Ik heb alleen b2b klanten, moet ik dan aan de AVG voldoen?

block-chain-2853050_1920

Er wordt in alle berichtgeving rondom de GDPR¹ veel gesproken over rechten van burgers, individuen, consumenten etc. Dat betekent echter niet dat de AVG alleen van toepassing is op b2c bedrijven. Verwerk je persoonsgegevens, dan moet je aan de verplichtingen uit de GDPR voldoen. Onder ‘persoonsgegeven’ wordt verstaan: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”).

Wat is identificeerbaar?

Een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, wordt beschouwd als identificeerbaar: overledenen en rechtspersonen vallen hier dus buiten.

Hoe zit het dan met bedrijfsgegevens?

Een e-mailadres zoals info@bedrijfx.nl , is geen persoonsgegeven. Maar het e-mailadres voor.achternaam@bedrijfx.nl, is weer wél een persoonsgegeven: het e-mailadres identificeert namelijk de persoon achter het adres. Gegevens die naar een (natuurlijke) persoon verwijzen, zijn dus persoonsgegevens en dat gaat niet alleen om bedrijven die zich op consumenten richten. Verwerk je overzichten met gegevens van accountmanagers van je klanten of bewaar je gegevens van b2b klanten in je contractsysteem en betaalsysteem, dan vallen die verwerkingen onder de reikwijdte van de GDPR.

Mag ik mijn b2b klanten dan ook niet mailen zonder optin?

De vraag die ziet op (zakelijk) e-mailen is geen AVG gerelateerde vraag maar eentje die valt onder de Telecommunicatiewet². Ook voor zakelijk e-mailen heb je toestemming, oftewel een (soft) opt-in nodig. Er bestaat nog wel eens verwarring met algemene bedrijfsemailadressen: berichten naar algemene bedrijfsemailadressen zoals ‘info@bedrijf.nl’, mogen namelijk wel zonder toestemming, zonder opt-in gestuurd worden.

B2b onder AVG

Kortom, ben je verwerker van zakelijke gegevens die verder gaan dan alleen het algemene bedrijfsemailadres, dien je te voldoen aan de GDPR. En ook bij het e-mailen van je klanten en/of prospects dien je regelgeving zoals de Telecommunicatiewet in acht te nemen.

Imke.

  1. de AVG en GDPR worden door elkaar gebruikt, maar zien op dezelfde wetgeving. De Algemene Verordening Gegevensbescherming is de Nederlandse variant van de General Data Protection Regulation;
  2. De Telecommunicatiewet wordt binnenkort vervangen door de Europese variant, de e-Privacy verordening;

Sportcontributie innen: valt de automatische incasso onder de AVG?

karate-1665747_1920.jpg

De verordening is van toepassing op alle verwerkingen van ‘persoonsgegevens’: alle informatie over een geïdentificeerde natuurlijke persoon (‘de betrokkene’). Onder ‘verwerking’ wordt verstaan een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, zoals het vastleggen, verzamelen, ordenen, opslaan, raadplegen etc. Dit is terug te vinden in artikel 4 van de AVG. Een ledenadministratie valt daarmee onder de toepassing van de AVG.

Wat betekent dat?

Dat een ledenadministratie onder de AVG valt, betekent dat sportverenigingen – net zoals ze dat al moesten op grond van de Wet bescherming persoonsgegevens – zich moeten houden aan een bepaald beschermingsniveau ten opzichte van hun ledenadministratie. Best lastig, want meestal wordt een bestuur van een sportvereniging gevormd door vrijwillers die daarnaast gewoon een baan hebben. Anderzijds, de ledenadministraties van verenigingen bevatten veel gegevens: namen, (email-)adressen, geboortedatums, rekeningnummers etc.

De ledenadministratie moet dus op een veilige server staan opgeslagen (liefst binnen de EU), mag niet voor iedereen toegankelijk zijn en gegevens mogen niet langer bewaard worden dan nodig is. Vraag als sportclub aan je leden dan ook alleen die gegevens die nodig zijn om een ledenadministratie bij te houden. Is er een omgeving waar de leden kunnen inloggen, dan moet dat een omgeving zijn waar ieder lid een eigen account heeft, beschermd met een wachtwoord. Als de leden via het account hun eigen gegevens up to date kunnen houden, is ook voldaan aan het vereiste dat gegevens compleet en accuraat zijn.

