Met de nieuwe gegevensbeschermingswetgeving van de EU, legt Andrew Beverley van InfoSaaS uit hoe merken aan de goede kant van AVG kunnen blijven.

Aangezien het bereik van sociale media steeds groter wordt, lijkt een artikel over de toekomstige wetgeving inzake gegevensprivacy misschien een vervloeking.

Je hebt misschien het idee dat sociale media over relaties, betrokkenheid en interactiviteit gaat en niet echt over gegevensprivacy, online beveiliging en toestemming van deelnemers.

Nou… het is tijd om opnieuw te denken.

Mocht je jezelf hebben verstopt of de afgelopen maanden in een grot hebben gezeten. Er is in mei één en ander veranderd rondom privacy en dit alles is opgenomen in een nieuwe wet: de EU General Data Protection Regulation (GDPR) of in het Nederlands, de Algemene Verordering Gegevensbescherming (AVG).

Deze nieuwe verordening is op 25 mei 2018 in werking getreden en is van toepassing op alle 28 lidstaten van de EU.

De regering van het Verenigd Koninkrijk heeft onlangs haar ontwerp-wetsvoorstel inzake gegevensbescherming gepubliceerd, dat nauw aansluit bij GDPR en na de Brexit zal dit ervoor zorgen dat een equivalent van deze nieuwe wetgeving inzake gegevensbescherming in het Verenigd Koninkrijk van kracht blijft.

De EU noemt het “de belangrijkste verandering in de regelgeving op het gebied van gegevensprivacy in 20 jaar”, dus het zal onverstandig zijn om het te negeren en ervan uit te gaan dat het niet van toepassing is op jouw organisatie. Dat geldt ook voor Amerikaanse organisaties, en eigenlijk overal in de EU.

Wat zijn de belangrijkste kenmerken van AVG?

Veel. Maar teruggaand naar de basis, een van de belangrijkste kenmerken van de AVG is de vereiste voor ‘privacy by design’, wat een goede planning inhoudt voor de manier waarop persoonlijke gegevens veilig worden beheerd en verwerkt.

Of het nu gaat om personeelsgegevens voor HR-doeleinden, betaalkaartgegevens voor online transacties of medische dossiers die worden gebruikt door een dokterspraktijk, artikel 35 van de AVG vereist dat deze processen zodanig worden onderzocht dat betrokkenen duidelijkheid hebben over de effectieve bescherming van hun persoonlijke gegevens.

De AVG vereist dat een van de zes categorieën van “wettelijke basis voor de verwerking van persoonsgegevens” aanwezig is. Met twee in het bijzonder:

  • Toestemming van de betrokkene – hiermee bedoelen we klant, potentiële klant, beïnvloeder, in feite iedereen die zich niet in de gegevensverwerkende organisatie bevindt.
  • Noodzakelijk voor de uitvoering van een contract met de betrokkene – een controleerbare overeenkomst tussen de organisatie waarin het aanvaardbare gebruik van hun persoonsgegevens wordt toegelicht.

Social Media en AVG, wat is de link?

Als marketeer maak je het meest effectief gebruik van de beschikbare sociale media tools of platforms zoals Facebook, LinkedIn, Twitter, Pinterest, WhatsApp, Snapchat of Instagram.

Het laatste waar jij je waarschijnlijk zorgen over maakt, is dat jouw volgers, vrienden of connecties je daadwerkelijk toestemming geven om hun gegevens op te slaan of te gebruiken.

Je zal er vanuit gaan dat, wat toestemming en gegevensgebruik betreft, deze effectief worden behandeld in de algemene voorwaarden en privacykennisgevingen van elk van deze softwaretools.

Als gevolg van de bestaande wetgeving die bekend staat als het EU-VS-privacyschild, kunnen Amerikaanse organisaties (inclusief leveranciers van aanbieders van sociale media) zichzelf certificeren en zich committeren aan deze kaderovereenkomst, die ten grondslag ligt aan hun bescherming van EU-burgergegevens die aan hen zijn toevertrouwd.

Kort gezegd betekent dit dat zowel jij als je publiek op sociale media instemt met de voorwaarden van de tools die je gebruikt. De AVG zal ook van hen eisen dat zij een verantwoordelijke EU-vertegenwoordiger hebben die kan worden verantwoordelijk gehouden voor de AVG-conformiteit van de organisatie binnen Europa.

