De impact van de AVG op culturele organisaties

Wat houdt de AVG in?

De voorloper van de AVG is de Wet bescherming persoonsgegevens (Wbp). Deze wet is sinds 1997 van kracht. Het grootste nadeel van deze wet is dat hij per land verschillend wordt geïnterpreteerd. Met het huidige, snel ontwikkelende medialandschap is het van belang dat deze wet aangescherpt wordt. En vooral dat de wet voor heel de Europese Unie eenduidig is. Per 25 mei 2018 is het dan zover: de intrede van de Algemene verordening gegevensbescherming (AVG). Deze nieuwe wet waarborgt de privacy van de burger en draait om het verzamelen, opslaan en gebruiken van persoonlijke data. Twee kernwoorden binnen deze wet zijn ‘persoonlijke data’ en ‘transparantie en toestemming’. Hieronder een korte beschrijving van deze begrippen:

Persoonlijke data

Persoonlijke data is alles wat jou als persoon definieert: van IP adres tot DNA en van e-mailadres tot burgerservicenummer. Ook als gegevens niet direct naar jou als persoon te herleiden zijn, noemen we dit persoonlijke data.

Transparantie en toestemming

De AVG zorgt voor transparantie over waar en wanneer jouw persoonlijke data wordt opgeslagen en wat er met deze data gedaan wordt. Het is van belang dat je als individu actief en bewust toestemming geeft voor het bewaren en gebruiken van je persoonlijke data.

De 6 rechten van een individu binnen de AVG

De AVG gaat dus om persoonlijke data, transparantie en actief en bewust toestemming verlenen. Ook beschrijft de AVG dat het individu zijn of haar opgeslagen persoonlijke data te allen tijde kan controleren, wijzigen of zelfs ongedaan kan maken. Jij blijft namelijk te allen tijde eigenaar van je eigen data. Dit zijn de zes overkoepelende rechten die ieder individu heeft:

1. Recht op informatie. Je hebt recht om te weten hoe jouw data wordt verwerkt. De informatie dient beknopt, in begrijpelijke taal én gratis verstrekt te worden

2. Recht op toegang. Je hebt te allen tijde recht om je data in te zien en om te weten waar je data voor gebruikt wordt

3. Recht op rectificatie. Wil je je persoonsgegevens laten wijzigen? Dan dient de verwerkende organisatie je gegevens binnen één maand te wijzigen. Ook als de informatie is gedeeld met derden, is de verwerkende partij verantwoordelijk voor rectificatie

4. Recht op verwijdering. Als data niet langer meer wordt gebruikt waarvoor deze is verzameld, dient de data verwijderd te worden. Dat geldt ook als een individu zijn toestemming intrekt of protesteert

5. Recht op restrictie. Je hebt het recht om het gebruik van je data te blokkeren. In dit geval mag de data niet gebruikt worden, maar wel opgeslagen blijven

6. Recht op verhuizing. Wanneer een individu een verhuizing van aangeleverde data heeft aangevraagd, dient deze verhuizing gratis te gebeuren. Denk hierbij aan het verhuizen van patiëntgegevens

Vier rollen binnen een informatiestroom

We hebben nu vooral de rechten van het individu besproken, maar er verandert voor jou als (culturele) organisatie ook één en ander. Om de veranderingen helder te krijgen, is het belangrijk om te weten welke rollen er bestaan binnen een informatiestroom. Hieronder lees je de vier rollen met de bijbehorende rechten en plichten:

1. Verwerkingsverantwoordelijke: deze persoon of organisatie is degene die het verzamelen van persoonsgegevens initieert, toestemming geeft en eindverantwoordelijk is. We nemen als voorbeeld: Theater X

2. Betrokkene: dit is het individu waarvan persoonlijke data verzameld wordt. De zes rechten die we eerder bespraken, zijn bestemd voor de betrokkene. We nemen als voorbeeld een bezoeker van Theater X

3. Verwerker: dit is de persoon die, of het systeem dat, opdracht heeft gekregen om de persoonsgegevens daadwerkelijk te verzamelen en te verwerken. Denk dan aan de communicatiemedewerker van Theater X, de e-mailmarketing software of de Facebookadvertentie

4. Subverwerker: dit is een externe partij waaraan de verwerking van persoonsgegevens wordt uitbesteed. Denk aan een marketingbureau dat in opdracht werkt van Theater X. Wanneer je samenwerkt met een extern bureau, is het belangrijk dat je een verwerkersovereenkomst sluit. Hierin wordt vastgelegd hoe beide partijen met de data om dienen te gaan en wie waarvoor verantwoordelijk is.

