Heb je alleen Google Analytics op je site en verstuur je nieuwsbrieven met Mailchimp? Dan vindt je hieronder kort en bondig wat je moet regelen om de voldoen aan de GDPR en AVG wetgeving. Gebruik je meer toepassingen? Lees dan het GDPR en AVG stappenplan. Als aanvulling hierop is ook een artikel beschikbaar over de uitgangspunten en veelgestelde vragen rondom de GDPR en AVG wetgeving. Hieronder lees je hoe je GDPR en AVG bij nieuwsbrief Mailchimp en Google analytics toepast.
GDPR en AVG bij nieuwsbrief in Mailchimp
Zelf gebruik ik ook Mailchimp voor het versturen van nieuwsbrieven. Het is veel gebruikt onder MKB en ZZP. Om nieuwsbrieven te kunnen versturen (op naam), deel ik voor-, achternamen en e-mailadressen met Mailchimp. Mailchimp gebruikt deze gegevens om de nieuwsbrief te versturen en op naam te zetten. Daarnaast biedt mailchimp mij inzichten in wie de nieuwsbrief openen, wie op welke link klikt, etc. Het gaat hier om gegevens die direct of indirect te herleiden zijn tot een natuurlijk persoon. Daarom zijn het volgens de GDPR en AVG persoonsgegevens.
GDPR en AVG bij Google Analytics
Ook Google Analytics verwerkt persoonsgegevens. Een IP-adres en ook een persoonlijk accout is een persoonsgegeven volgens de GDPR en AVG. Google Analytics koppelt IP-adressen en accounts aan acties op de site. Waardoor herleidbaar is welke acties een natuurlijk persoon op een site uitvoert.
Persoonsgegevens delen met Mailchimp en Google
Belangrijke begrippen in de GDPR en AVG zijn ‘verwerkingsverantwoordelijke’ en ‘verwerker’. Ik geef gegevens aan Mailchimp met als doel het versturen van een nieuwsbrief. En met Google deel ik gegevens om inzicht te krijgen in de bezoekers van mijn site. Ik bepaal dan het doel en het middel. Dat maakt mij verwerkingsverantwoordelijke. Mailchimp verwerkt voor mij de gegevens om een of meerdere nieuwsbrieven te kunnen versturen en te zien wat ontvangers ermee doen. Google verwerkt ze in rapporten over sitebezoek en gedrag. Mailchimp en Google zijn daarmee de verwerkers.
Verantwoordelijk voor Mailchimp en Google
Ik ben als verwerkingsverantwoordelijke aansprakelijk voor alles wat met de door mij verzamelde persoonsgegevens gebeurd. Het is mijn verantwoordelijkheid te zorgen voor ‘passende en doelmatige’ beveiliging van de gegevens. En ik ben niet alleen verantwoordelijk voor wat ik zelf doe, maar ook voor wat er bij mijn verwerkers, Mailchimp en Google, gebeurt. De verwerkingsverantwoordelijke (dat ben ik) is verantwoordelijk voor het hele traject van gegevensverwerking.
Zijn Google en Mailchimp wel geschikt volgens GDPR en AVG?
Persoonlijk Impact Analyse verplicht
Een Persoonlijke Impact Analyse (PIA) geeft je inzicht in welke gegevens je verwerkt en wat de impact is bij verlies, diefstal of verkeerd gebruik. De PIA is een verplicht onderdeel in de GDPR en AVG. De PIA laat zien wat de impact is bij misbruik (‘datalek’), en daarmee welke beveiliging ‘passend en doelmatig’ is. De GDPR en AVG schrijven voor dat je vastlegt welke maatregelen je hebt genomen om gegevens te beveiligen. Wanneer hierom wordt gevraagd moet je dit document direct kunnen overleggen.
