Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Wat betekent deze nieuwe privacywetgeving voor organisatoren van evenementen? Mag je de persoonsgegevens van exposanten en bezoekers blijven verzamelen? Wat mag je ermee doen? En wat is het risico als je niet aan de AVG voldoet?
De media buitelen over elkaar heen om je te waarschuwen: op 25 mei 2018 moet je voldoen aan de anders riskeer je hoge boetes. Zorgvuldig omgaan met persoonsgegevens zou je echter niet alleen moeten doen uit angst voor boetes. Er is een veel zakelijkere reden voor: we willen waarde creëren met de persoonsgegevens die we verzamelen, ook voor exposanten en bezoekers, en we willen hen niet ongewenst lastigvallen. Bovendien wil geen enkele organisatie geconfronteerd worden met negatieve publiciteit omdat ze onzorgvuldig met persoonsgegevens zouden zijn om gegaan. Ik zal binnenkort spreken over de AVG en de acties die RAI Amsterdam ondernam om daaraan te voldoen op een bijeenkomst van Meeting Professionals International. Graag deel ik daaraan voorafgaand deze kennis ook hier.
Wat zijn persoonsgegevens?
Zodra de inschrijving voor een evenement begint, zo niet eerder, verwerk je persoonsgegevens. Iedere verzameling van namen, (e-mail)adressen etc. is een verwerking van persoonsgegevens... zelfs je kaartenbakje met visitekaartjes is een verzameling van persoonsgegevens. De Wet bescherming persoonsgegevens (Wbp) bepaalt al sinds 2001 wat we daar in Nederland mee mogen. De belangrijkste regel om te onthouden wanneer je persoonsgegevens verwerkt, is dat je een verwerkingsgrond moet hebben om die gegevens te verzamelen, te bewaren en te gebruiken. Deze verwerkingsgronden staan in de Wbp (en ook in de nieuwe AVG) opgesomd. Zo kan het nodig zijn om persoonsgegevens te verwerken om aan een overeenkomst te voldoen: bijvoorbeeld het verwerken van het bankrekeningnummer van een werknemer zodat je elke maand het salaris kunt storten. Daarnaast kan het zo zijn dat je op grond van een wet verplicht bent om persoonsgegevens te verwerken. Als werkgever ben je bijvoorbeeld wettelijk verplicht om bepaalde persoonsgegevens van werknemers aan de Belastingdienst te verstrekken. Ook kan je in bepaalde gevallen toestemming aan iemand vragen om zijn/haar persoonsgegevens te verwerken.
Waarom nieuwe wetgeving?
Waarom moet die wet dan aangescherpt? Ten eerste omdat men wil dat in alle Europese landen dezelfde regels gelden. Ten tweede is er technisch nogal wat veranderd in de manier waarop we persoonsgegevens verzamelen en gebruiken: bijna iedereen zit op internet en er worden veel meer persoonsgegevens verwerkt. De risico’s worden steeds groter: hacks bij grote bedrijven maken dat pijnlijk duidelijk. De nieuwe wet is daarom strenger en explicieter. Ook zorgt de wet ervoor dat niet-Europese bedrijven, die juist heel veel persoonsgegevens van Europeanen verwerken (denk aan Facebook, Instagram etc.) zich aan de Europese regels moeten houden.
Wat verandert er?
Organisatoren van evenementen verzamelen per definitie veel persoonsgegevens. Bij RAI Amsterdam doen we dat ook voor onze eigen evenementen. We registreren exposanten en bezoekers die zich inschrijven en houden hen op de hoogte van het evenement. Door daarnaast persoonsgegevens te verzamelen over gedrag, bijvoorbeeld klikgedrag op een community platform, kunnen we mensen steeds gerichter informeren. Mag dat allemaal nog? Jazeker, maar wel binnen duidelijke randvoorwaarden. Dit zijn de belangrijkste.
