Onlangs las je van mij de eerste blog m.b.t. de AVG. Vandaag gaan we verder met twee (iets lastigere) onderwerpen. Namelijk:
- - Verwerkers- en verwerkersverantwoordelijke + verwerkersovereenkomst
- - (Bestaande) klanten benaderen en mailingen
Verwerkers- verwerkersverantwoordelijke &
de verwerkersovereenkomst
Een hele mond vol. De verwerker- en verwerkersverantwoordelijke en de verwerkersovereenkomst. Ook die hoor je m.b.t. de AVG regelmatig voorbij komen en iédereen is er momenteel mee bezig, zo lijkt het. Maar wat is het precies?
Kort gezegd houdt dit in dat er een verwerker is van de data en een verantwoordelijke voor de data. Maar wie is wie & wat maakt het verschil? We gaan weer een situatie schetsen om e.e.a. iets eenvoudiger te maken. Stel, je hebt een website bij Tussendoor. Tussendoor heeft de website gebouwd en verzorgt onderhoud en webhosting. Hoe steekt dan de vork in de steel?
In dat geval is Tussendoor de verwerker van de data. Jij - als website eigenaar - bent eigenaar van de data. Immers verzorgen wij het “transport” van de data, maar die komt bij jou terecht. Jij bent vervolgens verantwoordelijk om deze zo veilig mogelijk te bewaken en bij te houden wat ermee gebeurt (of deze te wissen).
Dat betekent niet dat wij helemaal geen plicht hebben. Wij verzorgen immers de hosting en moeten er alles aan doen om die zo veilig mogelijk in te richten én te houden. Is er bij ons een lek? Dan hebben wij - zoals in de eerste mailing al aangegeven - ook een meldingsplicht. We dienen een incident aan te maken en vanaf daar de nodige stappen te ondernemen. Los van eventuele lekken en/of beveiliging is het verschil in de verwerker en de verantwoordelijke van belang op de verwerkersovereenkomst.
De verwerkersovereenkomst dient aangevraagd te worden door de verwerkersverantwoordelijke. In deze overeenkomst staat wie waar verantwoordelijk voor is en wat er gezamenlijk aan wordt gedaan om een zo veilig mogelijke oplossing te bieden. Ook de meldingsplicht is hierin opgenomen. Een verwerkersovereenkomst kunnen wij overigens wel voor je opmaken, maar het verzoek dient bij jou - als klant - vandaan te komen.
Om bovenstaande nog iets lastiger te maken heb je ook nog een ketenverantwoordelijkheid. Deze wordt in deze mailing niet uitgebreid behandeld, maar is voor ons wel van belang. Dit heeft met name te maken met het feit dat hosting en bijvoorbeeld SSL certificaten worden ingekocht en onderhouden. Op deze manier zijn wij “tussenpersoon” en wordt de keten verlengd naar onze leverancier, de sub-verwerker. Dit betekent dus dat wij niet de enige zijn met toegang tot jouw gegevens. Mocht zich iets voordoen met jouw gegevens bij een sub-verwerker, dan zijn wij hier (mede) aansprakelijk voor. Ook dit dient omschreven te worden in een verwerkersovereenkomst.
Tip: lees je over bovenstaande in. Dit is puur een korte samenvatting waarover je op internet nog veel meer nuttige informatie kan lezen.
(Bestaande) klanten benaderen en mailingen
Mailingen zijn altijd al een ondergeschoven kindje geweest. Wordt dat nu nog erger? Ik ben bang van wel.
Het is algemeen bekend dat iemand die je benadert voor een nieuwsbrief, zich moet hebben ingeschreven op die nieuwsbrief. Je ziet echter al te vaak dat bedrijven hun nieuwe / bestaande klanten, zonder enige bevestiging (double-optin), benaderen via de nieuwsbrief voor doeleinden waarvoor dat eigenlijk ‘niet mag’. Zo mag je wel soortgelijke producten en/of diensten aanbieden, maar daar houdt het ook direct op. Regelmatig zie je dat er ook nieuws en/of andere producten aangeboden worden, dat mag dus niet.
Vanaf 25 mei 2018 wordt het benaderen van klanten, zonder opt-in, beperkter. Dit wil zeggen dat het benaderen van klanten per mail geminimaliseerd wordt, als je geen bevestiging hebt van een specifiek e-mailadres.
Voorbeeld: stel je benadert al een aantal jaren - net als wij - je klanten met updates over plugins en nieuws zoals de AVG. Dan is dat tot nu toe redelijk grijs gebied, maar dat stopt abrupt per 25 mei 2018. Heb je van iemand geen bevestiging dat ze je nieuwsbrief willen ontvangen, dan mag je er niet meer van uit gaan dat ze dat willen. Oftewel, je moet er van uitgaan dat ze het niet willen. Toen wij vroegen om deze bevestiging raakten we 80% van onze abonnees kwijt. Aan de andere kant is de kwaliteit van de abonnee's hoger en ook je ROI realistischer. Een uitzondering hierop is overigens product of dienst gerelateerd nieuws. Je mag een "actieve klant" nog wel voorzien van nieuws of updates, gerelateerd aan het product of de dienst die hij of zij afneemt.
Uit bovenstaande kun je indirect halen dat iemand die zich weer opnieuw heeft ingeschreven op onze nieuwsbrief, nu wel "gewoon" benaderd mag worden voor mailingen. Ook dat is - helaas - niet helemaal waar. Waarom niet? Dat lees je in de volgende mailing. Dan pakken we dit onderwerp namelijk weer verder op.