Checklist GDPR voor uitgevers

GDPR of AVP voor uitgevers

De nieuwe Algemene Verordening Gegevensbescherming (AVG) – of veel gebruikt General Data Protection Regulation (GDPR) – van de Europese Unie gaat op 25 mei van kracht worden. De nieuwe regelgeving zal de online relatie tussen uitgevers en consumenten opnieuw definiëren. Als uitgever kun je deze checklist van de FIPP (wereldwijde print media federatie) gebruiken om te zien hoe je je compliance kunt regelen.

Een van de belangrijkste principes binnen GDPR is de accountability van uitgevers in relatie tot de persoonlijke data van gebruikers. Elk bedrijf dat consumentengegevens opslaat of verwerkt, moet kunnen aantonen hoe er met data wordt omgegaan. Als je je als uitgever aan deze principes houdt, dan voldoe je aan de regels.

Nieuwsbrieven

Overigens, als je als uitgever of mediamerk al een maillijst hebt opgebouwd, waarvan gebruikers eerder schriftelijke toestemming hebben verleend om te mailen (zonder overbodige, privacy-gevoelige info), dan hoef je overigens niet nogmaals permissie te vragen.

6 basisprincipes

Als je wel allerlei gebruikersdata hebt opgeslagen en daar meer mee doet dan ooit met gebruikers afgesproken (zoals bij het versturen van een nieuwsbrief) dan moeten uitgevers vanaf 25 mei de volgende zes vragen kunnen beantwoorden:

1. Kunnen we laten zien hoe onze gegevens worden gebruikt en waarvoor ze worden worden gebruikt?

2. Kunnen we bewijzen dat de verzamelde gegevens alleen worden gebruikt voor de doeleinden die expliciet zijn gespecificeerd op het moment van verzamelen?

3. Kunnen we onze gegevensverzameling beperken tot specifiek wat nodig is om het doel te dienen waarvoor de data wordt verzameld?

4. Kunnen we bewijzen dat de gegevens kloppen?

5. Kunnen we de gegevens slechts zo lang bewaren als nodig is voor het beoogde doel?

6. Kunnen we bewijzen dat we kunnen voorkomen dat de gegevens door onbevoegde partijen worden gebruikt en/of dat er onbedoeld verlies plaatsvindt door passende veiligheidsmaatregelen te nemen?

Samengevat, GDPR vereist een extra niveau van accountability en legt de verantwoordelijkheid om te kunnen aantonen hoe naleving van GDPR-principes wordt beheerd en bijgehouden stevig bij de uitgever. Het wordt dus belangrijk om bij te houden over hoe en waarom persoonlijke gegevens zijn verzameld en de documentatie van de processen die daarbij zijn gebruikt.

Expliciete toestemming

Toestemming vragen om persoonlijke gegevens te verzamelen en te verwerken is de eerste stap. Uitgevers moeten ervoor zorgen dat ze:

1. Toestemming vragen voordat zij de persoonsgegevens van een persoon gaan verwerken;

2. Hun privacy beleid in relatie tot de gegevens in duidelijke en begrijpelijke bewoordingen hebben uiteengezet;

3. Het net zo gemakkelijk maken voor een persoon om toestemming in te trekken als het was om het te geven;

4. De leeftijd van minderjarigen verifiëren en toestemming hebben gevraagd van hun wettelijke voogd;

5. Consumenten telkens informeren wanneer het beleid rondom de privacy van hun gegevens is bijwerkt.

Kort gezegd, het principe van expliciete toestemming om gegevens te verzamelen en te verwerken is gebaseerd op een ondubbelzinnige beslissing van de consument die pas is gemaakt nadat je als uitgever hem hebt geïnformeerd over het exacte doel van het gegevensgebruik.


Accountability

Om zich aan het extra niveau van accountability te houden, moeten uitgevers een medewerker benoemen die verantwoordelijk is over GDPR. Diegene maakt beleid binnen de uitgeverij over gegevensbescherming en houdt dat in de toekomst bij. Deze medewerker zorgt er ok voor dat leveranciers die namens de uitgever persoonsgegevens verwerken, hun zaken op orde hebben.

De rechten van de consument

GDPR geeft nieuwe rechten aan consumenten. Om aan deze rechten te voldoen, moeten uitgevers:

1. Beschikken over de mogelijkheid om op verzoek informatie efficiënt te verstrekken over persoonlijke gegevens (aan beleidsmakers of individuele consumenten);

2. Beschikken over een systeem waarmee consumenten gemakkelijk hun eigen persoonlijke gegevens kunnen bijwerken en accuraat kunnen houden;

3. Persoonlijke gegevens kunnen verwijderen wanneer je ze niet meer gebruikt of nodig hebt voor de doeleinden die je hebt bepaald;

4. In staat zijn om persoonlijke gegevens onmiddellijk te verwijderen wanneer daarom wordt gevraagd;

5. In staat zijn om onmiddellijk te stoppen met het verwerken van gegevens van individuele consumenten of groepen consumenten op verzoek;

6. In staat zijn om gegevens te leveren aan een consument of een derde partij wanneer hierom wordt verzocht;

7. In staat zijn profilering of geautomatiseerde besluitvorming te stoppen wanneer hiertegen bezwaar wordt gemaakt door een consument of een groep consumenten;

8. Gegevensovertredingen met betrekking tot persoonlijke gegevens melden aan de lokale overheid en de betrokken consument binnen 72 uur.

Waarde uitwisseling

Omdat verwacht wordt dat deze regels van invloed zijn op effectieve bedrijfsactiviteiten en inkomstenstromen zullen beïnvloeden, moeten vooruitstrevende uitgevers ook:
1. Kunnen verklaren aan consumenten hoe het kiezen voor het delen van zijn of haar gegevens de gepersonaliseerde publicaties kunnen verbeteren. Het moet duidelijk zijn wat de waarde is van het delen van de gegevens;

2. Bewustwording creëren bij beleidsmakers over de impact van GDPR-richtlijnen;

3. Personeel trainen om op de hoogte te zijn van gegevensbescherming en de mogelijke vertakkingen van GDPR op zakelijke werkwijzen en winstgevendheid;

4. Brainstormen over nieuwe marketingstrategieën;

5. Informeren van consumenten over GDPR, de mogelijke effecten ervan en hoe jij als uitgever van plan bent hieraan te voldoen;

6. Producten waar nodig vernieuwen en ze aanpassen.

Consequenties

Wat kan er fout gaan? Boetes kunnen oplopen tot € 20 miljoen of vier procent van de jaarlijkse wereldwijde verkoop. Echter, het verlies van doelgroepgegevens en van digitale inkomsten door het niet hebben van een GDPR-strategie zou nog grotere impact kunnen hebben.

Bron: FIPP – GDPR – a checklist for publishers