hugo.events GDPR

Welke tools geeft Hugo om aan de AVG/GDPR te kunnen voldoen?

Vanaf 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) in Europa gehandhaafd. Op deze pagina vind je hoe dit invloed heeft op jouw organisatie, wat er wordt veranderd in de software van Hugo en wat er wijzigt in jouw relatie met Hugo.

Over de AVG/GDPR

Privacy is in het huidige informatietechnologietijdperk steeds belangrijker. We willen weten wat er met onze gegevens gebeurt en willen voorkomen dat deze gegevens op straat komen te liggen.

Vanuit de EU is er een privacywet: de General Data Protection Regulation (GDPR). In Nederland en België is deze wet bekend als Algemene Verordening Gegevensbescherming (AVG). Deze wet is er gekomen om ons het vertrouwen te geven dat er alles aan gedaan wordt om onze gegevens niet zomaar te gebruiken voor processen waarvan we geen weet hebben of waarvan we niet willen dat het zomaar op straat komt te liggen.

Vanaf 25 mei 2018 wordt deze wet – die overigens in 2016 al in werking is getreden – gehandhaafd. Dit betekent dat wanneer je persoonsgegevens verzamelt, je moet voldoen aan de regels van de AVG/GDPR.

De meeste organisaties zijn al begonnen met de voorbereidingen. Wij vertellen je graag waar Hugo je bij helpt om je aan deze wet te houden. Voldoe je namelijk niet aan de regels, dan kunnen de boetes oplopen tot maar liefst vier procent van de jaaromzet.

De AVG/GDPR en Hugo

Om de gevolgen van deze wet begrijpelijk uit te leggen hebben we dit uitgesplitst in drie onderdelen:
Mensen | Organisatie | Techniek



Mensen

Het gaat hier bijvoorbeeld om een gebruiker van de software, medewerker van je organisatie of een contact die wordt vastgelegd in het CRM-systeem. Voor Hugo zijn de 3 belangrijkste pijlers van de Wet op dit gebied:

  1. Transparantie: bedrijven moeten personen op een begrijpelijke manier informeren over hoe de data wordt verzameld en verwerkt.
  2. Recht om vergeten te worden: bedrijven moeten persoonsgegevens kunnen wissen als de persoon in kwestie daarom vraagt én als er geen geldig tegenargument gegeven kan worden.
  3. Meldplicht bij datalekken: bedrijven zijn verplicht een datalek te melden binnen 72 uur, tenzij ze kunnen aantonen dat het lek geen gevaar is voor de verzamelde persoonsgegevens.

Met persoonsgegevens wordt alle informatie bedoeld waarmee een persoon geïdentificeerd kan worden, zoals naam, telefoonnummer, adres, e-mailadres, geboortedatum, rekeningnummer en meer. Vraag je jezelf af of de AVG/GDPR op jouw organisatie van toepassing is? Het is heel simpel: werk je met één of meer van bovengenoemde gegevens dan geldt AVG/GDPR ook voor jouw organisatie.

Mensen krijgen het recht hun gegevens te corrigeren of te laten verwijderen. Bovendien moet iedere persoon specifieke, vrij bepaalde en ondubbelzinnige toestemming geven, met kennis van zaken.

Oftewel: bij elke ticketaankoop, iedere nieuwsbrief-inschrijving moet je als bedrijf specifiek uitleggen wat er met de verstrekte persoonsgegevens gaat gebeuren. Dit betekent vaak dat je je bedrijfsvoering erop aan moet passen.

Iedereen die een ticket gekocht heeft een email sturen voor promotionele doeleinden is verboden, je ticketkopers moeten expliciet toestemming hebben gegeven om deze promotionele emails te ontvangen.



