GDPR en AVG bij nieuwsbrief Mailchimp en Google analytics

Startscherm Google met GDPR en AVG bij nieuwsbrief Mailchimp en Google analyticsHeb je alleen Google Analytics op je site en verstuur je nieuwsbrieven met Mailchimp? Dan vindt je hieronder kort en bondig wat je moet regelen om de voldoen aan de GDPR en AVG wetgeving. Gebruik je meer toepassingen? Lees dan het GDPR en AVG stappenplan. Als aanvulling hierop is ook een artikel beschikbaar over de uitgangspunten en veelgestelde vragen rondom de GDPR en AVG wetgeving. Hieronder lees je hoe je GDPR en AVG bij nieuwsbrief Mailchimp en Google analytics toepast.

GDPR en AVG bij nieuwsbrief in Mailchimp

Zelf gebruik ik ook Mailchimp voor het versturen van nieuwsbrieven. Het is veel gebruikt onder MKB en ZZP. Om nieuwsbrieven te kunnen versturen (op naam), deel ik voor-, achternamen en e-mailadressen met Mailchimp. Mailchimp gebruikt deze gegevens om de nieuwsbrief te versturen en op naam te zetten. Daarnaast biedt mailchimp mij inzichten in wie de nieuwsbrief openen, wie op welke link klikt, etc. Het gaat hier om gegevens die direct of indirect te herleiden zijn tot een natuurlijk persoon. Daarom zijn het volgens de GDPR en AVG persoonsgegevens.

GDPR en AVG bij Google Analytics

Ook Google Analytics verwerkt persoonsgegevens. Een IP-adres en ook een persoonlijk accout is een persoonsgegeven volgens de GDPR en AVG. Google Analytics koppelt IP-adressen en accounts aan acties op de site. Waardoor herleidbaar is welke acties een natuurlijk persoon op een site uitvoert.

Persoonsgegevens delen met Mailchimp en Google

Belangrijke begrippen in de GDPR en AVG zijn ‘verwerkingsverantwoordelijke’ en ‘verwerker’. Ik geef gegevens aan Mailchimp met als doel het versturen van een nieuwsbrief. En met Google deel ik gegevens om inzicht te krijgen in de bezoekers van mijn site. Ik bepaal dan het doel en het middel. Dat maakt mij verwerkingsverantwoordelijke. Mailchimp verwerkt voor mij de gegevens om een of meerdere nieuwsbrieven te kunnen versturen en te zien wat ontvangers ermee doen. Google verwerkt ze in rapporten over sitebezoek en gedrag. Mailchimp en Google zijn daarmee de verwerkers.

Verantwoordelijk voor Mailchimp en Google

Ik ben als verwerkingsverantwoordelijke aansprakelijk voor alles wat met de door mij verzamelde persoonsgegevens gebeurd. Het is mijn verantwoordelijkheid te zorgen voor ‘passende en doelmatige’ beveiliging van de gegevens. En ik ben niet alleen verantwoordelijk voor wat ik zelf doe, maar ook voor wat er bij mijn verwerkers, Mailchimp en Google, gebeurt. De verwerkingsverantwoordelijke (dat ben ik) is verantwoordelijk voor het hele traject van gegevensverwerking.

Zijn Google en Mailchimp wel geschikt volgens GDPR en AVG?Zijn Google en Mailchimp wel geschikt volgens GDPR en AVG?

Persoonlijk Impact Analyse verplicht

Een Persoonlijke Impact Analyse (PIA) geeft je inzicht in welke gegevens je verwerkt en wat de impact is bij verlies, diefstal of verkeerd gebruik. De PIA is een verplicht onderdeel in de GDPR en AVG. De PIA laat zien wat de impact is bij misbruik (‘datalek’), en daarmee welke beveiliging ‘passend en doelmatig’ is. De GDPR en AVG schrijven voor dat je vastlegt welke maatregelen je hebt genomen om gegevens te beveiligen. Wanneer hierom wordt gevraagd moet je dit document direct kunnen overleggen.

Gegevens ‘passend en doelmatig’ beveiligen

‘Passend en doelmatig’ wil zeggen dat de beveiliging moet voldoen aan de standaarden in de markt. De wet geeft er geen verdere richtlijnen voor. De standaarden zijn hoger naarmate de impact bij misbruik groter is. Je PIA vormt het uitgangspunt om vast te stellen welk beveiligingsniveau voor jou ‘passend en doelmatig’ is. Als je een blog runt met advertenties kun je waarschijnlijk met minder beveiliging toe dan wanneer je een webshop in erotische artikelen hebt. Simpelweg omdat de impact bij het lekken van gegevens in het laatste geval groter is. Je PIA moet ook risico-analyse van je verwerkers, zoals Mailchimp en Google, bevatten.

