Veelgestelde vragen over de AVG

Wat je leert

Krijg antwoord op veelgestelde vragen over de AVG om je te helpen met de naleving van deze wet.

De AVG (Algemene Verordening Gegevensbescherming) is een wet die in 2016 door de Europese Commissie werd opgesteld en op 25 mei 2018 van kracht werd. De wet is ontworpen om de privacy van alle EU-burgers te beschermen, ook wanneer die burgers zich inlaten met bedrijven buiten de EU, door het opleggen van voorschriften rond persoonsgegevens. Lees onze blogserie voor meer informatie over de AVG.

Mag ik gegevens van mijn Europese klanten overbrengen naar Klaviyo?

Ja. De AVG erkent een aantal wettelijke mechanismen voor de overdracht van gegevens buiten de EU. Na de ongeldigverklaring van het EU-US Privacy Shield Framework heeft Klaviyo de standaardcontractbepalingen (SCC) van de Europese Commissie opgenomen in het Addendum inzake gegevensbescherming, dat is opgenomen in de Servicevoorwaarden. We adviseren je om je juridische team te raadplegen over het juiste overdrachtsmechanisme voor eventuele gegevensoverdrachten van je organisatie.

Als we geen expliciete toestemming hebben van oude profielen, is er dan een manier om via e-mail toestemming te bevestigen?

Voordat de AVG van kracht werd (25 mei 2018), adviseerden we inderdaad het verzenden van een campagne om abonnees binnen de EU opnieuw om toestemming te vragen. Nu de AVG van kracht is, adviseren we dit niet meer. Voordat je contact opneemt met bestaande klanten of abonnees van wie je geen expliciete toestemming kunt aantonen, kun je het beste eerst je juridische team om advies vragen.

Hoe tonen we toestemming aan en de dag waarop we deze hebben gekregen?

Je moet niet alleen dubbele toestemming gebruiken, maar ook de tekst bewaren die aan de consument is getoond in het formulier, in de e-mail of op de webpagina waarin of waarop de toestemming werd gegeven. Je moet dus zowel de tijd/datum van de toestemming kunnen aantonen, als waarvoor precies toestemming is gegeven.

Moeten we meer selectievakjes toevoegen aan de e-mailvelden op onze websites die klanten moeten aanvinken voordat hun gegevens worden ingediend?

Klaviyo verstrekt AVG-conforme formulieren met meerdere selectievakjes, die gedetailleerde toestemming mogelijk maken (bijv. afzonderlijke toestemming voor e-mailmarketing en Facebookmarketing).

Je moet formulieren selecteren waarvan je weet dat ze AVG-conform zijn en deze op je marketingprogramma afstemmen. Als je persoonlijke informatie over consumenten in de EU verzamelt via andere platforms, moet je ook op die platforms wijzigingen doorvoeren.

Welke soorten persoonsgegevens verwerk je, waar worden ze gehost, met wie worden ze gedeeld en hoe lang worden ze bewaard?

Informatie over de gegevens die wij verwerken en de maatregelen die wij nemen om ze te beschermen, lees je in ons Addendum inzake gegevensverwerking. De beveiligingsmaatregelen worden specifiek beschreven in Bijlage 2 bij het Addendum. Je kunt ook onze volledige Servicevoorwaarden lezen.

Moeten we de kleine lettertjes bijwerken wanneer we e-mails verzamelen die informatie bevatten over hoe gegevens van ontvangers in Klaviyo worden opgeslagen?

Ja, pas je kleine lettertjes voor (potentiële) EU-klanten aan zodat ze aan de volgende richtlijnen voldoen:

• Gebruik duidelijke, heldere taal die gemakkelijk te begrijpen is
• Geef aan waarom je de gegevens wilt verzamelen en wat je ermee gaat doen
• Noem je organisatie en eventuele externe verwerkers die je gaat gebruiken
• Vertel personen dat ze hun toestemming kunnen intrekken

Moet ik inschrijfmails in de lokale taal aanbieden om te voldoen aan de AVG?

Niet noodzakelijkerwijs. De specifieke vereisten kunnen van land tot land verschillen, dus we raden je aan om je juridische team te raadplegen over landspecifieke vereisten, maar Klaviyo biedt een standaardtekst voor toestemming in meerdere talen aan.

Moet ik toestemming vragen voor alle persoonsgegevens van consumenten?

