Vorige week schreef ik een artikel over de AVG, ook wel de Algemene Verordening Gegevensbescherming genoemd. In deze blog kreeg je wat algemene informatie over de AVG, maar er is nog veel meer te vertellen over de Algemene Verordening Gegevensbescherming. Daarom heb ik een vervolg geschreven op mijn eerste blog, namelijk de AVG deel II. Dit artikel gaat onder andere over de verwerker, de verwerkersverantwoordelijke en de verwerkersovereenkomst.

De verwerker en de verwerkersverantwoordelijke

Als er over de AVG gesproken wordt, hoor je regelmatig de begrippen ‘verwerker’ en ‘verwerkersverantwoordelijke’. Als je deze begrippen nog nooit hebt gehoord, klinken ze wellicht wat vaag. Daarom leggen we de begrippen graag kort voor je uit.

De verwerker houdt zich alleen bezig met het verwerken van data. De verwerkersverantwoordelijke is, zoals de naam van deze persoon al verklapt, verantwoordelijk voor de data. Stel, je hebt een website laten bouwen door een externe partij. Deze partij is ook verantwoordelijk voor de hosting van jouw site. De externe partij die jouw website heeft gebouwd en bovendien host, is in dit geval de verwerker van de data.

Jij bent de eigenaar van de website. Daarom ben jij de verwerkersverantwoordelijke, niet de partij die jouw website gebouwd heeft en op dit moment host. Als verwerkersverantwoordelijke ben je onder andere verantwoordelijk voor het beveiligen van je website en dus de gegevens van je klanten.

De verwerkersovereenkomst

De verwerkersverantwoordelijke, doorgaans de ondernemer, vraagt een verwerkersovereenkomst aan. In deze overeenkomst staat precies wie waar verantwoordelijk voor is. Ook schrijf je in de verwerkersovereenkomst wat er gezamenlijk – door de verwerker en de verwerkersverantwoordelijke – wordt gedaan om een zo veilig mogelijke website aan te bieden. Tot slot wordt ook de meldingsplicht van de AVG in deze overeenkomst opgenomen.

Je kunt als verwerkersverantwoordelijke iemand inhuren om de verwerkersovereenkomst op te stellen. Dit kan bijvoorbeeld de partij zijn die jouw website heeft gebouwd en host, ofwel de verwerker. Wel moet het initiatief voor het opstellen van de overeenkomst altijd van jou komen.

Bestaande klanten en de nieuwsbrief

Voor ik dit artikel afsluit, wil ik een belangrijke verandering in de privacywet met je delen. Volgens de nieuwe wet, die zoals eerder vermeld op 25 mei 2018 in gaat, mag je bestaande klanten namelijk niet zomaar nieuwsbrieven sturen. Alleen als klanten hebben aangegeven dat ze de nieuwsbrief willen ontvangen, mag je deze naar hen versturen. Klanten die niet hebben aangegeven de nieuwsbrief te ontvangen, mag je niet meer op deze manier benaderen. Ook niet als je hun e-mailadres gewoon in je contactenlijst hebt staan omdat ze ooit een bestelling hebben geplaatst.

Goed om te weten: updates over producten en/of diensten die een klant afneemt, mag je nog wel zonder toestemming delen. Dit moeten dan wel relevante updates zijn, enkel over de producten en/of diensten die de betreffende klant ooit heeft afgenomen.

Verstuur je jouw wekelijkse of maandelijkse nieuwsbrief nu naar al je klanten? Dan moet je al je klanten vragen te bevestigen dat ze de nieuwsbrief inderdaad willen blijven ontvangen. Klanten die geen bevestiging geven, krijgen de nieuwsbrief niet meer. In de praktijk betekent dit (helaas) dat je veel abonnees verliest. Zonde, maar zo zit de nieuwe wet nu eenmaal in elkaar.

In mijn volgende blog ga ik verder in op het versturen van nieuwsbrieven volgens de regels van de Algemene Verordening Gegevensbescherming.