GDPR & Privacy: Wat u moet weten?

Vanaf 25 mei 2018 geldt de GDPR-wetgeving. Burgers binnen de EU moeten op de hoogte worden gesteld als er data van ze wordt verzameld, door wie dit gebeurt en waarvoor deze wordt gebruikt. Wij doken er in voor onze klanten, met hieronder de antwoorden op al hun vragen.

In dit artikel:

Wat zijn cookies?

Alle websites verzamelen data van sessies en bezoekers. Bijvoorbeeld wie er komt, maar ook hoe laat en vanuit welke bron. Deze data wordt opgeslagen in cookies. Niet elke website verzamelt persoonlijke gegevens.

De AVG maakt onderscheid tussen 4 soorten cookies:

Analytische cookies
Wat doen ze: Anonieme website statistieken verzamelen over bezoekers
Voorbeeld: Aantal pagina’s bekeken, klikken, sessieduur, UTM-tags

Functionele cookies
Wat doen ze: Anonieme statistieken om de website werkzaam te houden
Voorbeeld: Informatie bijhouden over producten in het winkelmandje

Marketing cookies
Wat doen ze: Jouw gegevens verzamelen voor demografische analyse (zoals: wie is mijn doelgroep?) en marketing (advertenties tonen)
Voorbeeld: Leeftijd- en geslacht, IP-adres

Tracking cookies (“Third Party”)
Wat doen ze: Een cookie op jouw computer die verzamelt welke sites je bezoekt
Voorbeeld: Websites bekijken de cookie en delen bezochte websites met de eigenaar (bijv. Facebook)

Tracking cookies worden gebruikt om advertentie campagnes beter af te stemmen en bevatten geen informatie over jouw persoon, maar wel over uw IP-adres. Websites lezen deze uit en systemen als Facebook koppelen deze vervolgens binnen hun eigen systeem aan jouw profiel. Net zoals Google deze informatie kan koppelen aan jouw Google account-gegevens (Drive, Gmail, G+, Chrome, etc.).

Wilt u meer privacy, sla Google Chrome dan over en gebruik de populaire Firefox als browser. Die heeft tracking cookies geheel verbannen.

Zien welke cookies een website plaatst? In de instellingen van uw browser (zoals Chrome of Firefox) kunt u zoeken naar Cookies. Goed verborgen onder de privacy gegevens, staat welke cookies er op uw computer zijn geplaatst.

U kunt ook een plug-in gebruiken zoals EditThisCookie of Ghostery om te zien welke cookies er op de websites wordt gebruikt (analytisch, functioneel, marketing) en welke er op uw computer zijn geplaatst (tracking).

Is een cookie melding verplicht?

De cookie melding is verplicht voor websites die data willen verzamelen. Als cookies alleen worden geplaatst voor analytische doeleinden (zoals geanonimiseerde bezoekersstatistieken) en functionele doeleinden (om de website te laten werken) is een cookie melding niet nodig. Een melding wordt vrijwel nooit geaccepteerd, tenzij deze prominent in beeld komt.

Mag ik een cookiewall gebruiken? 

Moeten marketing cookies geaccepteerd worden om de website te gebruiken? Nee – dit heet een cookiewall en is verboden. Analytische en functionele cookies mogen wel zonder toestemming geplaatst worden, want die zijn anoniem. De vaker geziene melding: ‘door deze website te gebruiken gaat u akkoord met marketing cookies’ is dan ook niet toegestaan.

Bron: Autoriteit persoonsgegevens

Hoe kan ik verzamelde data bijhouden voor de AVG / GDPR?

Gebruikers van de website moeten de mogelijkheid hebben om hun gegevens uit het systeem te verwijderen. Dit kan via een e-mail of andere contact functie. De mogelijkheid hiertoe moet duidelijk aangegeven worden onder een Privacy Policy.

Wat moet er in een privacy beleid staan?

Hierin moet duidelijk worden aangegeven welke gegevens worden verzameld en wat er met de data gebeurt. U bent verplicht de data op te slaan en een log bij te houden van de toestemming hiertoe.

