Per 25 mei 2018 treedt de AVG in werking en dat levert nogal wat vragen op bij onze helpdesk over de gevolgen en mogelijkheden voor MailingLijst en AdreZ. In dit artikel proberen we in “klare taal” samen te vatten wat EM-Cultuur en jij als klant kunt doen om klaar te zijn voor de nieuwe AVG. We werken op dit moment aan de aanpassingen in de software, een standaard overeenkomst die gefaseerd worden opgeleverd en voor 1 mei allemaal operationeel zullen zijn.

Volgens de AVG heeft EM-Cultuur de rol van verwerker en zijn de klanten van MailingLijst/AdreZ de verwerkingsverantwoordelijke. De e-mailadressen/contacten die je opslaat in AdreZ en MailingLijst zijn de betrokkenen

Als verwerker zullen we alle technische en organisatorische maatregelen treffen voor de beveiliging van de persoonsgegevens en we zullen met aanpassingen en uitbreidingen in onze software onze gebruikers ondersteunen bij het handhaven van de AVG en het garanderen van de rechten van de betrokkenen.

Welke contacten mag ik bijhouden?

Over hoe je aan je contacten komt, en of je die mag mailen is er niet veel veranderd in de AVG. Je hoeft je contacten niet opnieuw toestemming te vragen. Echter veel klanten vermoeden dat er door de jaren heen toch e-mailadressen zijn binnengeslopen waarvan niet meer goed bekend is hoe, door wie, en waarom ze in het bestand terecht zijn gekomen. Uitgangspunt blijft dat je expliciet toestemming moet hebben gekregen, of dat je een zakelijke relatie met het contact hebt die e-mailen rechtvaardigt (bv bezoekers aan een voorstelling voor het verzenden van service-mails).

Van alle aanmeldingen die via MailingLijst-web-formulieren en -API binnenkomen registreren we datum/tijd en het IP-nummer van de machine waar vanaf het contact zich heeft aangemeld.

In MailingLijst hebben we een OPTIN-rapport gebouwd waarmee je van een selectie van contacten een overzicht kunt opvragen met alle optin-gerelateerde gegevens zoals: datum aanmelden, methode van inschrijving (import, webformulier, handmatig toegevoegd).

We hebben een EM-Update-formulier ontworpen waarmee je een selectie van contacten kunt vragen of de gegevens nog kloppen en of ze eventueel van de lijsten willen worden verwijderd. In overleg met de klant sturen we de update-mailingen in plukken en helpen zo het bestand op te schonen.

Wat mag ik nog wel en niet bijhouden?

De nieuwe wetgeving reguleert de verwerking van persoonsgegevens (naam, geslacht, e-mailadres, BSOnummer etc). MailingLijst en AdreZ beperken je niet in welke gegevens je bijhoudt. Welke gegevens je vastlegt bepaal je in principe zelf en er geldt dat er een grondslag uit de AVG voor moet zijn:

  • Toestemming van de gebruiker (vinkje bij kaart kopen, of aanmelden op de nieuwsbrief via webformulier, visitekaartje)
  • Gerechtvaardigd belang: als je klanten wilt mailen over afgezegde voorstellingen, of genre-profielen wilt bijhouden om ze op de hoogte te houden van de juiste voorstelling-informatie is er een gerechtvaardig (marketing) belang. En leeftijd zou hierin ook kunnen passen als je jeugd, volwassenen en ouderen apart op de hoogte wilt benaderen.

Je moet zelf bepalen of de gegevens die je bijhoudt in MailingLijst en AdreZ privacygevoelig zijn en of je ze nog wel wilt/moet bijhouden (gegevens uit de bijzondere categorie (zoals BSN) horen niet thuis in AdreZ of MailingLijst. Oude lijsten en inactieve formuliervelden kun je het best verwijderen.

Er wordt in MailingLijst een rapport toegevoegd in het menu Extra > MailingLijsten waar je een overzicht kunt opvragen van welke gegevens je bijhoudt (inclusief vrije velden) en of die nog actief worden gevraagd.

Welke rechten hebben de opgenomen contacten?

Personen die in je AdreZ- en MailingLijst-bestand staan opgenomen hebben rechten. Zo is er het recht op inzage en kan een persoon te allen tijde opvragen wat er van van hem/haar aan persoonsgegevens is geregistreerd.

Zo heeft een persoon ook het recht op vergetelheid en kan een verzoek doen om al zijn/haar persoonsgegevens uit het bestand te laten wissen.

In alle MailingLijst aanmeld/afmeld- en wijzig-web-formulieren komt een link naar een nieuwe klant-privacy-pagina waar een abonnee (betrokkene) kan lezen wat zijn/haar rechten zijn en oa kan aanvragen om de persoonsgegevens te laten “vergetelen”. De pagina bevat ook een link naar de privacy-verklaring van de klant en kan ook in mailingen worden opgenomen met een %%PRIVACY%% token. De inzage- en vegetel-verzoeken worden naar een speciaal privacy-emailadres bij de klant gestuurd ter verwerking.

 In AdreZ en MailingLijst komt een [inzage-knop] beschikbaar waarmee je de beschikbare persoonsgegevens van een betrokkene kunt opvragen in een overzichtelijke PDF (om eventueel door te mailen) en een [vergetel-knop] waarmee je een betrokkene definitief kunt wissen uit het bestand, inclusief alle gerelateerde gegevens.

Wat doen we met datalekken?