Verwerkerovereenkomst met Mailchimp en Google

De verwerkersovereenkomst is eveneens een verplicht onderdeel van de GDPR en AVG. Met elke verwerker moet je zo’n overeenkomst sluiten. Ook met Google en Mailchimp. In de verwerkersovereenkomst worden de volgende vragen beantwoord:

  • Wie is de verantwoordelijke en wie is de bewerker?
  • Om welke persoonsgegevens gaat het?
  • Welke verwerking mag de derde partij uitsluitend doen? (opslaan, vernietigen, …)
  • Waar worden de persoonsgegevens opgeslagen? (binnen of buiten Europa)
  • Welke beveiligingsmaatregelen worden genomen om datalekken te voorkomen?
  • Welke mogelijkheden biedt de derde partij tot toezicht op naleving?
  • Wat zijn de kosten die de derde partij in rekening voor medewerking aan toezicht?
  • Welke procedure wordt gevolgd bij de constatering van een datalek?
  • In hoeverre is de derde partij aansprakelijk voor door u geleden schade door een datalek?
  • Is de derde partij voldoende verzekerd voor deze aansprakelijkheid jegens u?
  • Welke mate en duur van geheimhouding is van toepassing op de gegevens?
  • Mag de derde partij zelf ook onderaannemers inschakelen voor verwerking?
  • Worden de gegevens na afloop teruggeleverd of vernietigd?

Sluiten verwerkersovereenkomst GDPR en AVG met Google

Google heeft in haar Analytics omgeving een verwerkersovereenkomst klaarstaan. Deze moet je accepteren om te voldoen aan de eisen van de GDPR en AVG. Dit doe je als volgt:

  1. log in op je Google Analytics account
  2. ga naar je accountinstellingen
  3. scroll naar onderen om de overeenkomst te selecteren

Verwerkersovereenkomst accepteren voor GDPR en AVG bij nieuwsbrief Mailchimp en Google analytics

Verwerkersovereenkomst met Google accepteren

Sluiten verwerkersovereenkomst GDPR en AVG met Mailchimp

Ook Mailchimp biedt een verwerkingsovereenkomst aan voor haar gebruikers. Verder houd Mailchimp in haar blog gebruikers op de hoogte van haar vorderingen rond GDPR en AVG.

Gegevens buiten de EU brengen

Buiten de EU / EER mogen gegevens alleen worden doorgegeven naar landen met een ‘passend beveiligingsniveau’ volgens de Autoriteit Persoonsgegevens. Mailchimp en Google zijn gevestigd in de Verenigde Staten. Dat is niet aangemerkt als een land met een passend beveiligingsniveau. Gelukkig zijn zowel Mailchimp als Google gecertificeerd voor het EU-US Privacy Shield. Op basis daarvan is het toegestaan persoonsgegevens met ze te delen. Wel moet dan in het privacystatement worden opgenomen dat persoonsgegevens worden doorgegeven naar landen buiten de EU.

Privacystatement opstellen voor verwerking

De GDPR en AVG stelt de volgende eisen aan de inhoud van een privacy statement:

  • het is duidelijk wie de verwerkingsverantwoordelijke is, en hoe deze te bereiken is
  • het doel van de verwerking wordt aangegeven
  • de wettelijke grondslag waarop gegevens worden verwerkt is aangegeven. In het geval van Mailchimp en Google zal het vaak gaan om ‘ondubbelzinnige toestemming’ als grondslag
  • verwerkers die gegevens ontvangen, in dit geval Mailchimp en/of Google, worden vermeld
  • aangegeven wordt dat data buiten de EU wordt gebracht
  • hoe lang de data bewaard wordt, of de richtlijnen die daarvoor worden gebruikt, is benoemd
  • als geautomatiseerde besluitvorming (bijvoorbeeld profilering) wordt gebruikt, dan is dat aangegeven
  • de rechten van betrokkenen zijn vermeld. Waaronder het recht om de toestemming in te trekken en/of een klacht in te dienen bij een toezichthouder

Laatste stap is nu je bezoekers akkoord te laten gaan met het privacystatement via een ‘actieve handeling’. Zoals het aanvinken van een checkbox of aanklikken van een button.