Automatische incasso

De automatische incasso zelf valt niet onder de AVG, maar bij het aanbieden van een automatische incasso hoort een machtiging en bij die machtiging worden altijd persoonsgegevens gevraagd om de identiteit te verifieren. Zorg er daarom voor dat leden in hun account – dat beschermd is door een wachtwoord en niet voor anderen toegankelijk – een machtiging kunnen geven.

Rekeningnummer controleren

Wat als je als sportclub de contributie ieder jaar via een automatische incasso int en je voor het komende jaar de rekeningnummers wilt controleren? In een e-mail vraag je de leden om het rekeningnummer in hun account te controleren, maar niemand neemt de tijd om dat ook even te doen. Een hoop frustratie ieder jaar omdat er altijd wel een paar rekeningnummers zijn gewijzigd. Mag je ter controle dan een gepersonaliseerde e-mail met daarin het rekeningnummer sturen? Een dergelijke e-mail valt onder de reikwijdte van de AVG en je bent bezig met een verwerking van gevoelige gegevens, namelijk het bankrekeningnummer en bijbehorende naamstelling. Alleen door middel van het tonen van de laatste drie cijfers zou je dit eventueel kunnen doen, maar wenselijk is het natuurlijk niet.

Hoe dan?

Een automatische incasso lijkt een makkelijke manier om snel en makkelijk contributie te innen, in plaats van de leden te vragen dit over te maken. Het brengt uiteindelijk echter een hoop gedoe met zich mee, doordat je opeens over gevoelige gegevens en machtigingen beschikt waar allemaal verplichtingen voor gelden. Daarnaast mag je deze gegevens niet ter controle e-mailen. De AVG tracht controle over persoonsgegevens ‘terug te geven’ aan de burger, daarom misschien toch terug naar het door de leden zelf laten overmaken?

Dit bericht kwam tot stand doordat ik een e-mail ontving van mijn sportclub met daarin mijn volledige rekeningnummer vermeld.

Je vingerafdruk afgeven bij de sportschool?

Een lezer vertelde mij dat zij bij het aanmelden bij haar nieuwe sportschool werd gevraagd om haar vingerafdruk te registreren. Zo kan je bij binnenkomst direct door het poortje, zonder dat je hoeft te denken aan dat vervelende pasje dat iedereen steeds vergeet. Zij vroeg mij: mag dat wel?

De Autoriteit Persoonsgegevens zegt hier over het volgende: 

“Uw sportschool kan u vragen uw vingerafdruk af te staan. Bijvoorbeeld voor toegangscontrole. Maar u bent niet verplicht uw vingerafdruk af te staan.

Toestemming

Uw sportschool mag uw vingerafdruk gebruiken als u hiervoor toestemming geeft. Maar dit mag alleen als de sportschool een goede reden heeft om uw vingerafdruk te gebruiken. Bijvoorbeeld omdat de sportschool u hiermee makkelijker kan identificeren.

De sportschool moet u daarbij de mogelijkheid bieden om uzelf op een andere manier te identificeren. Bijvoorbeeld door uw identiteitsbewijs te laten zien of een toegangspas te gebruiken.

Beveiligen vingerafdruk

De vingerafdruk zelf mag niet worden opgeslagen, alleen in de vorm van een versleutelde code. Met deze code kan de sportschool nagaan of u het bent. Uit zo’n code kan niemand uw vingerafdruk afleiden. De sportschool is wettelijk verplicht het systeem dat de code op deze manier opslaat goed te beveiligen.”

GDPR

Onder de GDPR (AVG) wordt de vingerafdruk apart benoemd, als biometrisch gegeven. Een biometrisch gegeven is ‘uniquely identifying’ en daarmee een direct gevoelig persoonsgegeven.

En de sportschool zelf?