Gegevens ‘passend en doelmatig’ beveiligen
‘Passend en doelmatig’ wil zeggen dat de beveiliging moet voldoen aan de standaarden in de markt. De wet geeft er geen verdere richtlijnen voor. De standaarden zijn hoger naarmate de impact bij misbruik groter is. Je PIA vormt het uitgangspunt om vast te stellen welk beveiligingsniveau voor jou ‘passend en doelmatig’ is. Als je een blog runt met advertenties kun je waarschijnlijk met minder beveiliging toe dan wanneer je een webshop in erotische artikelen hebt. Simpelweg omdat de impact bij het lekken van gegevens in het laatste geval groter is. Je PIA moet ook risico-analyse van je verwerkers, zoals Mailchimp en Google, bevatten.
Verwerkerovereenkomst met Mailchimp en Google
De verwerkersovereenkomst is eveneens een verplicht onderdeel van de GDPR en AVG. Met elke verwerker moet je zo’n overeenkomst sluiten. Ook met Google en Mailchimp. In de verwerkersovereenkomst worden de volgende vragen beantwoord:
- Wie is de verantwoordelijke en wie is de bewerker?
- Om welke persoonsgegevens gaat het?
- Welke verwerking mag de derde partij uitsluitend doen? (opslaan, vernietigen, …)
- Waar worden de persoonsgegevens opgeslagen? (binnen of buiten Europa)
- Welke beveiligingsmaatregelen worden genomen om datalekken te voorkomen?
- Welke mogelijkheden biedt de derde partij tot toezicht op naleving?
- Wat zijn de kosten die de derde partij in rekening voor medewerking aan toezicht?
- Welke procedure wordt gevolgd bij de constatering van een datalek?
- In hoeverre is de derde partij aansprakelijk voor door u geleden schade door een datalek?
- Is de derde partij voldoende verzekerd voor deze aansprakelijkheid jegens u?
- Welke mate en duur van geheimhouding is van toepassing op de gegevens?
- Mag de derde partij zelf ook onderaannemers inschakelen voor verwerking?
- Worden de gegevens na afloop teruggeleverd of vernietigd?
Sluiten verwerkersovereenkomst GDPR en AVG met Google
Google heeft in haar Analytics omgeving een verwerkersovereenkomst klaarstaan. Deze moet je accepteren om te voldoen aan de eisen van de GDPR en AVG. Dit doe je als volgt:
- log in op je Google Analytics account
- ga naar je accountinstellingen
- scroll naar onderen om de overeenkomst te selecteren
Verwerkersovereenkomst met Google accepteren
Sluiten verwerkersovereenkomst GDPR en AVG met Mailchimp
Ook Mailchimp biedt een verwerkingsovereenkomst aan voor haar gebruikers. Als hiervan gebruik wilt maken, moet je eerst inloggen op je account. Verder houd Mailchimp in haar blog gebruikers op de hoogte van haar vorderingen rond GDPR en AVG.
Gegevens buiten de EU brengen
Buiten de EU / EER mogen gegevens alleen worden doorgegeven naar landen met een ‘passend beveiligingsniveau’ volgens de Autoriteit Persoonsgegevens. Mailchimp en Google zijn gevestigd in de Verenigde Staten. Dat is niet aangemerkt als een land met een passend beveiligingsniveau. Gelukkig zijn zowel Mailchimp als Google gecertificeerd voor het EU-US Privacy Shield. Op basis daarvan is het toegestaan persoonsgegevens met ze te delen. Wel moet dan in het privacystatement worden opgenomen dat persoonsgegevens worden doorgegeven naar landen buiten de EU.
