Disclaimer: dit artikel is gebaseerd op de research rond GDPR die ik voor mijn eigen zaak gedaan heb. Ik ben geen jurist en heb ook geen marketingtechnische achtergrond. Zie het dus als mijn eigen interpretatie van wat GDPR voor mij en mijn eenmanszaak inhoudt en hoe ik denk dat dit ook voor andere KMO’s en bloggers van toepassing kan zijn. Voor professioneel advies verwijs ik graag door naar een gecertificeerde Data Protection Officer.
Wat is GDPR?
GDPR staat voor General Data Protection Regulations. Deze nieuwe Europese datawetgeving gaat van kracht op 25 mei 2018 en heeft als doel de persoonsgegevens beter te beschermen. Als consument wil je niet dat je gegevens te grabbel liggen. De gemiddelde consument is zich meer en meer bewust van zijn online privacy en ergert zich aan nieuwsbrieven waar ze niet om gevraagd hebben en waar ze zich vaak ook niet eens voor kunnen uitschrijven. Hoewel GDPR voor bedrijven, ook voor freelancers en bloggers, wel even wat (denk)werk vraagt, is het dus eigenlijk een positief iets!
Hoewel er de laatste tijd heel veel rond GDPR te doen is, verandert er eigenlijk weinig aan de wetgeving rond de privacy. Het is vooral het feit dat er vanaf 25 mei 2018 ook sancties kunnen volgen voor wie de wetgeving overtreedt die ervoor zorgt dat de bedrijven nu stilaan in actie beginnen schieten.
Weetje voor de Nederlandse lezers: hoor je het bij GDPR in Keulen donderen, dan gaat misschien wel een belletje rinkelen bij AVG of Algemene Verordening Gegevensbescherming.
Geldt GDPR voor bloggers ook?
Ja, tenminste voor de meeste bloggers. Enkel als je geen persoonsgegevens verzamelt, bewaart, deelt,… is GDPR niet voor jou van toepassing. Kunnen er reacties achtergelaten worden op je blog? Heb je Google Analytics of verzamel je op een andere manier info van je websitebezoekers bv door een cookie? Heb je een reactieformulier op je site staan? Of organiseer je al eens een wedstrijd waarbij deelnemers hun gegevens moeten geven? Heb je een nieuwsbrief? Dan kan je best even checken wat GDPR precies inhoudt en welke acties je al dan niet moet nemen.
Wat zien ze als persoonsgegevens? Naam, adresgegevens, emailadressen, telefoonnummers, IP-adressen en andere persoonlijke informatie. Bedrijfsgegevens zoals info@-adressen vallen hier niet onder.
Welke acties moeten bloggers ondernemen?
Als je zorgt dat je alleen de data verzamelt die je nodig hebt, geen gegevens misbruikt (zoals doorgeven/verkopen aan een andere partij) en weet waar je de persoonsgegevens bewaart zodat je deze op vraag kan verwijderen, kom je al een heel eind. Hieronder nog een aantal acties die je verder kan ondernemen om zo goed mogelijk in regel te zijn met de nieuwe GDPR.
Aanleggen van een dataregister
Je begint best eerst met een inventaris: welke gegevens heb je, waar en hoe bewaar je die gegevens en wat doe je ermee? Zo heb ik als freelance PR consultant diverse perslijsten, lijsten met gegevens van influencers, gegevens van klanten,… Op mijn websites maak ik gebruik van cookies (o.a. voor Google Analytics en affiliates) en worden ook gegevens bijgehouden van de comments + verzamel ik gegevens voor mijn mailinglist.
Qua tools gebruik ik vooral Google, Dropbox (vooral voor foto’s) en Evernote. Sinds januari gebruik ik ook een online facturatietool. En uiteraard mag ik ook de tool(s) voor online nieuwsbrieven niet vergeten. Naast het oplijsten van deze tools, moet je ook nagaan in hoeverre deze GDPR compliant zijn (bv door 2-stapsverificatie, door het niet-ongevraagd doorverkopen van gegevens,…).
