De AVG: een kijkje in de keuken van Level Level.
In aanloop naar 25 mei 2018 zat menig bedrijf met de handen in het haar. De Algemene Verordening Gegevensbescherming (AVG) werd namelijk op die datum ingevoerd en dit bracht nogal wat vragen met zich mee. Want welke gegevens verzamel je nou eigenlijk als bedrijf? Beveilig je die wel goed? En is het nou wel echt nodig dat je die gegevens verzamelt?
Als je jezelf deze vragen kon stellen, was je eigenlijk al best wel ver. Want dan wist je in ieder geval waar je over na moest denken. Voordat wij dat wisten, waren we inmiddels een maand inlezen en uitpluizen verder. Maar toen konden we wel als een gek aan de slag.
We geven je graag een kijkje in onze AVG keuken die begin 2018 overuren draaide.
Blogs, meetings en wetteksten
Inlezen en uitpluizen
In eerste instantie hebben we ons ingelezen, ingelezen en ingelezen. En wat bleek? 1. Er was al onwijs veel geschreven over de AVG in diverse blogs. 2. Dat wat er was geschreven sprak elkaar vaak tegen. 3. Bijna geen enkel bedrijf was al klaar voor de AVG. Aan de ene kant: geruststellend, we waren dus niet de enige die nog het een en ander moest regelen. Aan de andere kant: als alles elkaar tegenspreekt, hoe weet je dan wat je echt moet doen?
Om hier achter te komen, zijn we naar meetings gegaan, hebben we diverse interpretaties van juristen doorgenomen en zijn we natuurlijk ook de wetteksten ingedoken. Langzaamaan begrepen we de wet steeds beter en konden we het vertalen naar onze eigen situatie. We konden een actielijst opstellen en daadwerkelijk aan de slag.
AVG-proof door wekelijkse meetings
Als eerste stond op onze actielijst draagvlak te creΓ«ren binnen Level Level. Nu zijn hier dagelijks mensen keihard code aan het kloppen, UX designs in elkaar aan het draaien en projecten aan het managen. Oftewel: wetteksten vallen nou niet echt onder de interesses van het team. Dus probeer daar maar eens tussen te komen met je AVG-actielijst.
Toch hebben we inmiddels onze actielijst (bijna) afgewerkt. Hoe we dit hebben gedaan? We zijn met een klein team dedicated aan de slag gegaan en hebben ons wekelijks minstens 6 uur opgesloten in onze meeting room. Een van de doelen van elke meeting was om het werken aan de AVG leuk te maken. Best een uitdaging. Maar juist doordat we de AVG met een kleine knipoog benaderden, bleven we met enthousiasme werken richting een AVG-proof Level Level.
Waar heeft dat dan toe geleid?
Een opgeschoonde mailinglist voor onze nieuwsbrief
We zijn begonnen met een inventarisatie van onze gegevensverwerking. Dit gaf inzicht in mogelijke pijnpunten. Zo kwamen we er bijvoorbeeld achter dat op dat moment onze mailinglist voor de nieuwsbrief nog niet echt AVG-proof was. We hebben er toen voor gekozen deze lijst op te schonen door aan iedereen uit onze lijst nogmaals expliciet toestemming te vragen voor het toesturen van onze nieuwsbrief.
Dat dit ervoor zorgde dat we van bijna 550 inschrijvingen naar ruim 100 inschrijvingen zijn gegaan, dat deed wel even pijn. Maar we hebben nu wel een lijst van mensen die echt interesse heeft in onze nieuwsbrief. We weten nu beter wat onze doelgroep is en kunnen onze mailing hierop afstemmen. Uiteindelijk helemaal niet zo verkeerd. We beginnen gewoon met een schone lei en langzaamaan zal die 550 echt wel weer aangetikt worden (fingers crossed).
Ontvang jij onze kekke nieuwsbrief eigenlijk al? Schrijf je nu in π
Aangescherpte privacy by design checklists
Privacy heeft bij ons altijd al een belangrijke rol gespeeld bij het ontwerpen van websites. De AVG heeft er voor gezorgd dat we onze checklists nog wat meer hebben aangescherpt. Zo staat er nu bijvoorbeeld op deze lijst dat we in het design rekening houden met YouTube video’s die niet worden getoond als bezoekers van een website marketing cookies niet accepteren. En we zorgen dat er altijd ruimte is in het design om op de website een privacyverklaring of disclaimer toe te kunnen voegen.
Het opstellen van een verwerkersovereenkomst
Onder de AVG wordt er onderscheid gemaakt tussen verwerkingsverantwoordelijken en verwerkers. Level Level is beide. Dit betekende onder andere dat we een verwerkersovereenkomst moesten aangaan met onze klanten. Het samenstellen van deze overeenkomst heeft nogal wat tijd gekost. Maar eerlijk gezegd zijn we best trots op het resultaat. Ben je benieuwd wat we ervan hebben gebakken? Bekijk onze clausules dan op deze pagina.
Het publiceren van diverse artikelen
Onze kennis over de AVG hebben we kunnen vertalen naar de gevolgen van de AVG op het beheer van websites. We hebben hierover drie artikelen gepubliceerd: een algemeen artikel over het AVG-ready maken van je website, een artikel over de AVG en cookies, en een artikel over privacy by design en privacy by default. Lees deze artikelen vooral, want wellicht leer je nog wat nieuws! En als je denkt dat wij nog wat kunnen leren, laat dat dan ook vooral aan ons weten π
En ga zo maar door…
…we hebben onder andere privacyverklaringen gemaakt, onze subverwerkers in kaart gebracht, een inventarisatie van de privacygevoeligheid van gebruikte plugins gemaakt, de inschrijving voor de nieuwsbrief verder aangepast en we hebben alles, maar dan ook echt alles, gedocumenteerd.
Wat kunnen we hier nou van leren?
Vooral dat je op tijd moet beginnen met het treffen van voorbereidingen op het moment dat er zo een ingrijpende wet wordt ingevoerd. En dat het een uitdaging is om je team betrokken te houden bij dit soort processen. Dat het goed werkt om het niet al te serieus te nemen (maar wel serieus genoeg). En dat je er als projectleider bovenop moet blijven zitten.
En verder? Dat we blij zijn dat we dit proces nu achter de rug hebben π
Oh ja, de ePrivacy Verordening komt eraan…
Betekent dit dat we weer een team van medewerkers wekelijks een aantal uur vrij moeten spelen? Wij denken van niet. Uit het wetsvoorstel blijkt namelijk dat er voornamelijk wordt teruggegrepen op de AVG. Vooral Artikel 7 (het verkrijgen van toestemming) blijkt belangrijk.
We gaan er daarom vanuit dat op het moment dat deze wet wordt ingevoerd, het voor digitale communicatiemiddelen vooral belangrijk is geen gegevens te verzamelen zonder dat hier expliciet toestemming voor is gegeven. Iets wat eigenlijk ook al blijkt uit de AVG.
Privacy als standaard
Wij zijn er daarom van overtuigd dat je het beste nu al je website zo privacyvriendelijk mogelijk moet maken: het waarborgen van privacy moet standaard zijn. Dit zal voor het beheer van websites bijvoorbeeld tot gevolg hebben dat je niet zomaar cookies plaatst of statistieken diensten inzet.
Zodra er meer bekend is over de verordening, laten we natuurlijk weer van ons horen. Voordat je het weet, vliegen onze ePrivacy-Verordening-tips-en-tricks je weer om de oren π
Vertel ons meer over je plannen en ambities!
We zijn klaar om jullie online uitdaging op te pakken.