Privacystatement opstellen voor verwerking
De GDPR en AVG stelt de volgende eisen aan de inhoud van een privacy statement:
- het is duidelijk wie de verwerkingsverantwoordelijke is, en hoe deze te bereiken is
- het doel van de verwerking wordt aangegeven
- de wettelijke grondslag waarop gegevens worden verwerkt is aangegeven. In het geval van Mailchimp en Google zal het vaak gaan om ‘ondubbelzinnige toestemming’ als grondslag
- verwerkers die gegevens ontvangen, in dit geval Mailchimp en/of Google, worden vermeld
- aangegeven wordt dat data buiten de EU wordt gebracht
- hoe lang de data bewaard wordt, of de richtlijnen die daarvoor worden gebruikt, is benoemd
- als geautomatiseerde besluitvorming (bijvoorbeeld profilering) wordt gebruikt, dan is dat aangegeven
- de rechten van betrokkenen zijn vermeld. Waaronder het recht om de toestemming in te trekken en/of een klacht in te dienen bij een toezichthouder
Laatste stap is nu je bezoekers akkoord te laten gaan met het privacystatement via een ‘actieve handeling’. Zoals het aanvinken van een checkbox of aanklikken van een button.
Ondubbelzinnige toestemming verwerken gegevens
Voor het verwerken van gegevens over klikgedrag in de nieuwsbrief en/of op de site heb je toestemming nodig van de betrokkene. In de GDPR en AVG wordt zelfs gesproken over ‘ondubbelzinnige toestemming’. Belangrijk is dat de toestemming vrijwillig is. En dat de betrokkene weet voor welke specifieke verwerking hij of zij toestemming geeft. Bovendien moet de informatie begrijpelijk zijn en vrijwillig zijn gegeven.
Het privacystatement is een prima instrument om die ondubbelzinnige toestemming te verkrijgen. Wanneer het voldoet aan de eerder genoemd eisen wat betreft inhoud en begrijpelijk is opgesteld, is alleen nog een ‘actieve handeling’ nodig om hiermee akkoord te gaan. Bijvoorbeeld het aanvinken van een checkbox of aanklikken van een button om akkoord te gaan met het privacystatement.
Gegevens anonimiseren in Google Analytics
Eerder kwam al voorbij dat een IP-adres een persoonsgegeven is. Google biedt de mogelijkheid dit enigzins te anonimiseren. Dit kan door een aantal instellingen in Google Analytics aan te passen en een kleine aanpassing te doen in de Google Analyticscode. Daardoor worden de laatste 3 cijfers van het IP-adres niet opgeslagen.
Nadelen zijn dat je geen IP-adres meer kunt uitsluiten. Ook is de geografische nauwkeurigheid wat minder. En je hebt geen inzicht in interesses, leeftijden en geslacht van de websitebezoekers. De autoriteit ziet dit als een privacyvriendelijke maatregel. Het is niet voldoende om het IP-adres volledig anoniem te maken. Het blijft daarom een persoonsgegeven. Zie de site van de autoriteit persoonsgegeven voor een instructie om IP-adressen te anonimiseren.
Anonimiseren data Google Analytics als privacyvriendelijke maatregel voor GDPR en AVG
Geen toestemming voor Analytics cookie
Er zit nog een belangrijk voordeel aan het privacy-vriendelijk verzamelen van gegevens voor Google. Wanneer IP-adressen worden geanonimiseerd zijn de gevolgen voor de privacy van de betrokkenen gering. In dat geval is voor het plaatsen van een Analyticscookie geen toestemming nodig. Wel moet het worden gemeld in het privacystatement. Hierbij benoem je dat je:
- Google Analyticscookies gebruikt;
- een bewerkersovereenkomst met Google hebt gesloten;
- de laaste 3 cijfers van het IP adres hebt geanonimiseerd;
- ‘gegevens delen’ hebt uitgezet;
- je geen gebruik maakt van andere Google diensten in combinatie met de Google Analytics cookies.
De cookie-wet blijft namelijk ook onder GDPR en AVG gelden. Voor het plaatsen van cookies om privacy-gevoelige gegevens te verzamelen moet je daarom toestemming hebben. Deze vraag je apart, naast de toestemming om gegevens te verwerken.