Ondubbelzinnige toestemming verwerken gegevens

Voor het verwerken van gegevens over klikgedrag in de nieuwsbrief en/of op de site heb je toestemming nodig van de betrokkene. In de GDPR en AVG wordt zelfs gesproken over ‘ondubbelzinnige toestemming’. Belangrijk is dat de toestemming vrijwillig is. En dat de betrokkene weet voor welke specifieke verwerking hij of zij toestemming geeft. Bovendien moet de informatie begrijpelijk zijn en vrijwillig zijn gegeven.

Het privacystatement is een prima instrument om die ondubbelzinnige toestemming te verkrijgen. Wanneer het voldoet aan de eerder genoemd eisen wat betreft inhoud en begrijpelijk is opgesteld, is alleen nog een ‘actieve handeling’ nodig om hiermee akkoord te gaan. Bijvoorbeeld het aanvinken van een checkbox of aanklikken van een button om akkoord te gaan met het privacystatement.

Gegevens anonimiseren in Google Analytics

Eerder kwam al voorbij dat een IP-adres een persoonsgegeven is. Google biedt de mogelijkheid dit enigzins te anonimiseren. Dit kan door een aantal instellingen in Google Analytics aan te passen en een kleine aanpassing te doen in de Google Analyticscode. Daardoor worden de laatste 3 cijfers van het IP-adres niet opgeslagen.

Nadelen zijn dat je geen IP-adres meer kunt uitsluiten. Ook is de geografische nauwkeurigheid wat minder. En je hebt geen inzicht in interesses, leeftijden en geslacht van de websitebezoekers. De autoriteit ziet dit als een privacyvriendelijke maatregel. Het is niet voldoende om het IP-adres volledig anoniem te maken. Het blijft daarom een persoonsgegeven. Zie de site van de autoriteit persoonsgegeven voor een instructie om IP-adressen te anonimiseren.

Data Google anonimiseren voor GDPR en AVGAnonimiseren data Google Analytics als privacyvriendelijke maatregel voor GDPR en AVG

Geen toestemming voor Analytics cookie

Er zit nog een belangrijk voordeel aan het privacy-vriendelijk verzamelen van gegevens voor Google. Wanneer IP-adressen worden geanonimiseerd zijn de gevolgen voor de privacy van de betrokkenen gering. In dat geval is voor het plaatsen van een Analyticscookie geen toestemming nodig. Wel moet het worden gemeld in het privacystatement. Hierbij benoem je dat je:

  • Google Analyticscookies gebruikt;
  • een bewerkersovereenkomst met Google hebt gesloten;
  • de laaste 3 cijfers van het IP adres hebt geanonimiseerd;
  • ‘gegevens delen’ hebt uitgezet;
  • je geen gebruik maakt van andere Google diensten in combinatie met de Google Analytics cookies.

De cookie-wet blijft namelijk ook onder GDPR en AVG gelden. Voor het plaatsen van cookies om privacy-gevoelige gegevens te verzamelen moet je daarom toestemming hebben. Deze vraag je apart, naast de toestemming om gegevens te verwerken.

GDPR en AVG bij nieuwsbrief Mailchimp en Google analytics

Het toepassen van GDPR en AVG bij nieuwsbrief Mailchimp en Google analytics vraagt aandacht. Om te voldoen aan de wettelijke regels voor e-mail nieuwsbrieven in 2018 en later moet je wel even actie ondernemen. Hetzelfde geldt voor het blijven gebruiken van website analytics via Google. Gebruik je meer toepassingen? Lees dan het GDPR en AVG stappenplan. En bekijk als aanvulling hierop de veelgestelde vragen rondom de GDPR en AVG wetgeving.

Tot slot

Dit artikel is bedoeld om inzicht te geven in de mogelijkheden om GDPR en AVG bij nieuwsbrief Mailchimp en Google analytics in te zetten. Het is niet bedoeld om juridische beslissingen op te baseren. Raadpleeg voor jouw specifieke situatie altijd een expert, net zoals ik doe bij juridische kwesties. 


Over de auteur

Nick Nijhuis vergroot als marketingcoach de opbrengsten uit online marketing. Daarnaast is hij hogeschooldocent en projectleider op het gebied van digital marketing.