- Expliciete en specifieke toestemming voor vele vormen van direct marketing
De essentie blijft zoals hij was: voor direct marketing mails is veelal expliciete toestemming van een bezoeker nodig... Je moet duidelijk informeren waarvoor iemand toestemming geeft en iemand moet zelf een actieve handeling verrichten om toestemming te geven. Je mag dus niet al een vinkje zetten in een toestemmingsvakje, iemand moet zelf een vakje aanvinken. Dat wil dan nog niet zeggen dat hij dan ook onbeperkt ander nieuws of aanbiedingen wil ontvangen. Daar moet je apart toestemming voor krijgen. Dat kan betekenen dat we bij een registratie wel vier of vijf zogenaamde opt-in vragen stellen voor verschillende categorieën van informatie. Soms hoor ik mensen zeggen: ‘Maar als ze overal apart toestemming voor moeten geven, dan zal niemand de moeite doen en kunnen we de mailadressen niet meer gebruiken voor nieuws en aanbiedingen.’ De andere kant is dat als mensen je aanbiedingen willen ontvangen, ze dat hokje echt wel aanvinken en dan zijn het gemotiveerde ontvangers. Je doet dit niet alleen omdat de wet het vraagt. Ook wanneer je persoonsgegevens wilt verrijken, heb je in beginsel daarvoor toestemming nodig van de persoon in kwestie. Je kunt dus niet zomaar Facebookprofielen toevoegen aan je bezoekersgegevens.
Bij RAI Amsterdam lopen we nu alle processen na om te zien hoe we die toestemming vragen, of we mensen afdoende informeren en of we de wijze waarop we toestemming verkrijgen, voldoende expliciet vinden. De wet geeft helaas niet een exact lijstje van eisen waaraan we moeten voldoen. We winnen daarom advies in van een gespecialiseerde privacyjurist. We kijken ook naar de net verschenen Europese richtsnoeren over de eisen die aan toestemming worden gesteld. Daarnaast worden de Europese regels over direct marketing naar verwachting in de loop van 2018 verder aangescherpt (de zogenaamde ePrivacyverordening). We houden alle ontwikkelingen nauwlettend in de gaten.
Tot slot: iedereen mag op elk moment zijn/haar toestemming intrekken. Dus onder elke mailing of nieuwsbrief moet een gemakkelijke uitschrijflink of opt-out staan. - Delen van persoonsgegevens met partners
Exposanten en sponsoren ontvangen graag de persoonsgegevens van beursbezoekers om hen zelf te kunnen benaderen. Mag je die bezoekersgegevens als organisator verstrekken? Ja, dat mag, maar ook hier gelden strenge regels. Het uitgangspunt blijft dat de persoon in kwestie toestemming moet hebben geven om zijn/haar persoonsgegevens daarvoor te gebruiken en die toestemming moet expliciet zijn. Een algemene stelling als ‘wilt u ook nieuws ontvangen van zorgvuldige geselecteerde partners’ is dan niet voldoende. Beter is bijvoorbeeld: ‘van deelnemers aan deze beurs’ waarbij deze deelnemers worden gespecificeerd. Nog beter is een verdere verfijning in soort informatie.
Wanneer je persoonsgegevens aan partners verstrekt, moet je goede afspraken maken om te zorgen dat een partner niet meer met de persoonsgegevens doet, dan waarvoor iemand toestemming heeft gegeven. Daarom sluiten wij met zulke partners contracten waarin heel duidelijk staat wat er wel en niet mag. Het is belangrijk er rekening mee te houden dat de Europese wetgeving niet in de Verenigde Staten of Azië geldt. Werk je samen met partners buiten Europa, dan heb je strengere overeenkomsten nodig. De EU heeft daar modelcontracten voor opgesteld die we bij RAI Amsterdam al een tijd gebruiken. De toezichthouder kan al deze overeenkomsten controleren. - Precies weten welke data je verzamelt en waar je deze vastlegt
De nieuwe wet schrijft ook voor dat de meeste organisaties onder meer in kaart moeten brengen welke persoonsgegevens ze verzamelen, waar die worden opgeslagen, hoelang de persoonsgegevens worden bewaard, en hoe de persoonsgegevens beveiligd zijn. Een overzicht daarvan moet je op elk moment kunnen overleggen aan de Autoriteit Persoonsgegevens. Dat betekent nogal wat, want overal in je bedrijf zal je persoonsgegevens vinden. Waar mogelijk, loont het de moeite om dat meer te centreren. Liever één duidelijk centraal bestand, dan verschillende deelbestanden op verschillende plekken. Ook hier is de logica duidelijk: om persoonsgegevens goed te beschermen en te beheren, moet je weten waar ze zijn. Dan kan je bijvoorbeeld ook de risico’s van een datalek beter inschatten. - Persoonsgegevens bewaren, rechten van mensen van wie je persoonsgegevens verwerkt
Je mag persoonsgegevens alleen bewaren zolang je daar een goede reden voor hebt. Bij een evenement dat jaarlijks plaatsvindt, is dat bijvoorbeeld tot twee of drie jaar na de laatste deelname. Bij een evenement dat om het jaar plaatsvindt, kan dat een langere periode zijn. De wet schrijft geen exacte termijn voor, maar schrijft voor dat persoonsgegevens niet langer in een niet-geanonimiseerde vorm worden bewaard dan nodig voor het doel waarvoor ze zijn verzameld.