GDPR en AVG bij nieuwsbrief Mailchimp en Google analytics
Het toepassen van GDPR en AVG bij nieuwsbrief Mailchimp en Google analytics vraagt aandacht. Om te voldoen aan de wettelijke regels voor e-mail nieuwsbrieven in 2018 en later moet je wel even actie ondernemen. Hetzelfde geldt voor het blijven gebruiken van website analytics via Google. Gebruik je meer toepassingen? Lees dan het GDPR en AVG stappenplan. En bekijk als aanvulling hierop de veelgestelde vragen rondom de GDPR en AVG wetgeving.
Tot slot
Dit artikel is bedoeld om inzicht te geven in de mogelijkheden om GDPR en AVG bij nieuwsbrief Mailchimp en Google analytics in te zetten. Het is niet bedoeld om juridische beslissingen op te baseren. Raadpleeg voor jouw specifieke situatie altijd een expert, net zoals ik doe bij juridische kwesties.
Over de auteur
Nick Nijhuis vergroot als marketingcoach de opbrengsten uit online marketing. Daarnaast is hij hogeschooldocent en projectleider op het gebied van digital marketing.
21 Reacties
Zo voldoe je aan de AVG / GDPR wetgeving volgens de expert
[…] Twente. Op basis van onderstaande heb ik ook een GDPR en AVG checklist en plan van aanpak bij gebruik Google Analytics en/of Mailchimp […]
GDPR en AVG stappenplan met checklist voor zakelijk, mkb en zzp
[…] gegevens vaak gedeeld met andere partijen. Zo deel ik voor-, achternamen en e-mailadressen met Mailchimp voor het versturen van mijn nieuwsbrief. En data over het gebruik van mijn website wordt verwerkt […]
Roy Giezen
Mooi en duidelijk stuk. Inmiddels is er de mogelijkheid een verwerkersovereenkomst te sluiten met Mailchimp via https://mailchimp.com/legal/forms/data-processing-agreement/
admin
Dank voor je aanvulling Roy. Ik heb je link in het stuk verwerkt.
Mariska Eijsten
Hi Nick, Dank voor je duidelijke artikel, het is mij nu veel duidelijker geworden. Ik heb zelf een blog geschreven voor mijn lezers met een link naar jouw artikel, omdat jij dit heel duidelijk heb vermeld. Ik heb jouw naam zeker vermeld in mijn blog. Hierbij de link naar mijn blog. Ik hoop dat je het leuk vind dat ik jouw verhaal heb gepromoot op mijn website https://www.eenwebsitevoorjou.nl/de-nieuwe-gvr-wet-websites-met-mailchimp-en-google-analytics/
admin
Hoi Mariska, fijn dat je mijn artikel je verder heeft geholpen. En bedankt voor je bericht. Je hebt het mooi ingepast op je eigen site. Ik heb aan de link die je hier hebt geplaatst een ‘nofollow-tag’ gehangen. Om de schijn van een linkruil te voorkomen. Als twee pagina’s op bijna hetzelfde moment naar elkaar linken trekt dat de aandacht van Google. Bedankt voor het plaatsen en als je suggesties hebt voor artikelen die interessant kunnen zijn voor mijn lezers, dan hoor ik het graag.
Caj Oosters
dank je Nick, nuttig stuk. PIA is wel Privacy Impact Assessment of Privacy Impact Analyse, niet ‘Persoonlijk IA’.
admin
Klopt Caj. Privacy Impact Assessment of Privacy Impact Analyse zijn de meest gebruikte benamingen. Op de site van de autoriteit persoonsgegevens wordt ook nog gesproken over Protection Impact Assesment of Data Protection Impact Assesment (DPIA). Persoonlijke Impact Analyse bestaat ook, alleen inderdaad niet in deze context. Bedankt voor je opmerkzaamheid. Het is aangepast in de tekst.
Joke
Helder stuk, dankjewel! Lekker praktisch ook! Ik heb nog wel een vraag; ik heb van Google Analytics geen bevestigingsmail ontvangen met de (geaccepteerde) verwerkersovereenkomst. Is er dan iets mis gegaan?