Als sportschool wil je graag zo hip mogelijk zijn en de beste service aan je klanten bieden. Maar sta er wel bij stil dat dit speciale gegevens zijn die je aan het verwerken bent. Dit betekent dat je systemen hier goed op ingericht moeten zijn, maar dat ook je personeel op de hoogte moet zijn van de verwerkingen die plaatsvinden en hoe die goed en veilig gebeuren. Je bent als sportschool meteen aan strengere wetgeving onderworpen wanneer je deze gegevens verwerkt.

Niet afgeven of niet vragen?

Als klant bij de sportschool zou ik mijn vingerafdruk niet afgeven. Ik zou er niet zomaar gerust op zijn dat een sportschool dusdanig beveiligde systemen heeft: het is een sportschool en de core business van een sportschool ligt ten slotte bij het sporten. Als klant mag je je ook op een andere manier identificeren.

Als sportschool zou ik me ver weg houden van de verwerking van biometrische gegevens. Je haalt je hier strenge wetgeving met bijbehorende vereisten op de hals. De publiciteit die komt met een hack of een lek deelt rake klappen uit.

Imke.

Bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

Moet Leen Bakker hoogslaper leveren?

Afgelopen week werd via de website van Leen Bakker een hoogslaper aangeboden voor 24 euro. Een hoogslaper die normaal 319 euro kost. Volgens de meubelzaak ging het om een technische fout, maar inmiddels waren er al meer dan duizend bedden besteld. De NOS kopt vanmorgen dat ruim duizend mensen zich gemeld hebben bij een juridisch adviesbureau om het bed alsnog voor deze prijs geleverd te krijgen. Volgens het adviesbureau staan de klanten in hun recht. Maar is dat ook zo?

Had de klant het kunnen weten?

Kan de consument weten dat een prijs niet klopt, bijvoorbeeld omdat deze te mooi is om waar te zijn, dan kan deze prijs niet altijd afgedwongen worden. De webwinkel kan dan verzoeken om het resterende bedrag bij te betalen of de consument het betaalde bedrag terugbetalen. En echt niet alle webshops zijn volledig geautomatiseerd, dus dit soort fouten worden gewoon gemaakt. Is de weergegeven prijs echter wel een aannemelijke prijs, dan zal de webshop het product gewoon voor die prijs moeten leveren. Dat betekent dat als de consument redelijkerwijs mocht verwachten dat de aanbieding klopt, hij recht heeft op levering.

Koopjes in de media

Het bed bij Leen Bakker is niet het eerste voorbeeld waarbij dit gebeurt. Denk aan de gratis taarten die bij Hema te bestellen waren of de breedbeeld TV bij Wehkamp. Dit veroorzaakte een stormloop op de website en ophef in de media. Onder druk van de media zie je dan dat de webwinkel vaak toch (een gedeelte) van de bestellingen levert. De taartenstunt van de Hema leverde veel publiciteit op, al was dat volgens de webwinkel toch echt niet de bedoeling.

Koopjesjager

Dat de consument ook steeds slimmer wordt, is te zien aan fora en groepen op Facebook waar deze koopjes massaal worden gemeld. De vraag is dan natuurlijk of daar de ‘fout’ wordt gemeld of de hele goede deal. En of de consument het dus al had kunnen aanvoelen dat het niet klopte.

Aliter Melius

Aliter Melius, het juridisch adviesbureau dat gedupeerden via haar site oproept zich te melden, is er zeker van dat de consumenten in hun recht staan en dat Leen Bakker het bed gewoon moet leveren. Zij vermoedt dat er sprake is van opzet en dat Leen Bakker heel veel bezoekers naar haar site heeft willen lokken. Leen Bakker staat er om bekend dat zij artikelen voor bodemprijzen verkopen. Er zou ook een advertentie van Leen Bakker voor het betreffende bed op Marktplaats en Facebook hebben gestaan. Aliter Melius is voornemens om desnoods de gang naar de rechter te maken.

Ik vraag me af ze dit zal lukken. Als er inderdaad sprake is van opzet dan zal Leen Bakker de hoogslaper voor de aangeboden prijs moeten leveren. Maar dat is nog niet zo makkelijk aan te tonen. Een (geautomatiseerde) advertentie op Facebook of Marktplaats is daar in ieder geval niet voldoende voor.