Organisatie

Service Level Agreement / Samenwerkingsovereenkomst

Voorafgaand aan 25 mei 2018 ontvangen alle klanten en partners van Hugo een nieuwe samenwerkingsovereenkomst met daarin de verwerkersovereenkomst die aansluit bij de nieuwe wet- en regelgeving. Deze zal qua inhoud aangevuld zijn met de nieuwe rechten en plichten die ontstaan vanuit de GDPR. De belangrijkste zijn:

  • Verwerkersovereenkomst: volgens de AVG hebben we het over de "Verwerkingsverantwoordelijke" en de "Verwerker". Hierin is Hugo de "Verwerker" en haar klant de Verwerkingsverantwoordelijke.
  • Wetgeving: de verwijzing naar de Wet bescherming persoonsgegevens (Wbp) is aangepast naar de Algemene Verordening Gegevensbescherming (AVG)

Privacy Statement

Hugo heeft een Privacy statement op haar website staan voor zowel bedrijven als consumenten. We zijn dit verplicht vanuit de AVG. Nog belangrijker dan dit: we willen uiting geven aan het feit dat we geen misbruik maken van jouw gegevens of die van jouw klanten.

Terms & Conditions

Naast de Privacy Statement zijn de Algemene voorwaarden van Hugo hier te vinden.

Dataverwerking

Door het gebruik van de softwareoplossing van Hugo worden gegevens van personen verwerkt, die vervolgens opgeslagen en beschikbaar gesteld worden via de Hugo backoffice. In de backoffice zijn deze (persoonlijke) gegevens terug te vinden via de eigen account van elke klant. In de meeste gevallen zijn deze gegevens door onze klanten zelf aan te passen. Mocht je meer vragen hebben over deze gegevens(bijvoorbeeld over het verwijderen) neem dan gerust contact met ons op via privacy@hugo.events



Techniek

Op het gebied van de Hugo software wordt op de volgende wetgevingspunten rekening gehouden met de AVG/GDPR.

Recht om vergeten te worden

Het "recht om vergeten te worden" is een zeer krachtig recht van de eindgebruiker in de GVA/GDPR. In het Hugo systeem kan dit (of inzage in data of aanpassingen van data) eenvoudig uitgevoerd worden:

  • Blokkeren voor gebruik. Het is nu al mogelijk om gegevens die niet meer in gebruik zijn, te blokkeren. In geval van email campagnes doet de Hugo software dit al automatisch door ontvangers te registeren als "unsubscribed" indien een gebruiker dat aangeeft. Deze worden in nieuwe email campagnes dan niet meer meegenomen. Het gebruik (of misbruik) van gegevens kan daardoor worden voorkomen.
  • Verwijderen van records/subscribers (de persoonsgegevens). Het is mogelijk om zowel binnen het Data Management als Fanbase Management om records of subscribers direct te verwijderen. Let erop dat gegevens van personen op meerdere plaatsen kunnen staan. Verwijderen betekent ook echt verwijderen. Eenmaal verwijderde gegevens kunnen niet meer worden teruggehaald.

Dataportabiliteit

In de wetgeving is hier veel aandacht voor en dit heeft alles te maken met het kunnen exporteren van persoonsgegevens zodat deze in andere situaties weer kunnen worden gebruikt. De huidige mogelijkheden in onze software, zoals analyses, rapporten via PDF en/of XLS of CSV zijn voldoende om aan de wetgeving te kunnen voldoen.

Belangrijke pijlers van de AVG

Wat moet je doen?


1. Maak een overzicht van de verwerkingen

Maak inzichtelijk hoe en welke persoonsgegevens jouw organisatie verwerkt. Het moet duidelijk zijn welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang heeft tot die gegevens. Maak een zogenaamd Privacy impact assessment (PIA). Volgens de AVG zijn organisaties verplicht om vooraf de risico"s van gegevensverwerking in kaart te brengen.

Tip: zorg ervoor dat je niet alleen processen in kaart brengt over hoe om te gaan met data maar ook over hoe het verwijderd wordt. Als een nieuwsbrieflezer je een email stuurt met het verzoek tot het verwijderen van gegevens, dan moeten de gegevens van die persoon ook echt verwijderd worden. Hetzelfde geldt natuurlijk in het geval iemand zijn/haar gegevens wil aanpassen.


