‘De grote schoonmaak dankzij de AVG ’, ik ben geschrokken!

Ik ben geschrokkenIk ben geschrokken

Enkele weken geleden ben ik mij rot geschrokken. Na 25 mei 2018 kan mijn eenmanszaak namelijk een boete van max. 20 miljoen euro krijgen. Inmiddels is de schrik alweer wat gezakt, maar duidelijkheid over het risico dat ik loop met mijn bedrijfsvoering is er nog steeds niet. De ‘boosdoener’ is de EU wetgeving GDPR, voor Nederland de Algemene Verordening Gegevensverwerking (AVG).
Hier kortweg aangehaald als de privacywet.
En hierbij gaat het dan vooral om twee dingen:

  1. de cookies die bij online activiteiten een rol spelen en
  2. het bijhouden van gegevens van derden (mijn websitebezoekers, e-mail ontvangers, klanten, leveranciers).

Even wat extra uitleg over cookies
Cookies zijn scripts die informatie verzamelen en gebruiken. Voor iedere ondernemer een handige en vaak zelfs noodzakelijke tool bij het ondernemerschap. Zo zorgen cookies er bijvoorbeeld voor dat je ingelogd kan blijven op een website of dat je voorkeuren, zoals locatie- en taalinstellingen, worden onthouden. Daarnaast houden cookies bij online winkelen je digitale winkelwagentje bij. Ook kunnen websitehouders dankzij cookies zien hoe vaak hun sites – en welke pagina’s – door bezoekers worden bekeken. En maken sommige cookies het mogelijk om je surfgedrag te volgen. Daarmee kunnen sites en adverteerders iets over je voorkeuren te weten komen waardoor ze relevantere advertenties kunnen laten zien. Advertenties zijn bij veel websites (niet bij die van mij) noodzakelijk om de website te bekostigen. Cookies worden opgeslagen op je computer en je kunt ze – als je weet hoe – op elk gewenst moment verwijderen.

Wanneer loop je risico?

Ben jij net als ik de bezitter van een website waar mensen een contactformulier kunnen invullen, iets kunnen downloaden of een YouTube filmpje kunnen bekijken?
Dan loop ook jij het risico een hoge boete opgelegd te krijgen vanuit de AVG!

De privacywet

De AVG ofwel privacywetgeving is op zich geen nieuws. Deze is immers al in 2016 van kracht geworden. De overbruggingsperiode is echter binnenkort voorbij. En kan er vanaf 25 mei aanstaande actief vervolgd gaan worden. En dat terwijl er op veel punten nog steeds onduidelijkheid is: de Autoriteit Persoonsgegevens, die de wet gaat handhaven en de boetes gaat opleggen, heeft namelijk nog steeds niet alle details ingevuld en kenbaar gemaakt.

De cloud en risico

Als je op conventionele – niet digitale – wijze opereert lijkt er weinig aan de hand. Je stopt je papieren dossier met klantgegevens, bezoekersgegevens, netwerkcontacten in een kast met een goed slot erop en je bent klaar. Niemand die erbij kan.
We leven echter in een digitaal tijdperk. Welke ondernemer slaat zijn gegevens niet op in de cloud (in Dropbox bijvoorbeeld)? Of al maak je, heel simpel, een foto van een visitekaartje van een relatie. Deze wordt automatisch gesynchroniseerd met je PC en staat dan ook in de cloud. En de backups van al je gegevens? Precies, in de cloud…..
De ‘cloudbedrijven’ slaan jouw gegevens (zoals visitekaartjes, e-mails, facturen) op (lees: verwerken) en kunnen in principe deze gegevens inzien. Daar komt bij dat geen enkele service dit ‘onder één dak heeft’. Zij werken samen met andere dienstverleners. In het kader van de privacywetgeving werkt dit dus heel ver door. Met verstrekkende gevolgen als niet aan deze wetgeving wordt voldaan.

Een voorbeeld

Hieronder een aantal voorbeelden om de complexheid van dit alles te illustreren. Daar komt bij dat het zeer technische materie is wat het nog lastiger maakt het proces te doorzien en te weten hoe je je als ondernemer kan indekken tegen een boete.

Google Analytics
Welke ondernemer gebruikt er geen Google Analytics? Het onderstaande voorbeeld van Google laat zien hoe ver het doorwerkt en in welk enorm en uiterst lastig parket de AVG/ privacywetgeving ondernemers plaatst.

“If you use Google Analytics (GA) on your website, Google would not only know all of the IP addresses (and other browser unique identifiers) of visitors to your website (and which pages they looked at on your site), but because most other websites use GA as well (or another Google product), Google would also, for example, know the 6 other websites that person visited earlier that day and the 367 websites he looked at in the last month. Because more than 60% of all websites on the Internet use GA , Google Adsense or another Google product using tracking beacons – “Only 36.5% of the web is Google-free” – Google is able to build a very accurate picture of most websites visited by any given user.”
(bron: https://matomo.org/privacy/)

Social media
Een ander voorbeeld van een medium op internet waar veel mensen hun gegevens achter laten, is LinkedIn. Daar sla je niet alleen je eigen persoonlijke gegevens en CV op. Ook wordt er nauwkeurig bijgehouden wat je op het web allemaal doet.

“Wij gebruiken verschillende soorten cookies die we op onze website en in onze advertentieproducten uitvoeren. Deze tabellen bevatten enkele cookies van derden. Cookies van derden worden afgeleid van advertenties op andere websites om het webgebruik te volgen voor marketingdoeleinden.”