 

  • zie hier het artikel op de NOS.
  • kijk het optreden van Aliter Melius bij Eva Jinek hier terug.
  • vergelijking fout Leen Bakker via Radar. Lees ook de commentaren onder het stuk!

Spel of kansspel?

cube-689619_1920

Een kansspel organiseren mag alleen als je daar een vergunning voor hebt. Een kansspel organiseren ter promotie van je bedrijf of product mag, wanneer je je houdt aan de gedragscode promotionele kansspelen. Maar wanneer is iets nou een kansspel?

Aanwijzing van winnaar door kansbepaling

Als de aanwijzing van de winnaar geschiedt door enige vorm van kansbepaling, is er sprake van een kansspel. Bij een loterij, trekking en een sweepstake is dat onder andere het geval. Een sweepstake is bijvoorbeeld een wedstrijd waar het winnende nummer van tevoren al bekend is en daarna onder de dop van een fles frisdrank is geplaatst. De koper die de fles met het winnende nummer koopt, wint de prijs.

De leukste foto op social media

Een actie waarbij het draait om subjectiviteit, dus de meeste likes op Facebook of de mooiste foto op Instagram, valt niet onder de noemer ‘kansspel’. Om het zo eerlijk mogelijk te houden, stel je een onafhankelijke jury aan. De meeste likes zijn natuurlijk te tellen, dus dat is ook een goede manier voor een transparante winactie.

Winactie op social media

Houd er wel rekening mee dat wanneer je een dergelijke winactie uitzet op een medium zoals Facebook of Instagram, zij hun eigen gedragsregels hebben omtrent dergelijke acties. Zo verbiedt Facebook het gebruik van ‘share, like & win’ om hun gebruikers te beschermen tegen ‘vervuiling’ van de tijdlijn. En dien je altijd aan te geven dat een winactie niet goedgekeurd, gesponsord of beheerd wordt door Facebook. Zie ook mijn eerdere bericht daarover. Check dus altijd de algemene voorwaarden van het medium waar je de winactie uit wil zetten!

Voorwaarden

Niet verplicht, maar wel zo handig om op het moment dat je een winactie start ook een landingspagina aan te maken met meer informatie over de winactie. Je kunt daar duidelijk neerzetten wat de voorwaarden zijn om deel te nemen, wat de prijzen zijn en wanneer de winnaar bekend wordt gemaakt. Moet of wil je een minimumleeftijd voor deelname stellen, vermeld dat dan ook duidelijk. Daar voorkom je later klachten mee.

Succes!

Imke.

Weet jij waar reclame aan moet voldoen?

advertisement-586132_1920

Albert Heijn is op de vingers getikt door de Reclame Code Commissie. Zij heeft in strijd gehandeld met de Nederlandse Reclame Code (NRC) door het weggeven van een gratis blikje bier bij de bestelling. Een klant heeft daarover een klacht ingediend bij de Reclame Code Commissie. En wat de voorzitter van de commissie ook aanstipt: dergelijke grote ondernemingen als Albert Heijn en Bavaria zouden van deze regels op de hoogte moeten zijn.

Maar weet jij als beginnende ondernemer waar je promoties en advertenties allemaal aan moeten voldoen?

De reclameregels voor de Nederlandse markt zijn vast gelegd in de NRC. De regels zijn voortgekomen uit het bedrijfsleven: we zijn het allemaal mee eens dat reclame aan deze standaarden zou moeten voldoen.  Zowel burgers als bedrijven kunnen klachten hierover indienen bij de Reclame Code Commissie. Deze ziet toe op naleving van de code.

Adverteer je ook in andere landen dan kan het zijn dat daar weer andere regels gelden. Laat je dus goed adviseren!

Wat voor soort regels zijn opgenomen in de NRC?

