Wat er voor marketingbureaus en andere dienstverleners verandert onder de GDPR
Vrijwel alle grote adverteerders werken samen met een scala aan dienstverleners: van Adwords-specialisten tot e-mailserviceproviders en van hostingbedrijven tot webshopsystemen. Deze dienstverleners handelen in opdracht van adverteerders en verwerken data van hun klanten. De Algemene Verordening Gegevensbescherming (AVG) stelt nieuwe eisen aan deze samenwerking en introduceert wettelijke verplichtingen voor verwerkers van persoonsgegevens. In deel 5 van deze blogserie lees je wat er verandert en aan welke verplichtingen voortaan boetes zijn verbonden.
Dit artikel is geschreven in samenwerking met mijn collega Sanne Mulder, legal counsel bij DDMA.
Voor elke dienstverlener is het belangrijk om te weten dat de AVG (ook wel bekend als GDPR) onderscheid maakt tussen verantwoordelijken en verwerkers. De verantwoordelijke is de partij die bepaalt wat er met persoonsgegevens gebeurt en met welk doel – in de meeste gevallen is dit de adverteerder. De verwerker is de zelfstandige partij – dus niet een medewerker van de adverteerder – die in opdracht van de adverteerder gegevens verwerkt.
Neem een bekend merk in de consumentenelektronica. Als dit merk een e-mailserviceprovider (ESP) inschakelt om e-mailcampagnes te versturen, is de ESP de verwerker en het merk de verantwoordelijke. Het merk bepaalt wat er met de persoonsgegevens gebeurt en hoe: e-mailadres, naam en koopinformatie uit het verleden worden gebruikt om een zo relevant mogelijke mail te verzenden. De ESP heeft geen invloed op hoe er met die gegevens wordt omgegaan, maar mag wel zelf kiezen met welk e-mailprogramma de mail wordt verstuurd en hoe de mail eruitziet.
Soms is het onderscheid tussen verantwoordelijke en verwerker wat minder duidelijk. Als het elektronicamerk bijvoorbeeld een dataleverancier inhuurt die gespecialiseerd is in het verrijken van de klantprofielen (profileren), dan kan die dataleverancier ook (mede)verantwoordelijke zijn. Hij bepaalt immers (mede) wat er gebeurt met de gegevens.
Daarnaast kan een dienstverlener ook zelf verantwoordelijk zijn voor (een deel van) de verwerking van persoonsgegevens. Bijvoorbeeld voor HR-data van personeel of (B2B-) verkoopgegevens. Daarvan bepaalt de dienstverlener immers zelf hoe de data wordt verwerkt en onder welke omstandigheden. Of je verantwoordelijke of verwerker bent, hangt dus af van het type verwerking dat je doet – en dat moet je in principe per situatie beoordelen.
Dit artikel is onderdeel van een reeks over de gevolgen en kansen van GDPR/AVG. Hier vind je alle artikelen in de reeks.
Verplichte verwerkersovereenkomst
Onder de huidige Wet bescherming persoonsgegevens is het al verplicht dat de verantwoordelijke en de verwerker een verwerkersovereenkomst afsluiten. Onder de AVG komt daar een aantal verplichte onderwerpen bij. Een belangrijk onderwerp in deze overeenkomst is doelbinding. Dit betekent dat je als dienstverlener alleen de persoonsgegevens mag verwerken voor zover dat in lijn is met de doelen die de opdrachtgever heeft gesteld. Dat betekent dat de ESP niet uit eigen naam de ontvangers mag mailen of de gegevens zomaar aan andere partijen mag doorgeven.
Een ander nieuw onderwerp is het inschakelen van subverwerkers. Als de ESP bijvoorbeeld emailverzendsoftware gebruikt, dan geldt die verzender binnen deze samenwerking als subverwerker. De opdrachtgever moet toestemming geven voordat deze subverwerker mag worden ingezet. Ook moet de ESP een subverwerkersovereenkomst opstellen, zodat de verzender zich aan dezelfde afspraken houdt.
Naast deze onderwerpen moeten er andere afspraken in de verwerkersovereenkomst worden vastgelegd, zoals over de beveiliging van de gegevens, de duur van verwerkingen en het verwijderen van de gegevens aan het einde van de opdracht. Ook moet de verwerker borgen dat iedereen die betrokken is bij de verwerking van de persoonsgegevens, bijvoorbeeld personeel, daar vertrouwelijk mee omgaat. Dat alles brengt de nodige administratie met zich mee. Daarom heeft het juridische team van DDMA een model-verwerkersovereenkomst opgesteld. Leden kunnen dit aanvragen in het kader van het AVG voorlichtingstraject (deel 4) van de brancheorganisatie.
Ook aansprakelijkheid en boetes voor dienstverleners
Nu is het nog zo dat alle wettelijke aansprakelijkheid bij de opdrachtgever ligt. Dat gaat veranderen, want onder de AVG heb je als dienstverlener ook bepaalde plichten die – wanneer niet nageleefd –beboet kunnen worden. We zetten hieronder de belangrijkste verplichtingen op een rij. Hieraan is een boete van maximaal 20 miljoen euro of 4% van de omzet verbonden:
- Dienstverleners mogen als verwerker alleen gegevens verwerken in opdracht van de opdrachtgever. Als je ook gegevens voor eigen doeleinden verwerkt, handel je waarschijnlijk als verantwoordelijke en dat brengt weer andere plichten met zich mee;
- Verwerkers hebben een administratieplicht en moeten – onder andere – een overzicht bijhouden van alle opdrachtgevers waarvoor zij werken en de (categorie) van verwerkingen die zij uitvoeren voor opdrachtgevers;
- Verwerkers moeten passende technische en organisatorische beveiligingsmaatregelen nemen met het oog op het risico van de gegevensverwerking voor betrokkenen;
- Verwerkers mogen niet langer subverwerkers inschakelen zonder toestemming van hun opdrachtgever. Dat is nu vaak al het geval, maar vanaf mei 2018 staat het ook in de wet;
- Verwerkers moeten hun opdrachtgevers direct op de hoogte stellen van een datalek;
- Ook voor verwerkers is het soms verplicht om een data privacy officer of functionaris gegevensbescherming (FG) aanstellen. Bijvoorbeeld als er sprake is van verwerking van persoonsgegevens op grote schaal. Bij ESP’s of marketingbureaus die voor veel verschillende opdrachtgevers werken is dat het geval.
Of je nu bij een (online) marketingbureau, een ESP of een websitebouwer werkt, elke dienstverlener die persoonsgegevens verwerkt krijgt te maken met extra verplichtingen onder de AVG. Voor adverteerders met een dienstverlener in zee gaan, zullen ze vermoedelijk veel beter dan nu controleren of deze alles goed op orde heeft. Het voeren van het Privacy Waarborg zal daarbij als een belangrijke indicator dienen. Zorg er dus voor dat je zo snel mogelijk klaar bent voor de nieuwe regelgeving.
Is jouw organisatie klaar voor de AVG? En wil je weten of de vorderingen van jullie AVG-voorbereidingen vergelijkbaar zijn met andere organisaties? Doe dan de gratis DDMA AVG Status Check.