Strafbaar: Datalekken, misbruik en onzorgvuldigheid

Het onjuist verzamelen, beschermen en gebruiken van data is strafbaar. Hierbij kun je denken aan data die (per ongeluk) wordt gelekt, maar ook het gebruiken van niet-geanonimiseerde gegevens van website bezoekers.

Als er op onjuiste manier gebruik wordt gemaakt van cookies, bijvoorbeeld door gegevens te verzamelen zonder uw toestemming, kunt u een klacht indienen bij de Autoriteit Persoonsgegevens: Link.

Hoe hoog is de boete voor overtreding van de AVG / GDPR?

Het niet naleven van het gegevensbeleid kan een boete opleveren, opgedeeld in 4 categorieën. De Autoriteit Persoonsgegevens kijkt hierbij naar het formaat van de onderneming (micro, klein, middelgrote en groot) en de aard, ernst en duur van de overtreding. Recidivisten worden harder aangepakt.

Worden er al boetes uitgedeeld voor schending van de AVG / GDPR?

Al in 2015 begon de Autoriteit Consument en Markt met het waarschuwen van websites die de cookie wet overtreden (zoals Geenstijl). Sinds juli 2019 worden de eerste boetes uitgedeeld. Bekend is het verhaal van het Haga Ziekenhuis, waar patiënt dossiers toegankelijk waren voor werknemers. Eén van de dossiers werd intern gedeeld en betrof reality-TV ster Samantha de Jong (Oh Oh Cherso’s “Barbie”). De AP deelde het ziekenhuis een boete uit van €460.000 uit, met een additionele €300.000 als de oorzaak niet binnen afzienbare tijd werd opgelost. Bron: https://nos.nl/l/2293700

Is het gebruik van Google Analytics toegestaan volgens AVG / GDPR?

Ja. Als je één van de volgende data-driven marketing opties gebruikt, is toestemming van de gebruikers vereist:

  • Remarketing via Google Analytics
  • Demografische- en Interesse gegevens
  • Google Display Netwerk Vertonings Rapporten
  • Geïntegreerde services die vereisen dat Google Analytics data verzamelt voor advertentiemogelijkheden, inclusief de verzameling van data
  • direct via advertenties.

Hoe meet je gebruikers vanaf verschillende apparaten? Mag dit volgens AVG / GDPR?

Met de recente introductie van Google Signals kun je cross-device metingen doen. Dit is alleen toegestaan als een gebruiker ingelogd is en hier toestemming voor heeft gegeven. Cross-device metingen bepalen wanneer er één gebruiker vanaf verschillende apparaten naar de website komt. In gecombineerde metingen zien we bijvoorbeeld meer oriënterend bezoek (zgn. “upper funnel”) via mobiel, maar een hoger conversiepercentage (zgn. “lower funnel”) vanaf computers en laptops. Om Google signals te gebruiken is toestemming voor marketing cookies nodig.

Wanneer is er geen toestemming vereist voor cookies?

Als er alleen gebruik gemaakt wordt van geanonimiseerde cookies voor functionele doeleinden (om de website werkzaam te houden) en analytische doeleinden (voor statistische doeleinden) dan is er geen toestemming vereist. In deze gevallen is het altijd nodig om de gegevens te anonimiseren.

Bij het gebruik van Google Signals is altijd toestemming vereist voor gegevensverzameling.

  • Verzameling / toekenning van een User ID
  • Verzameling / toekenning van andere identificeerbare codes
  • Verzameling van gedetailleerde geografische data

Dit gaat altijd via een opt-in feature: het vinkje mag niet standaard op actief staan.

Gerelateerde links:
Autoriteit Persoonsgegevens
Data lek melden
Informatie- en Meldpunt privacy

Hou je toch nog vragen over? Neem contact op of stel uw vraag direct via de chatbot. Meer weten over IM Lounge? Kijk rond tussen onze klanten of leer ons beter kennen via de teampagina!