Er staan regels in de NRC over adverteren via social media, over kansspelen, alcohol en eten. De Reclamecode Social Media zegt bijvoorbeeld dat in posts altijd duidelijk moet zijn dat het om reclame gaat. Daarom zie je bloggers bijvoorbeeld de hashtags #spon of #sp gebruiken. Zo wordt de klant niet misleid door zogenaamde recensies die in werkelijkheid gesponsord zijn.

In alcoholreclames mag niet naar voren komen dat het overmatig gebruiken van alcohol stoer zou zijn en er moet altijd bij staan dat je 18 jaar of ouder moet zijn. Hier wordt de minderjarige consument beschermd.

Vergeet ook Facebook niet!

Maar vergeet Facebook niet als je daar adverteert: Facebook heeft aanvullende eigen regels waar reclame en gesponsorde posts aan moeten voldoen. Meer weten? Kijk dan in het Facebook advertentiebeleid.

Conclusie

Je hoeft heus niet alle regels uit je hoofd te leren. Heb je waarschijnlijk ook geen tijd voor. Maar besef je wel dat op het moment dat je met bepaalde (gevoelige) producten zoals alcohol of cosmetische ingrepen adverteert , hier regels bij komen kijken. Adverteer je ook in het buitenland, laat je dan adviseren.

Lees de uitspraak van Albert Heijn hier.

Vind hier de regels van de Nederlandse Reclame Code.

Aanvaring vogel? Geen schadevergoeding

sky-960097_1280

Vogel in de motor; overmachtsituatie
Het Europese Hof van Justitie heeft bepaald dat er geen schadevergoeding uitgekeerd hoeft te worden bij een aanvaring van het vliegtuig met een vogel. Zie de NOS voor het volledige artikel

Vogel ín het vliegtuig?
Ik ben benieuwd hoe het zit met een vogel ín het vliegtuig. Daar had ik namelijk mee te maken op een vlucht van Dubai naar Hongkong. Had voorkomen kunnen worden, toch?

Overmachtsituatie?
Lijkt mij geen overmacht situatie, zeker niet als je gezien zou hebben op welke manier getracht werd de vogel te vangen. Dit had géén 5 uur hoeven duren. Met een net had je hem volgens mij zo gevangen. Nu werd echter iedere bagagebak waar de vogel achter zat van het plafond geschroefd, en stonden 5 personen te kijken of de vogel er dan misschien achter zou zitten. Helaas had ik ook geen net in mijn handbagage 🙂

Vergoeding?
Het zou mooi zijn als deze vertraging gecompenseerd wordt. Wordt vervolgd!

Imke.

 

Wijziging voorwaarden Foodora

Capture

Foodora – je weet wel de roze versie van de bezorg-je-eten-thuis-per-fiets – heeft haar voorwaarden en privacy statement veranderd. Daar word ik als klant super netjes van op de hoogte gesteld. Ik word ook uitgenodigd om de nieuwe voorwaarden te lezen.

bezwaar?

Dan gaat de mail verder met ‘Mocht je het niet eens zijn met de nieuwe voorwaarden dan kun je dit tot 11 april 2017 aan ons laten weten door een e-mail te sturen..’. Dat wekt de interesse want ik ben natuurlijk wel benieuwd wat er dan gebeurt als je het er als consument niet mee eens bent? Dan gebeurt er dus het volgende ‘..en zal jouw account worden verwijderd.’ Met andere woorden, als je het er niet mee eens bent, kan je geen klant meer bij ons zijn. Op zich wel voor te stellen, want als je voor iedere consument aparte voorwaarden op moet stellen of wijzigingen moet toepassen, is dat niet echt werkbaar. Alleen, omdat nu zo letterlijk op te schrijven?

In de volgende zinnen staat dat als je een bestelling plaatst, je automatisch akkoord gaat met de algemene voorwaarden. Op zichzelf dezelfde strekking als hierboven, maar dan heb je je klant in ieder geval nog! De klant die nu een e-mail stuurt, daarvan moet je nu toch echt het account verwijderen en kan je niet meer benaderen voor nieuwe acties. Nu zal het in de praktijk wel meevallen hoeveel mensen bezwaar zullen indienen. Maar toch, je moet al deze accounts wel uit je database verwijderen. Zonde!

Imke.