Daarnaast is het voor organisaties met meer dan 250 medewerkers verplicht om een Data Protection Officer (DPO) aan te stellen. Deze persoon zorgt ervoor dat de AVG correct wordt nageleefd.

De praktische veranderingen van de AVG voor online marketing

Even concreet, want welke online veranderingen brengt de AVG teweeg? Hieronder lichten we er slechts enkele uit, maar wellicht zijn er voor de informatiestromen binnen jouw (culturele) organisatie andere wijzigingen noodzakelijk.

• Op een contactformulier is transparantie over waar je persoonlijke data voor gebruikt wordt verplicht, evenals over waar en hoe lang de data wordt bewaard. Vertel op het contactformulier ook wie het aanspreekpunt is als de data gewijzigd of verwijderd moet worden

• Als iemand zijn gegevens achterlaat via bijvoorbeeld een contactformulier, is het volgens de AVG verboden dat het vinkje automatisch aanstaat voor ‘Ja, ik wil de nieuwsbrief ontvangen’

• Het is van belang dat je in de voorwaarden duidelijk communiceert waar de data voor gebruikt wordt en waar de data wordt opgeslagen

• Verzamelde data mag niet inactief Je mag bijvoorbeeld geen verouderde CRM-systemen bezitten. Verwijder dus contacten waarmee je al circa zes maanden niet hebt gecommuniceerd

• Voorheen mochten er cookies geplaatst worden om de website te verbeteren. Denk daarbij aan A/B testen op je website. Volgens de AVG mogen deze functionele cookies niet meer gebruikt worden, mits je een cookiewall implementeert

• Een ander feitje over de cookiewall is dat de websitegebruiker voortaan de keuze moet hebben om de cookies niet te accepteren. Ook wanneer de websitegebruiker kiest voor ‘Nee’, moet de website in volle glorie beschikbaar zijn

• Ook voor het gebruik van Google Analytics veranderen er zaken. Zorg ervoor dat je op de cookiewall vermeldt dat persoonlijke data wordt gedeeld met Google. Om de privacy van de websitegebruiker te waarborgen is het ook slim om IP Anonymize te gebruiken. Daarmee worden de IP adressen van de websitegebruikers onzichtbaar voor jou als Analytics beheerder. Zorg er ook voor dat binnen Analytics de vinkjes onder ‘Data Sharing Setting’ uitstaan (zie afbeelding hieronder). Op die manier wordt de data niet gedeeld met Google.

• De AVG is er ook om de privacy en persoonsgegevens van kinderen onder de 16 jaar te beschermen. Pas wanneer het kind 16 jaar of ouder is, mag hij of zij rechtsgeldig toestemming geven in een online omgeving. Handig om te weten voor organisaties die zich bezig houden met cultuureducatie en amateurkunst

• De AVG is bedoeld voor organisaties die structureel gegevens verzamelen. Houd je je als organisatie niet aan de regels, dan riskeer je een boete die kan oplopen tot 4% van de wereldwijde jaaromzet of 20 miljoen euro. Maar geen paniek, de rechter zal altijd vanuit redelijkheid en billijkheid oordelen of een boete nodig is.

Bereid je voor op de AVG met deze checklist:

1. Laat zo nodig een Privacy Impact Assessment (PIA) uitvoeren. Hiermee kun je informatiestromen in kaart brengen en daarna eventueel maatregelen nemen om privacyrisico’s te verkleinen

2. Breng de rollen binnen je informatiestromen in kaart

3. Werk je met een derde partij? Sluit dan een verwerkersovereenkomst

4. Richt je informatiestromen zo in dat ze voldoen aan de gestelde regels

5. Implementeer een cookiewall en ben transparant over het verzamelen en gebruiken van persoonlijke data

6. Controleer je contactformulieren op transparante informatie en géén automatische vinkjes

7. Verwijder persoonlijke data van mensen die nooit toestemming hebben gegeven of vraag hen alsnog om toestemming

8. Indien nodig: wijzig de algemene voorwaarden rondom privacy en het verzamelen van persoonlijke data