Blog: AVG proof

Persoonsgegevens verwerken

6 minuten 20 juli 2020

Bij vrijwel alle online activaties worden persoonsgegevens verzameld. Om te voldoen aan de AVG is het is belangrijk dat je als marketeer kennis hebt van de manier waarop deze gegevens worden opgeslagen en verwerkt. Deze kennis wordt helaas niet door elk tech bedrijf op een transparante manier gedeeld. Hierdoor blijven veel relevante vragen rondom het verwerken van persoonsgegevens onbeantwoord. Om deze reden bespreek ik in dit artikel de meest voorkomende vragen en scenario’s die betrekking hebben op privacy en data veiligheid bij online activatie.

Wat is een persoonsgegeven?

Allereerst is het goed om te weten wat er onder een persoonsgegeven wordt verstaan. We gaan uit van de juridische betekenis van de Autoriteit Persoonsgegevens (AP):

De AVG geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.

Er zijn veel soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook IP-adressen, telefoonnummers en postcodes met huisnummers zijn persoonsgegevens.
bron: website AP

Welke persoonsgegevens mag ik opslaan?

Bij een online activatie mag je alleen die persoonsgegevens opslaan die nodig zijn voor de (veilige) verwerking van de online activatie. Dit ‘gerechtvaardigd belang’ of ‘grondslag’ is alleen van toepassing als je niet meer persoonsgegevens verwerken dan strikt noodzakelijk voor het bereiken van het gezamenlijk doel van jou als bedrijf en de deelnemer. Daarnaast moet de deelnemer akkoord zijn gegaan (opt-in) met de voorwaarden waarop de data wordt verwerkt.

Door welke partij worden persoonsgegevens opgeslagen?

In Europa is bepaald dat doorgifte van persoonsgegevens naar landen buiten de EU alleen mag als deze landen een passend beschermingsniveau bieden. De Amerikaanse overheid heeft via de ‘CLOUD (Clarifying Lawful Use of Overseas Data) act’ inzage in data van Amerikaanse bedrijven. Dit geldt ook voor Amerikaanse bedrijven met een Europese dochter met servers in de EU. Dit is dus in strijd met de Europese wetgeving. Hier moest de EU-US Privacy Shield een oplossing voor bieden.

Het Privacy Shield is een afspraak tussen de VS en de EU om de data van Europeanen te beschermen tegen deze CLOUD act, zodat toch nog persoonsgegevens van Europeanen met de VS gedeeld mag worden. Deze afspraak is echter niet rechtsgeldig en het Europese Hof heeft op 16 juli 2020 het Privacy Shield verworpen.

Dit betekend dat alle opgeslagen persoonsgegevens op diensten van Amerikaanse bedrijven niet voldoen aan de AVG. Ook niet als er een ‘Standard Contractual Clause’ (SCC) wordt gebruikt. Een Amerikaanse bedrijf kan niet de volledige garantie bieden dat er geen persoonsgegevens van Europese inwoners kan worden ingezien door de Amerikaanse overheid. Het is dus van belang om te kijken of in jouw dataketen Amerikaanse diensten (zoals Mailchimp, Typeform, Amazon AWS, Microsoft Forms of Google Analytics), bevinden die namens jou persoonsgegevens verwerken. Als dat het geval is, moet je op zoek naar een Europees alternatief om te voldoen aan de AVG.

Een goed juridisch onderbouwd artikel over het gevolg voor (e-mail) marketing vind je op de blog van Mark van den Berg van Spotler.

Hoe lang mag ik persoonsgegevens bewaren?

Het is van belang om te kijken naar het doel en hoe lang deze gegevens nodig zijn om de bewaartermijn van de data te bepalen. Bij een win actie waarbij alleen de gegevens gebruikt worden om de winnaar te kiezen, is het niet nodig om de data langer te bewaren dan de actie duurt. Maar als deelnemers zich inschrijven voor de nieuwsbrief, dan is de bewaartermijn veel langer.

Er is op grond van de AVG in ieder geval geen wettelijk verplichte bewaartermijn voor persoonsgegevens. Wel dien je als bedrijf een laagdrempelige inzage- en verwijderverzoek te faciliteren, waarbij de deelnemer zichzelf kan verwijderen uit een database of nieuwsbriefinschrijving.