Maar wat blijkt nu: die ‘enkele’ cookies bij LinkedIn blijken een enorme lijst te zijn.

En hoe zit het bij Facebook dan?
Dit is wat Matamo (voor de deskundigen onder ons: het open source alternatief voor Google Analytics) ervan zegt:

“Facebook Social widgets are used on already more than 19% of all websites & blogs (source w3techs). When you visit a website with a Facebook Like button (or any other FB functionality) your browser will send data (and your IP address) to Facebook. Recently it was made public that Facebook creates shadow profiles of logged out users. This means that even if you are logged out or not a Facebook member, they still keep track of the websites and articles your IP address (and other browser unique identifiers) was looking at.”
(bron: https://matomo.org/privacy/)

Wil ik daaraan meewerken?

En dan kom je bij de ethisch vraag: wil ik daaraan meewerken?
Ook ik maak gebruik van cookies op mijn website. Welke en hoe? Dat weet ik nog steeds maar gedeeltelijk omdat het een zeer technisch verhaal is. De vraag is natuurlijk of het niet zonder kan. Waarom heb ik deze services nodig?
Het antwoord mag duidelijk zijn: als ondernemer wil ik en moet ik zelfs weten of mensen mijn website bezoeken, of ze tot mijn doelgroep behoren, waar hun interesses liggen, etc.
En daarvoor werk ik met bedrijven die daarin gespecialiseerd zijn, zoals Google Analytics.

Ook laat ik op mijn website graag een YouTube filmpje zien over een boeiend onderwerp.
Nu heeft YouTube, net als andere videopresentatie bedrijven, zijn eigen manier om te bepalen welke advertentie ze daarbij willen laten zien. En daarvoor kunnen ze de gegevens van mijn websitebezoekers analyseren.
YouTube houdt dus (ongevraagd) veel meer bij dan ik nodig heb. Daarin heb ik geen keuze!

Online ondernemen

De AVG vraagt dat ik vanaf uiterlijk 25 mei as. een verwerkingsovereenkomst/geheimhoudingsverklaring moet hebben van iedereen die bij mijn gegevensverwerking betrokken is (c.q. toegang heeft tot mijn gegevens). En dat blijken bij mijn online activiteiten heel wat partijen te zijn! Om er een paar te noemen: Google (o.a. Analytics, Webmaster, YouTube, AdWords), Facebook, LinkedIn, Convertkit (mailverzender). Allemaal bedrijven aan de overkant van de grote plas voor wie ik mogelijk een lastige EU klant ben.
Overigens, op 19 februari 2018 heb ik met Google wel een “Amendement gegevensverwerking” kunnen afsluiten.

Lichtpuntje in dit alles (en een mooi voorbeeld van positief denken): er zijn partijen zoals Drip die je adviseren om al je klanten in je mailbestand uit de EU gewoon te verwijderen!
Wil je hier meer over lezen: https://bit.ly/Drip-GDPR. Gelukkig heb ik geen contacten met deze partij(en). Anders zou ik mijn e-maillijst daarmee tot nul reduceren en mijn wekelijkse blog zou wel kunnen verdwijnen.

Juridisch advies

En dan nog het op zich terechte advies van de advocaten: “laat elke verwerkingsovereenkomst door ons controleren”.
Daarnaast dien je een privacyverklaring op je website te hebben waar alle services/samenwerkingen in genoemd worden. Ook die overeenkomst kun je laten controleren door een advocaat “tegen een gereduceerd tarief van € 298,-” per overeenkomst. Je kunt je voorstellen dat het op die manier een aardig bedrag aan advocaatkosten gaat worden. Voor velen dus een onmogelijke en (te) kostbare zaak.

De moraal

Kortom, ik ben geschrokken van het ondernemersrisico dat ik na 25 mei 2018 loop.
In dit verband vind ik het advies van Drip eigenlijk zo slecht nog niet: realiseer je welk financieel risico je loopt en wat de (online) activiteiten je per saldo opleveren.

Als je een goedlopend online bedrijf hebt, is dat relatief makkelijk te calculeren. Als je echter een relatieve starter bent op online gebied heb je dus met buitenproportionele (juridische) kosten te maken om het financiële risico van een boete goed af te dekken.

Misschien een reden om te stoppen met de ‘verwijzingsmail’ op woensdag naar het blogartikel van de betreffende week en het beschikbaar stellen van downloads…..

Of heb jij andere suggesties, dan hou ik me aanbevolen 😉

Foto: Pixabay, created by Boy Clipart

Ik hoop dat dit artikel je waardevolle inzichten geeft. Wil je wekelijks nieuwe tips of artikelen over persoonlijke ontwikkeling ontvangen? Abonneer je dan: onderaan de pagina staat het invulformulier.

Onze missie is: “Anderen en onszelf inspireren om anders te denken en te voelen, zodat er een warm en waardevol leefklimaat ontstaat binnen familie en organisatie.”

2018-03-05T18:08:51+00:00
css.php

Fijn dat je er bent ;-) Ja, je ziet het goed: PersonalCoaching.nl heeft een cookie’muur’. Dat doe ik niet omdat ik met cookies inbreuk wil maken op je privacy. Maar omdat wetten over cookies en privacy zo complex en tegenstrijdig zijn, dat dit voor mij de enige werkbare en betaalbare oplossing is.

Malcare WordPress Security