Je enige optie om een wettelijke basis te hebben voor het verzamelen of verwerken van gevoelige gegevens, is uitdrukkelijke toestemming. Voor andere persoonsgegevens kunnen er meerdere opties bestaan als het gaat om het vaststellen van een wettelijke basis, maar toestemming is er één waar organisaties meestal op vertrouwen.

Andere wettelijke basissen zijn:

• De verwerking is noodzakelijk voor de uitvoering van een overeenkomst of om op verzoek van de betrokkene stappen te ondernemen voorafgaand aan het sluiten van een overeenkomst
• De verwerking is noodzakelijk voor naleving van een wettelijke verplichting
• De verwerking is noodzakelijk om de cruciale belangen van de betrokkene of van een andere persoon te beschermen
• De verwerking is noodzakelijk voor de legitieme belangen van het bedrijf en deze belangen zijn groter dan de belangen of fundamentele rechten van de betrokkene
• De verwerking is noodzakelijk voor een taak die in het algemeen belang wordt uitgevoerd of waarmee aan de verantwoordelijkheden van een openbare functionaris wordt voldaan

We adviseren je om je juridische team te raadplegen om de juiste wettelijke basis te bepalen voor de verwerking van gegevens door je organisatie.

Kunnen jullie mijn gegevens anonimiseren, zodat ik een profiel kan bekijken, maar niet de persoonlijk identificeerbare informatie zie?

We staan klanten op dit moment niet toe om een profiel te anonimiseren, maar geanonimiseerde gegevens die aan dat profiel zijn gekoppeld, blijven in het account staan (bijv. Bestelling Geplaatst-gebeurtenissen) om de nauwkeurigheid van prestatiemeetwaarden te handhaven. Gegevens kunnen wel worden geanonimiseerd wanneer ze uit het systeem worden gehaald, maar binnen Klaviyo kun je alle gegevens in een profiel bekijken.

In diezelfde geest is het mogelijk om contactpersonen te verwijderen met een verwijderingsrecord om naleving te bewijzen, en om alle gegevens in een bepaald profiel te exporteren als een van je contactpersonen daarom vraagt.

Voldoet een e-mail over een verlaten winkelwagen aan de AVG?

Het antwoord hierop is niet helemaal duidelijk. Veel organisaties zijn echter van mening dat je zonder uitdrukkelijke toestemming voor marketingcommunicatie, nog steeds e-mails over verlaten winkelwagens kunt verzenden op basis van een legitiem belang. Je kunt een e-mail over een verlaten winkelwagen misschien beschouwen als communicatie die relevant is voor de uitdrukkelijke bedoeling om een transactie met je bedrijf tot stand te brengen. Andere getriggerde e-mails, zoals voor websiteverlaters en terugwinacties, zijn daarentegen mogelijk niet toegestaan, tenzij klanten vooraf, op een wijze die in overeenstemming is met de AVG, toestemming hebben gegeven om marketingmails van jou te ontvangen.

Dat gezegd hebbende, is de toepasbaarheid van legitieme belangen of enige andere wettelijke basis afhankelijk van de specifieke omstandigheden, waaronder bijvoorbeeld het aantal en de frequentie van de e-mails en de tijd die is verstreken sinds de winkelwagen werd verlaten. We raden je sterk aan om je juridische team te raadplegen over je e-mailcampagnes om te bevestigen dat ze voldoen aan de toepasselijke wetgeving.

Is het gebruik van Google-lettertypen in overeenstemming met de AVG?

Het gebruik van Google-lettertypen kan nalevingsproblemen met de AVG veroorzaken, omdat de server van Google het IP-adres van de ontvanger nodig heeft om lettertypen weer te geven. Volgens de AVG wordt een IP-adres beschouwd als persoonlijke informatie, die kan worden gebruikt om de gebruiker te identificeren. Let op: als je Google-lettertypen in je lettertypebibliotheek opneemt, wordt aangenomen dat je Google-lettertypen gebruikt.

Als alternatief voor Google-lettertypen biedt Klaviyo een selectie aan lettertypen die worden gehost in Klaviyo voor gebruik in je aanmeldingsformulieren, op je toestemmingspagina's en in e-mails. Deze lettertypen vereisen geen IP van de ontvanger.

Aanvullende bronnen

• Verzamelen van AVG-conforme toestemming
• Best practices voor naleving van gegevensprivacywetten
• Uploaden en segmenteren met toestemming
• Toestemming in profielen