Overzicht Actueel

Klaar voor de AVG? Drie tips voor uitgevers

AVG

Op 25 mei treedt de Algemene Verordening Gegevensbescherming (AVG, ook wel bekend onder de Engelse afkorting GDPR) in werking. Deze Europese privacywet stelt strengere eisen aan de manier waarop uitgevers persoonsgegevens mogen verwerken. De voorbereiding op deze nieuwe regels is een complexe aangelegenheid en vraagt veel van organisaties. Deze tips van Matthias de Bruyne, legal counsel bij DDMA, helpen uitgevers om tijdig en volledig klaar te zijn voor de AVG.

De Nederlandse uitgeefwereld is een brede sector met grote verschillen tussen organisaties wat de inzet van persoonsgegevens betreft. Nieuwsmedia en magazines hebben traditioneel gezien bijvoorbeeld veel inzicht in hun achterban vanwege de abonnementsstructuur. Boekenuitgevers hebben juist minder vaak de beschikking over gegevens van hun lezers, omdat zij hun producten niet direct zelf verkopen. De groeiende inzet van data in marketing is echter een ontwikkeling die voor de hele sector opgaat. Van mailings en direct mail tot telemarketing en online advertenties – uitgevers maken in hun marketingactiviteiten steeds vaker gebruik van persoonsgegevens. Net zoals iedere andere organisatie kunnen uitgevers daarom simpelweg niet om de nieuwe verplichtingen uit de AVG heen.

De AVG moet ervoor zorgen dat consumenten meer controle krijgen over hun eigen data en stelt daarom strengere eisen aan de verwerking van gegevens. Je moet vanaf 25 mei bijvoorbeeld kunnen aantonen dat je toestemming van een persoon hebt gekregen om diens gegevens te verwerken, bijvoorbeeld voor het versturen van een nieuwsbrief. Had je al toestemming, dan hoef je waarschijnlijk niet opnieuw toestemming te vragen. Daarnaast konden mensen al langere tijd hun gegevens inzien, laten aanpassen en verwijderen. Onder de AVG worden deze rechten uitgebreid. Alle nieuwe verplichtingen in de AVG hebben grote impact op de bedrijfsvoering van uitgevers, en vergen grote voorbereidingen op juridisch, organisatorisch en technisch vlak.

Uit de AVG Status Check van DDMA, waarin wordt gevraagd naar de stand van zaken op verschillende onderdelen van de AVG, blijkt dat uitgevers 2,34 op een schaal van 4 scoren. Dat is weliswaar iets bovengemiddeld, maar laat vooral zien dat uitgevers zeker nog niet voldoen aan alle verplichtingen. Er zijn bovendien maar weinig onderdelen waar uitgevers maximaal op scoren. Er is dus nog veel werk aan de winkel. Deze drie tips helpen je alvast op weg.

Tip 1: Maak belangrijke personen binnen jouw organisatie bekend met de AVG

Breng verantwoordelijken en uitvoerders op het gebied van IT, marketing, data, beveiliging en juridische zaken bij elkaar en zorg voor een plan van aanpak. Dat is de basis van een succesvolle implementatie van de AVG. De volgende stap is interne communicatie: iedereen binnen de organisatie die met persoonsgegevens werkt, moet weten wat er wel en niet is toegestaan en wat de gevolgen zijn. Een datalek kan immers overal in de organisatie optreden. Investeer daarom in trainingen en kennissessies en zorg voor blijvende bewustwording.

Tip 2: Controleer of het verplicht is om een functionaris gegevensbescherming aan te stellen

De Functionaris Gegevensbescherming (FG, of Data Protection Officer) controleert bedrijven met betrekking tot privacy en databescherming. Deze FG – in dienst of extern – ziet er op toe dat jouw organisatie de AVG naleeft, als een soort verlengstuk van de Autoriteit Persoonsgegevens. Voor sommige organisaties is het verplicht een FG aan te stellen, bijvoorbeeld als je op grote schaal bijzondere persoonsgegevens verwerkt (zoals gegevens over gezondheid, ras of politieke voorkeur) of wanneer dataverwerking nodig is voor het uitvoeren van de kerntaak van de organisatie. De kans is dus groter dat dit geldt voor een grote uitgeverij met meerdere landelijke nieuwsmedia onder zich dan voor een kleine, zelfstandige uitgeverij van geschiedenisboeken. Dit is echter moeilijk van buitenaf te beoordelen. Controleer daarom zo snel mogelijk zelf of dit ook voor jouw organisatie geldt, zodat je indien nodig tijdig een FG kan aanstellen.

Tip 3: Breng in kaart welke persoonsgegevens in jouw organisatie verwerkt

Onder de AVG moeten organisaties kunnen laten zien dat zij zich houden aan de privacywetgeving. Ook moet je kunnen aantonen dat je persoonsgegevens verwerkt met een rechtmatige grondslag. Een nieuwe verplichting onder de AVG is het ‘verwerkingenregister’. Dit zal voor vrijwel iedere uitgever wettelijk verplicht zijn vanaf 25 mei 2018. Zorg er dus voor dat je voor die tijd alle data in je organisatie in kaart brengt in een register. Dit wordt ook wel ‘data mapping’ genoemd. Heb je voor bepaalde gegevens geen rechtmatige grondslag (toestemming is één van die grondslagen), dan ben je wettelijk verplicht om ze te verwijderen. Hetzelfde geldt als de gegevens niet meer nodig zijn, iedere verwerking van persoonsgegevens (opslaan is ook een verwerking) heeft een doel nodig. Dit proces neemt behoorlijk wat tijd in beslag, maar een bijkomend voordeel is dat je meer inzicht krijgt in de datastromen binnen jouw organisatie. Dit helpt je processen efficiënter in te richten en nieuwe verplichtingen onder de AVG helder te krijgen.

Meer tips? Download gratis de AVG-checklist voor uitgevers

Wil je meer tips ter voorbereiding op de AVG? Dan komt deze gratis checklist van pas, opgesteld door DDMA, brancheorganisatie voor data en marketing, en de Mediafederatie (voorheen bekend als NUV), om uitgevers optimaal voor te bereiden op de AVG. De checklist is een eenvoudig instrument waarmee uitgevers op hoofdlijnen kunnen controleren en registreren welke maatregelen nog genomen moeten worden om op tijd AVG-klaar te zijn. Download hier: De AVG in 10 stappen – checklist voor uitgevers.

Ben je daarnaast benieuwd hoe goed jouw organisatie is voorbereid op de AVG? En wil je weten of de vorderingen van jullie AVG-voorbereidingen vergelijkbaar zijn met andere organisaties? Doe dan de gratis DDMA AVG Status Check. Op 17 mei organiseert DDMA in AVG Vragen(v)uur.* Uitgevers of dienstverleners actief in de uitgeefsector kunnen dan live vragen stellen aan de DDMA privacyjuristen.