Wie heeft inzage in de persoonsgegevens?

Zodra er persoonsgegevens worden verzameld, komt er een moment dat deze data geïnterpreteerd moet worden of moet worden overgezet naar een CRM of CPD. Het is van belang dat de persoonsgegevens alleen gedeeld worden met personen die daartoe gerechtigd zijn. Mocht er een datalek voorkomen, dan wil je weten bij welke persoon of organisatie deze is ontstaan. Het is dan ook van belang om inzichtelijk te maken wie en wanneer er iemand inzage heeft in de persoonsgegevens en wat de rollen zijn.

Het is wettelijk verplicht om met elke verwerker van persoonsgegevens een verwerkersovereenkomst te sluiten.

Hoe verkrijg ik deze informatie van mijn verwerker?

Het is wettelijk verplicht om met elke verwerker van persoonsgegevens een verwerkersovereenkomst te sluiten. In deze overeenkomst staat exact vermeld welke persoonsgegevens worden opgeslagen. Daarnaast meldt de overeenkomst hoe en waar de verwerker deze gegevens opslaat en welke subverwerkers er worden gebruikt voor de opslag en verwerking. Zo krijg je als marketeer inzicht in de verwerkte data en de keten van dataverwerking.

Diensten van Amerikaanse bedrijven zoals Google, Amazon, Facebook of Microsoft bieden ook een verwerkersovereenkomst aan. In vrijwel alle gevallen hebben deze partijen een eigen overeenkomst waarmee je akkoord dient te gaan. Aanvullende regels en voorwaarden die specifiek voor jouw bedrijf gelden, kunnen niet worden toegevoegd aan deze ‘algemene’ voorwaarden. Zoals eerder aangegeven in dit artikel zijn alle overeenkomsten van deze Amerikaanse techbedrijven ongeldig, omdat ze momenteel niet kunnen voldoen aan de AVG. Het verwerken van data via een Amerikaanse subverwerker is dan ook niet aan te raden.

Wordt er gehandhaaft door de AP?

Het verwerken van persoonsgegevens via diensten aangeboden door Amerikaanse bedrijven hebben door de Privacy Shield uitspraak van het Europese Hof grote gevolgen. Geen enkel Europees bedrijf mag persoonsgegevens delen met een Amerikaans bedrijf. Het hof heeft ook besloten dat toezichthouders als de AP hier vanaf nu actief op moeten handhaven. Het is dan ook een kwestie van tijd tot privacy activisten klachten zullen indienen bij de toezichthouders. De AP kan bedrijven die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Er is officieel geen gedoogperiode, dus er kan direct opgetreden worden opgetreden door de AP. In de praktijk zal de mate van ingrijpen door de AP afhankelijk zijn van de mate en schaal van de overtreding.

Red Button Digital en verwerking persoonsgegevens

Zoals je kunt lezen in dit artikel kun je voor het verwerken van persoonsgegevens niet meer gebruik maken van een Amerikaanse dienst. Dit zal waarschijnlijk van tijdelijke aard zijn, aangezien Europa inmiddels in gesprek is met de VS om nieuwe afspraken te maken. Het loont echter om actief te zoeken naar Europese alternatieven als je geen risico wilt lopen op een boete van de AP.

Bij Red Button Digital werken we voor onze maatwerk en white label online activaties al jaren met de regel ‘privacy first’. Wij nemen onze verantwoordelijkheid om een AVG-proof dienst aan te bieden. We zijn volledig transparant in de Nederlandse en Europese subverwerkers waar we al jaren mee werken. Daarnaast adviseren we onze klanten actief in het navolgen van de regels van de AVG. Met ons kantoor in Hilversum, datacenters in Amsterdam en Delft en jarenlange ervaring in online activatie hoef je je met Red Button Digital in ieder geval geen zorgen te maken over de verwerking van de data van je online activaties.

Op zoek naar AVG proof marketingsucces met online activatie?

Heb je aan de hand van dit artikel vragen over online activatie? Laat het ons weten en laat een berichtje achter.

Deel met