Iedereen heeft recht om te weten wat je over hem of haar weet. Dat moet je op verzoek van die persoon kunnen overleggen. Mensen mogen hun persoonsgegevens aan laten passen indien ze niet kloppen. Onder bepaalde omstandigheden hebben mensen bovendien het recht om vergeten te worden: op verzoek moet je dan al hun gegevens wissen. Kun je dat binnen je huidige werkwijze? Het is belangrijk om interne procedures op te stellen over hoe je als organisatie omgaat met deze verschillende rechten, zeker omdat de nieuwe wet ook strikte termijnen hanteert voor het voldoen aan dergelijke verzoeken. - Persoonsgegevens beveiligen en zorgen voor een datalekprotocol
Bescherming van bestanden tegen verlies, tegen hackers en tegen misbruik is uiteraard vereist – dat is nu al zo. Iedereen moet goede firewalls hebben en duidelijke protocollen over wie bij welke persoonsgegevens kan. Die moet je handhaven. Een simpel voorbeeld: als een werknemer vertrekt, mogen zijn wachtwoorden niet meer werken.
De AVG stelt een datalekprotocol verplicht voor organisaties die persoonsgegevens verzamelen. Dit is niet nieuw: sinds 1 januari 2016 gelden in Nederland al specifieke regels over de omgang met datalekken. Je moet weten wat je gaat doen als er een data- lek blijkt te zijn. Of het nu gaat om een hack of doordat iemand zijn laptop in de trein laat liggen: het is meestal verplicht om zo’n lek direct te rapporteren aan de Autoriteit Persoonsgegevens en te vertellen welke maatregelen je neemt. Vaak moet je ook de mensen van wie je persoonsgegevens hebt gelekt, informeren. Doe je dat niet, dan ben je in overtreding. Uber kreeg onlangs met een enorm hack te maken en heeft dat niet gemeld. Het gevolg: negatieve publiciteit, onderzoeken van privacy toezichthouders in diverse Europese landen mogelijk hoge boetes. - Aantonen dat je het goed doet
De verwachting is dat er vanaf mei 2018 meer gehandhaafd zal gaan worden. Tot nu toe kwam de Autoriteit Persoonsgegevens vooral in actie bij klachten of na berichtgeving in de media. We moeten er rekening mee houden dat ze pro-actiever controles gaan uitvoeren. En boetes kunnen oplopen tot maximaal EUR 20 miljoen of 4% van de wereldwijde jaaromzet van een organisatie.
Begin vandaag
Het kan je nu duizelen, maar laat je ook niet gek maken. De volgende zaken zijn het belangrijkste:
- Zorg dat je weet welke persoonsgegevens je waarom verzamelt, waar deze zijn opgeslagen en hoelang ze worden bewaard.
- Stel jezelf op de hoogte van de regels en train je medewerkers. Je bent in mei 2018 niet klaar: compliance is een voortdurend proces.
- Wanneer je gegevens verzamelt, zorg dat je heel specifiek aangeeft waarvoor je die persoonsgegevens gebruikt en gebruik ze alleen voor dat doel. Informeer iedereen goed via je privacystatement
- Verstrek je data aan derden? Leg dan duidelijk vast wat ze er wel en niet mee mogen.
- Investeer in de beveiliging van persoonsgegevens. Stel een datalekprotocol op en check je interne autorisaties.
- Kijk of je alle data die je hebt nog nodig hebt of kunt vernietigen. Stel beleid en procedures op voor het bewaren persoonsgegevens en het voldoen aan verzoeken van mensen (dus ook je eigen werknemers!) van wie je persoonsgegevens verwerkt.
Het is een kans
Doe het niet om de boetes, doe het niet om de wetgever tevreden te stellen, maar doe het voor je organisatie. Als je zorgvuldig met persoonsgegevens omgaat, kun je deze relevant inzetten en waarde toevoegen voor je klanten en andere relaties. Daarmee voorkom je niet alleen problemen, maar creëer je juist nieuwe kansen.