Een dataregister is een belangrijke tool. Niet alleen om zelf overzicht te hebben maar ook om, bij geval van een datalek, te kunnen voorleggen en aan te tonen dat je alle regels gevolgd hebt. In een dataregister lijst je op welke persoonsgegevens je hebt, waar je ze vandaan hebt en met wie je ze deelt.
Verzamelen, bewaren en delen van gegevens
Bij het verzamelen van gegevens moet het ook duidelijk zijn voor de consument (of de bloglezer) wat je met die gegevens gaat doen. Zo mag je de ingeschreven mailadressen ook niet zomaar van lijst veranderen. Dit is belangrijk bij rebranding maar ook als je meerdere verzendlijsten beheert. Iemand die zich abonneerde op je maandelijkse nieuwsbrief mag je niet zomaar je wekelijks receptje toesturen (om maar een voorbeeld te geven).
Bij het organiseren van wedstrijden waarbij de prijzen door het merk verstuurd worden, kan je in het reglement best ook een puntje rond privacy opnemen: bv dat alle persoonlijke gegevens enkel voor de wedstrijd bewaard zullen worden en niet met derde partijen gedeeld zullen worden, met uitzondering van de gegevens van de winnaar die wel met het bedrijf gedeeld zullen worden, enkel om de prijs te kunnen bezorgen. Een puntje dat ik zeker meeneem als ik de grote Julkalenderwedstrijd van Take me to Sweden volgend jaar nog eens zou herhalen. Meer over het organiseren van wedstrijden lees je hier.
Maak je gebruik van plugins dan ben je zelf verantwoordelijk om te checken dat deze plugins de regels volgen. De tools waar je persoonsgegevens bewaart moeten ook GDPR compliant zijn. Je bent verantwoordelijk voor het beveiligen van deze gegevens. Met Google Drive zit je wel goed (als je tenminste gebruik maakt van 2-stapsverificatie). Ze garanderen op hun website dat ze alles in het werk stellen om GDPR compliant te zijn. Maar je kan dit dus best voor elke tool checken. Idealiter check je of alle verwerkersovereenkomsten conform zijn.
Het delen van persoonsgegevens mag niet zonder toestemming. Bv. wil je van een andere blogger contactgegevens bij een PR-bureau vragen dan moet die andere blogger eigenlijk eerst toestemming geven aan het PR-bureau om het mailadres door te geven aan een andere blogger. Uitzonderingen zijn de info@ adressen.
Mailings
Zorg dat je toestemming hebt van iedereen op je mailinglijst om hen je nieuwsbrieven te mogen sturen. Ook moet het bij elke nieuwsbrief mogelijk zijn om je uit te schrijven.
Werk je met Mailchimp of Convertikit dan mag je er vanuit gaan dat ze in regel zijn met GDPR. Ze hebben hun registratieformulieren alvast aangepast om GDPR-compliant te zijn. Werk je met een andere mailing service? Zorg er dan zeker voor dat er geen automatische opt-in is maar de consument (je bloglezers in dit geval) bewust het vakje moeten aanvinken om zich in te schrijven op je nieuwsbrief.
Het trucje om emailadressen te verzamelen door een freebie te geven en die mailadressen dan aan je nieuwsbrief toe te voegen mag dus niet meer (mocht eigenlijk ook al niet maar nu kunnen er dus sancties volgen) zonder expliciete toestemming.
Privacyverklaring
Ik had hier op de website al een privacyverklaring staan maar de komende weken zal ik die verder aanpassen zodat ook dit stukje GDPR in orde is. Zo moet ik nog toevoegen hoe lang ik bepaalde persoonsgegevens zal bewaren, hoe een klacht ingediend kan worden bij de privacycommissie en moet ik verder specifiëren waarom ik bepaalde data verzamel. Het doel is dus dat je lezers weten welke gegevens je bewaart, waarom en hoe lang. Dit alles in het kader van een transparante communicatie.
Het is vanaf 25 mei ook gedaan met de privacy policies die je amper begrijpt. De privacyverklaring moet voortaan in eenvoudige en duidelijke taal opgesteld worden.