Dus het is de moeite waard om je bewust te zijn van het grotere geheel.

Het selectievakje voordat de app wordt geopend

Hoewel je waarschijnlijk net als wij geen grote fan bent van kleine lettertjes, zullen sociale media-gebruikers een duidelijke privacy-melding of iets dergelijks moeten krijgen, dat ter overweging beschikbaar is voordat ze besluiten zich aan te melden en te gaan deelnemen.

Deze zullen vrijwel zeker een van de twee wettelijke grondslagen bevatten voor verwerking hierboven (uitdrukkelijke toestemming of uitvoering van een contract).

Met de juiste zorg mag je dus gebruik maken van persoonlijke gegevens van jouw volgers van sociale media. Het is bijvoorbeeld niet acceptabel om het e-mailadres van een klant te vragen en vervolgens te gebruiken om dit in alle niet-aangegeven e-mailmarketing of gegevensverwerkingsactiviteiten te gebruiken.

Enkele andere sociale media-punten

De ‘gebruikersnaam’ van iemand op sociale media is een persoonlijke identificatie. Dit is belangrijk, want als iemand vrijwillig besluit om dat publiekelijk bekend te maken, dan is dat hun beslissing met volledig begrip en verwachting dat het door anderen zal worden gezien.

Een andere kanttekening is dat het interessant zal zijn om te zien hoe de sociale-mediaplatforms worden geacht om te gaan met de volgende verwijderingsverzoeken van gegevenssubjecten, vooral wanneer veel sociale media-interacties de deelname van twee of meer personen aan uitwisselingen van communicatie registreren. Is een eenvoudige verwijdering voldoende?

Van Social Media naar CRM

Als je sociale media is gekoppeld aan een CRM-account, moet dat vrijwillig worden verstrekt en niet worden toegevoegd door onafhankelijk onderzoek. Er is een groeiend aantal voorbeelden van organisaties die ‘verbeterde’ persoonlijke gegevens hebben die verder gaan dan die van de burger.

Het is van belang dat je er niet zomaar van uitgaat dat de persoon blij is dat zijn persoonlijke gegevens op een elektronisch systeem worden bewaard, vooral als je van plan bent die gegevens door te geven of aan een derde te verkopen waarbij de betrokkene geen band mee heeft.

Aangezien de aard van een sociale-mediarelatie meestal informeel is, is het jouw taak om specifiek te vragen of mensen ermee instemmen dat hun gegevens op een CRM-systeem worden bewaard.

Je kunt dit melden in een privacykennisgeving, maar ongeacht jouw methode, hebben burgers het recht om het te weten en daaropvolgende rechten om hun gegevens te valideren en zelfs te verzoeken dat je deze permanent verwijdert.

Slakkenpost (Snail Mail) VS. E-mail

Over het algemeen zijn een postadres en een e-mailadres anders: een e-mailadres identificeert meestal een enkele persoon, terwijl een postadres een groep mensen kan identificeren.

De AVG maakt echter geen onderscheid tussen B2B- en B2C-communicatie – zelfs B2B bevat vrijwel zeker altijd persoonlijke informatie over de beoogde werknemer-ontvanger; hun functie bijvoorbeeld de naam van hun werkgever of hun werklocatie.

Bij slakkenpost (Snail mail) heeft de verzender vooraf kosten (afdrukken, inpakken, frankering enz.), Terwijl het verzenden van een e-mail normaal gesproken gratis is. Hoewel het tot nu toe erg moeilijk is om ongewenste e-mails te verwijderen (AVG zal dat veranderen), met snail mail is het eenvoudig om dit gratis te retourneren.

Conclusie

Jij moet nu voldoen aan de AVG, of je wilt of niet. Je moet extra waakzaam zijn over of jouw organisatie persoonlijke gegevens van sociale media haalt uit de tools die je gebruikt en of je deze opslaat in een ander CRM-systeem of elders.

Als je twijfelt, doe het dan niet. Of beter nog, leg uit waarom, vraag toestemming en neem de toestemming op en verwerk deze in je overeenstemming met de toestemmingsgegevens.

Transparantie is immers een fundamenteel onderdeel van het winnen van het vertrouwen van de klant en iets waar we ons allemaal aan moeten committeren.