2. Houdt rekening met privacy by design & privacy by default

Privacy by design houdt in dat je bij het ontwerpen van (nieuwe) producten en diensten rekening houdt met de bescherming van privacygevoelige informatie. Denk hierbij bijvoorbeeld aan een nieuw evenement, maar ook een nieuw productsoort wat men kan kopen of bijvoorbeeld het op voorhand digitaal aanschaffen van munten waarbij persoonsgegevens komen kijken.

Privacy by default houdt in dat je alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel. Iemand die een ticket koopt voor een evenement en hiervoor een ticket per email ontvangt, mag dus niet in een later stadium een email ontvangen (zonder expliciete toestemming) met promotionele doeleinden. Dat is niet noodzakelijk voor het specifieke doel.

Als organisatie blijf je altijd verantwoordelijk wie, waar en welke gegevens mag verwerken.

Tip: wanneer je je online documentatie (bijvoorbeeld Privacy voorwaarden) omtrent de verwerking van persoonsgegevens gaat herzien, zorg er dan voor dat het in duidelijke, begrijpelijke taal verwoord wordt. Als mensen je niet begrijpen kan er argwaan ontstaan en dat schaadt je merk. Blijf en ben transparant!


3. Voldoe aan de Meldplicht Datalekken

Steeds vaker lezen we dat hackers persoonsgegevens buit hebben gemaakt en ergens beschikbaar hebben gesteld om er zelf beter van te worden. Maar houd er ook rekening mee dat je zonder opzet "gewoon" een laptop kunt verliezen. Dit zijn serieuze ondernemersrisico’s die ook worden gezien als datalek. In alle omstandigheden moet je betrokkenen berichten over het datalek. Bovendien moet je er alles aan doen om dit te voorkomen.

Waar zitten de risico"s voor jouw organisatie? Kijk naar je procedures voor het documenteren en melden van datalekken. In de AVG wordt de meldplicht datalekken uitgebreid met de verplichting om alle datalekken te documenteren, zodat dit toetsbaar is door de Autoriteit Persoonsgegevens.


4. Hoe vraag en registreer je toestemming voor gebruik van (persoonlijke) data?

De nieuwe wetgeving stelt strengere eisen aan de toestemming die mensen moeten geven voor het verwerken van (hun) gegevens. Evalueer de manier waarop je mensen (je ticketkopers, nieuwsbrief-inschrijvingen etc.) toestemming vraagt voor het verwerken van hun persoonsgegevens, maar ook hoe je deze registreert. Je moet kunnen aantonen dat er geldige toestemming van mensen is gekregen.



Hoe ondersteund Hugo?


1. Nauwkeurig en (be)veilig(t) importeren van (persoons)gegevens

Als je een emailcampagne wilt versturen, dan moeten hiervoor emailadressen beschikbaar zijn. Binnen de importfunctionaliteit van het Hugo systeem, kun je aangeven welke emailadressen je wel wilt importeren en welke niet. Emailadressen die je niet wilt importeren, zijn de emailadressen van mensen die geen toestemming hebben gegeven om benaderd te worden met promotionele doeleinden. Omdat deze personen wel service berichten moeten kunnen ontvangen kan dit ook via de uitgebreide filter mogelijkheden nadat de data is geïmporteerd.


2. Mogelijkheid tot blokkeren of verwijderen van (persoons)gegevens

Binnen het de Fanbase Management en Data Management omgeving kun je eenvoudig mensen unsubscriben of volledig verwijderen uit de Hugo software. Let erop dat deze mensen in de toekomst niet nog een keer toevoegt. Hiervoor ben je zelf verantwoordelijk.


3. Dubbele opt-in

Als je gebruik maakt van de nieuwsbrief-inschrijfmodule, kies dan altijd voor een dubbele opt-in. Mensen die zich inschrijven voor de nieuwsbrief krijgen dan een bevestigingsmail waarin ze nogmaals aan moeten geven dat ze zich in willen schrijven met dat specifieke email adres. Enerzijds zorgt dit (voor jou als organisator) voor een zuivere database, maar anderzijds heb je hiermee ook altijd zorg gedragen voor de expliciete toestemming.



Vragen?

Heb je ergens vragen over, neem dan contact met ons op privacy@hugo.events