Meldingsplicht
Zit je met een datalek (hacker, laptop gestolen,…) dan moet je hiervan aangifte doen bij de politie. Het voorval moet ook binnen de 72u gemeld worden bij de privacycommissie.
Enkele snelle tips:
- Verander je wachtwoorden regelmatig en gebruik ook verschillende wachtwoorden voor je verschillende accounts.
- Zorg voor 2-stapsverificatie om je accounts extra te beveiligen.
- Wees extra voorzichtig met open wifi-netwerken (ik nam een tijdje geleden een abonnement op een VPN-dienst).
- Zorg dat je hackers te snel af bent door steeds de laatste updates te installeren.
- Zorg voor een opt-in als je mailadressen voor je nieuwsbrief verzamelt.
- Gebruik je logisch verstand: behandel gegevens van anderen zoals je zou willen dat jouw gegevens behandeld worden!
Boetes?
Ja, er kunnen boetes volgen en deze zijn niet min: van 2% van de jaarlijkse omzet tot 20 miljoen euro of zelfs tot 4% van je omzet. Nu zal het wellicht niet zo’n vaart lopen voor kleinere bedrijven maar better to be safe than sorry! Het lijkt me vooral belangrijk dat je kan aantonen dat je alles in het werk hebt gesteld om de gegevens zo veilig mogelijk te behandelen. En daarvoor kan een dataregister een goede hulp zijn. Je start best met het bewaren van de toestemming om bepaalde data te verzamelen, bewaren, verwerken,… zodat je bewijsmateriaal hebt mocht er ooit iets aan de hand zijn.
GDPR voor bloggers in het kort
- Oplijsten welke gegevens je verzamelt en hoe je deze bewaart.
- Reacties
- Mailings
- Formulieren
- IP-adressen (plugins)
- …
- Welke tools + beveiliging?
- Dropbox
- Evernote
- Mailchimp
- Facebook (pixel?)
- …
- Privacyverklaring in duidelijke taal
- Weten wat wel/niet mag
- Geen gegevens doorgeven
- Geen automatische opt-in
- …
Opmerkingen/aanvullingen zijn zeker welkom. Nogmaals, dit zijn mijn persoonlijke notities na een intens weekendje en een paar lange avonden zelfstudie rond GDPR omdat ik als freelancer natuurlijk mijn zaak op orde wil hebben. Mijn notities kunnen andere bloggers en freelancers misschien wegwijs maken in het kluwen van GDPR maar elk is verantwoordelijk voor zijn eigen implementatie/interpretatie.
Top overzichtje.
Nog wat aanvullingen:
1. Opletten met delen van je data met andere partijen: bloggerplatformen die inzicht willen in je analytics cijfers, PR bureau’s die jou mailinglijst willen gebruiken,….
2. Ga de security van je website ook nakijken (https, updates van je wordpress uitvoeren, liever minder plugins dan 1000 plugins aar je niet meer van weet wat ze doen,…)
3. Denk gewoon pragmatisch na wat het ergste is wat er zou kunnen overkomen op privacyvlak:
– je website wordt gehacked
– in je mailchimp wordt ingebroken en spam mee verstuurd
– je linkedinprofiel wordt gekraakt en al je contacten gedownload
– Je FBaccount wordt gekraakt, waarna er fake ads op jou kosten worden gedraaid
Ik zal me inschrijven op deze reacties, dus heb je een specifieke vraag, gooi ze maar in de comments hier! ;-)
Thanks, Herman! Ben er even mee bezig geweest :) Er is momenteel nog niet veel te vinden specifiek voor bloggers en zoveel tijd hebben we niet meer om ons met alles in orde te stellen. Dat grote bedrijven ook nog niet klaar zijn, vind ik persoonlijk net een motivatie om met Mermedia net wel in orde te zijn tegen 25 mei ;-)
Herman
Mijn vraag is vooral praktisch: wat moet ik concret doen en voorzien?
Ik zie door het bos de bomen niet meer.
Mooi overzicht! Ik vind het als blogger toch wel heel complex allemaal… Maar we komen er wel ;)