In mijn scherm staat nog wel een extra blokje tekst: “Klik op DPA-GEGEVENS BEHEREN om uw Amendement gegevensverwerking (Data Processing Amendment, DPA) te updaten of te voltooien. U wordt doorgestuurd naar een DPA-beheerpagina waar u contacten en de juridische entiteiten van uw organisatie kunt bewerken.”
Die velden heb ik ook ingevuld, maar nog altijd geen bevestiging. Heb ik iets gemist?
admin
Hallo Joke, je krijgt van Google ook geen bevestigingsmail. Als je wilt weten of het accepteren is geslaagd ga je in Analytics naar beheer > accountinstellingen. Scroll naar onderen en kijk of je daar ergens ziet staan ‘Het ‘Amendement gegevensverwerking’ voor dit account is geaccepteerd op …..’ en dan een datum in het groen. Zie ook onderaan de afbeelding ‘Verwerkersovereenkomst met Google accepteren’ in het artikel. De DPA-beheerpagina is nieuw, ik heb me er nog niet in verdiept. Het lijkt erop dat die bedoeld is voor organisaties met meerdere (niet natuurlijke) rechtspersonen. Zodat je aan kunt geven wie de overeenkomst sluit.
Pipo
GDPR en AVG is hetzelfde he mensen… de één is de Engelse versie en de ander een vertaling in het Nederlands.
admin
Helemaal waar. Ik noem beide, omdat mensen zowel op AVG als GDPR zoeken. En zelden op beiden. Zo kan iedereen toch dit artikel vinden.
David
Hi ik wil een verwerkingsovereenkomst sluiten met mailchimp. Ik kom echter niet verder op de pagina. als ik username, mailadres en land heb ingevuld kan ik nergens op klikken…
admin
Hallo David, bij mij staat rechtsonder een button ‘continue’. Staat deze wellicht buiten beeld of reageert die niet? Je kunt in ieder geval aan andere browser problemen. Soms werkt een bepaalde combinatie van browser en besturingssysteem niet bij een formulier. Een andere mogelijkheid is dat het gisteren erg druk was op de site, waardoor deze niet goed werkte. Heb je het vandaag al geprobeerd? Veel succes.
Nick
Ik zie in je eigen privacystatement die staat onder je nieuwsbrief formulier o.a. de volgende punten niet terug:
– verwerkers die gegevens ontvangen, in dit geval Mailchimp, worden vermeld
– aangegeven wordt dat data buiten de EU wordt gebracht
Vergeten? 😉
admin
Nee hoor, niet vergeten. Onder de kop ‘Verwerking gegevens nieuwsbrief’ staat Mailchimp als verwerker genoemd. Dat data buiten de EU wordt gebracht is te vinden onder ‘Bewaartermijn en verwerking gegevens’. Bedankt voor de extra check.
Inez
Dag Nick,
Wij hebben nog geen aparte verwerkersovereenkomst gesloten met Mailchimp. Als ik op de link klik die jij in je artikel vermeld, zie ik geen aparte overeenkomst maar wel diverse privacy policy’s.
Is er in de tussentijd iets veranderd? Hoop dat je me nog kunt adviseren, hartelijke groet Inez
admin
Hallo Inez,
Roy was zo vriendelijk je vraag al even te beantwoorden. Ik heb de aangepaste link ook in mijn artikel verwerkt nu. Veel succes.
Met vriendelijke groet,
Nick Nijhuis
Roy Giezen
Is idd veranderd. Hier nieuwe link: https://mailchimp.com/help/about-mailchimp-the-eu-swiss-privacy-shield-and-the-gdpr/
In tweede alinea ‘When you’re ready to execute the DPA, please visit this page where..’ klikken op ‘please visit’. Je moet dan wel inloggen in je mailchimp account, je krijgt dan gewoon weer het DPA-formulier voor je om in te vullen.
admin
Dank voor je hulp Roy.
Roy Giezen
No problem. Your welcome.