Als je een Excel bestand downloadt van een selectie uit je bestand en die in je downloadfolder, of mail, of usb-stick deelt, is dat een potentieel datalek. In MailingLijst en AdreZ wordt een aantal aanpassingen gedaan om het aantal rond zwervende Excel-bestanden (met mogelijk privacy gevoelige informatie) te beperken. Zo worden bijvoorbeeld  tijdelijke importbestanden en lijsten direct na gebruik weer verwijderd.

Binnen AdreZ en MailingLijst hebben we onder het menu Extra een Privacy-pagina gemaakt waar de Functionaris Gegevensbescherming (FG) is opgenomen; de persoon waarmee we met privacy aangelegenheden zoals datalekken contact zullen opnemen.

In AdreZ worden extra rollen opgenomen, waarmee het exporteren en downloaden per gebruiker kan worden beperkt. Er wordt een tweetal rapporten toegevoegd bij de rechtenmodule van AdreZ waarmee je een overzicht kunt opvragen van hoe de rollen zijn toebedeeld.

De toegangsbeveiliging naar AdreZ en MailingLijst wordt verder verscherpt. Zo is alle communicatie tussen de klant en de web-apps versleuteld en worden strengere eisen gesteld aan de wachtwoorden. Dit maakt ongenode toegang tot de persoonsgegevens nog moeilijker.

Verwerkersovereenkomst

Zoals gezegd ben je als AdreZ/MailingLijst-klant de verwerkingsverantwoordelijke en moet je met ons als verwerker afspraken rond die verwerking vastleggen in een verwerksovereenkomst. We hebben op basis van een model-overeenkomst van de DDMA (de branchevorganisatie waar EM-Cultuur lid van is) een standaard overeenkomst opgesteld die we ter ondertekening aanbieden.

Is één overeenkomst genoeg? Als je zowel met AdreZ als MailingLijst werkt hoef je met EM-Cultuur maar één overeenkomst te hebben. Als AdreZ of MailingLijst gegevens koppelt met externe bronnen zoals kaartverkoop- of evenementen software  is ook geen extra overeenkomst nodig. Wél als je een derde partij (bv een webbouwer) een koppeling bouwt die persoonsgegevens in onze applicaties “sluist”, dan heb je volgens de AVG te maken met een extra verwerker, en sluit je ook een overeenkomst met de organisatie die deze dienst levert.

Vanaf 1 mei zullen we je bij inloggen herinneren als er nog geen overeenkomst is ondertekend. De overeenkomst is op de privacy-pagina te downloaden.  Op deze pagina kan ook  worden ingesteld wie de verantwoordelijke (Functionaris Gegevensbescherming) is binnen je organisatie. Na 25 mei zullen de meldingen over het ontbreken van de overeenkomst “dwingender” worden.

Als je inlogt als externe partner, of je werkt met sub-accounts dan is het zaak dat je communiceert met de Functionaris Gegevensbescherming van de organisatie, dat de overeenkomst voor 25 mei ondertekend moet zijn.

Wat zijn passende maatregelen?

Volgens de AVG moet je je ervan vergewissen dat je verwerker passende technische en organisatorische maatregelen treft om je bestanden met persoonsgegevens te beschermen.

DDMA logo EM-Cultuur is lid van de DDMA branchevereniging waar een Privacy Audit onderdeel is van de registratie. En heeft EM-Cultuur een Functionaris Gegevensbescherming aangesteld (Erick de Boer) die toezicht houdt op de naleving en toepassing van de Algemene Verordening Gegevensbescherming (AVG).

Ook EM-Cultuur verzamelt (jouw) persoonsgegevens en die van potentiële klanten en heeft hiervoor een bijgestelde Privacy verklaring opgesteld, zodat je weet wat wij allemaal bijhouden en wat we met je persoonsgegevens doen.

Praktijk

Hoewel er verwarring is en de omschrijvingen vaak vaag en veel te juridisch komt het toch neer op “common sense”:

  • Gevoelige persoonsgegevens (gegevens van de bijzondere categorie) moet je niet willen vastleggen.
  • Open en klikgedrag vastleggen is geen probleem, je zorgt er immers voor dat men relevante informatie ontvangt.
  • Voornaam, achternaam en geslacht is ook geen probleem en zijn er juist voor bedoeld om je abonnees correct te kunnen aanspreken.
  • Persoonsgegevens mag je niet zomaar aan derden geven, ook niet aan facebook voor een fijne campagne, zonder verwerkersovereenkomst. Denk na voordat je je e-mailadressen deelt.

AVG Stappenplan

  • Sluit een verwerkersovereenkomst af met EM-Cultuur (MailingLijst en AdreZ gebruikers).
  • Check welke persoonsgegevens je verwerkt en schoon hierop je mailinglijsten, velden.
  • Zorg dat er intern een procedure/protocol is voor verwerken van vergetelheid/inzage verzoeken.
  • Richt de beveiliging (rechten/rollen/wachtwoorden) van MalingLijst en AdreZ goed in.
  • Check de maatregelen en privacy-verklaring van EM-Cultuur.
  • Optie: nodig “oude” contacten uit om hun gegevens te wijzigen en aan te geven of ze nog wel op de hoogte willen blijven. (neem contact op met de EM-Helpdesk voor opties)

Met vragen, suggesties en alle feedback in deze kun je terecht bij:

EM-Cultuur
Jurgen de Jonge
Functionaris Gegevensbescherming
privacy@em-cultuur.nl

De DDMA heeft een Vraag & Antwoord artikel over de AVG en Cultuursector gepubliceerd dat de moeite waard is om te lezen.