Overzicht Actueel

Wat mediabureaus moeten weten over de nieuwe Europese privacywet

privacywet

DDMA bespreekt de gevolgen van de AVG (GDPR). In dit deel is DDMA ism branchevereniging MWG op zoek gegaan hoe de nieuwe privacywet uitpakt voor mediabureaus.

Het businessmodel van mediabureaus heeft de laatste jaren flinke veranderingen ondergaan. Naast inkoop bij traditionele media is online adverteren en de bijbehorende verwerking van persoonsgegevens steeds belangrijker geworden. Dat betekent dat de Algemene Verordening Gegevensbescherming, die vanaf 25 mei strengere eisen stelt aan de manier waarop organisaties persoonsgegevens mogen verwerken, ook op de bedrijfsvoering van mediabureaus grote impact gaat hebben. In dit artikel behandel ik vier onderwerpen die elk mediabureau moet kennen.

Maak afspraken met je opdrachtgevers

Of het nu gaat om programmatic advertising, Facebook-promoties of Adwords, mediabureaus verwerken in opdracht van hun klanten persoonsgegevens. Voor de AVG is het mediabureau dus in veel gevallen ‘verwerker’, terwijl de opdrachtgever als ‘verantwoordelijke’ te boek staat. Dit betekent dat je gegevens alleen mag verwerken in lijn met de schriftelijke afspraken die je met de opdrachtgevers hebt gemaakt. Gebruik je de gegevens ook voor andere doeleinden, dan ben je voor de wet verantwoordelijke. Dat brengt andere plichten en dus compliance-risico’s met zich mee. Handel je in lijn met de afspraken, dan is de opdrachtgever verantwoordelijk voor de manier waarop de gegevens zijn verzameld en hoe deze mogen worden gebruikt.

Stel verwerkersovereenkomsten op

Het is verplicht om schriftelijke afspraken te maken over de verwerking van persoonsgegevens, dat gebeurt meestal in een verwerkersovereenkomst. Daarin bepaalt de verantwoordelijke wat de bewaartermijn van persoonsgegevens is en hoe deze data beveiligd moeten worden. Daarnaast kan de opdrachtgever in de overeenkomst toestemming geven om gegevens te verwerken in samenwerking met een derde partij, zoals adverteren via Facebook en Google of data opslaan bij Amazon. Het is hierbij niet nodig om per subverwerker een losse tekst in de overeenkomst op te nemen. Het scheelt veel tijd om hier meer in algemene termen afspraken over te maken, bijvoorbeeld door af te spreken dat je als verwerker zelf mag kiezen waar je de data host, als het maar in Europa is en goed beveiligd. Zorg er wel Als verwerker moet je vervolgens ook schriftelijke afspraken met die subverwerkers, om te zorgen dat je de afspraken met je opdrachtgever kunt nakomen.

Zorg dat je kunt aantonen dat je AVG-compliant bent

Bewijs- en administratieplicht speelt een grote rol onder de AVG: je moet als verwerker aan kunnen tonen dat je je aan de AVG én dus aan de afspraken met je opdrachtgever houdt. In een verwerkingenregister houd je bij welke categorieën verwerkingen je uitvoert, waarvoor en voor welke opdrachtgever. Hier zullen opdrachtgevers je ook nadrukkelijk om vragen: zij hebben deze informatie namelijk op hun beurt weer nodig om aan te tonen dat de data verwerkt wordt in lijn met de wettelijke grondslagen en doeleinden die zij hebben vastgesteld.

Overweeg een Functionaris Gegevensbescherming aan te stellen

Organisaties die op grote schaal personen monitoren zijn verplicht een Functionaris Gegevensbescherming (FG) (on in het Engels: Data Protection Officer) aan te stellen. Wanneer er sprake is van grote schaal is nog niet helemaal duidelijk. Voor mediabureaus is van belang dat het e-mail retargeting, data-driven marketing, profiling en behavioural advertising genoemd worden als voorbeelden van ‘personen monitoren’. Het is daarom veilig om aan te nemen dat grote mediabureaus zullen moeten overwegen een FG in dienst te nemen, ook al zijn zij niet verantwoordelijke en werken zij alleen in opdracht van anderen. Wanneer je besluit dat je organisatie niet wettelijk verplicht is een FG aan te stellen, en je dit ook niet doet, is het belangrijk om schriftelijk vast te leggen hoe je tot dit besluit bent gekomen. Dit is verplicht omdat je moet kunnen aantonen dat je aan de AVG voldoet.

Op 17 mei organiseert DDMA een AVG Vragen(v)uur, waarbij mediabureaus live vragen kunnen stellen aan Matthias de Bruyne en andere privacyjuristen. Verder bieden wij organisaties ook een praktische 10 stappen checklist die ze laat zien hoe ze kunnen werken naar compliance.

Zie hier voor deel I, over AVG voor e-mail- en telemarketeers.