.

Tijdens bkkc connects | marketing, data & privacy, op donderdag 5 april, praat Jaap Schepers van Afdeling Online je bij over de nieuwe privacywetgeving. Verwacht geen ingewikkeld juridisch verhaal, maar een uitleg in begrijpelijke taal en praktisch toepasbare tips voor de dagelijkse praktijk voor onder andere cultuurmarketeers. De bijeenkomst is gratis toegankelijk.

Heb je specifieke vragen die je tijdens deze bijeenkomst graag aan bod zou zien komen, reageer dan op dit artikel of neem contact op met op met Daniëlle van Dosselaar, adviseur marketing en communicatie van bkkc.

Share on Facebook63Share on LinkedIn0Tweet about this on Twitter
Tags:
4 Reacties
  • Marten Post
    Geplaatst op 12:19h, 15 mei Beantwoorden

    Een informatief en bruikbaar artikel! Tanneke Rouws, is het mogelijk om hier een pdf van te krijgen die ik door kan geven aan
    het bestuur van onze culturele stichting. alvast bedankt.

    • Tanneke Rouws
      Geplaatst op 14:36h, 15 mei Beantwoorden

      Hallo Marten, bedankt! Fijn dat het een bruikbaar artikel is voor je. Zou je me een mailtje willen sturen naar tanneke@afdelingonline.nl met je verzoek? Dan kan ik daarop reageren en het artikel met je delen.

      Groetjes,
      Tanneke

  • Tessa Verder
    Geplaatst op 12:42h, 21 mei Beantwoorden

    Goedendag, hartelijk dank voor het artikel.
    Ik ben kunstenaar en heb een lijst van 500 email-adressen aan wie ik een paar keer per jaar een nieuwsbrief stuur.
    Onder de adressen uiteraard ook namen van bijvoorbeeld musea en galeries.
    Velen stuur ik al jaren de nieuwsbrief met daarin de mogelijkheid tot afmelding, maar heb geen actief bewijs van aanmelding.
    Ook namen van mensen die mij bijvoorbeeld een visite-kaartje hebben gegeven of ingetekend hebben op een lijst bij tentoonstelling.

    Moet ik nu
    1: een email rondsturen met daarin de vraag om actieve toestemming en bij geen reactie de adressen uit mijn systeem te halen ?
    2: een email rondsturen met daarin de informatie dat ze in mijn bestand staan en dat ze zich kunnen afmelden bij geen interesse ?
    3. niets ondernemen en gewoon de nieuwsbrief blijven sturen met elke keer de mogelijkheid tot afmelding?

    Met vriendelijke groet,
    Tessa

    • Tanneke Rouws
      Geplaatst op 17:33h, 22 mei Beantwoorden

      Hoi Tessa, bedankt voor je vraag! Mijn advies is om te gaan voor optie #1. Zo voorkom je namelijk dat mensen je mailtje (waarin je toestemming vraagt) over het hoofd zien en alsnog je nieuwsbrief (ongewild) ontvangen. Leg in die toestemmingsmail goed uit waarvoor je de e-mailadressen gebruikt, hoe vaak je contact op zult nemen en wat voor informatie ze kunnen verwachten. Zorg er ook voor dat je in elke nieuwsbrief een optie tot uitschrijven plaatst.

      Hopelijk heb ik je vraag zo beantwoord.

      Groetjes, Tanneke

Geef een reactie