Zo voldoe je als blogger aan de Privacyverordening (AVG/GDPR)

Je zou mij een groot plezier doen als je beide verklaringen zou willen doorlezen en laat mij dan melden of ik iets vergeten ben. Dat blogde Manssen vanaf de Zijlijn onlangs. Een zorg van vele bloggers namelijk is hoe zij moeten voldoen aan de AVG. Als blogger ben je meestal geen groot bedrijf met compliance afdeling, maar je krijgt wel persoonsgegevens langs, zoals namen en mailadressen van je bezoekers en vaak ook statistieken en advertentiegegevens. En je hebt maar beperkt de mogelijkheid om dingen anders te doen. Dat maakt het nogal een opgaaf om te voldoen aan de nieuwe strenge wet. Gelukkig zijn er voor bloggers genoeg mogelijkheden om toch binnen de AVG te blijven opereren.

Voor bloggers geldt in hoofdzaak hetzelfde als waar ik gisteren over blogde bij fotografen: je bent primair bezig met je mening te geven of informatie en ideeën te publiceren. Dat valt onder de journalistieke exceptie uit de AVG, waardoor een hoop regels niet voor jou gelden als blogger. Het maakt niet uit of je als particulier of zakelijk blogt en of je advertenties er bij hebt staan of dat je je blog aan je bedrijf koppelt. Ook nonfictie en zelfs promotionele blogs (Met deze pillen word je zo slank, dokters staan versteld) vallen onder deze uitzondering.

Je mag dus in je blogbericht zelf persoonsgegevens opnemen als dat relevant is voor je verhaal. Zelfs bijzondere persoonsgegevens, omdat het verwerkingsverbod (artikelen 9 en 10) daarop niet geldt bij een journalistieke uiting. Je hebt geen toestemming van mensen nodig om over hen te bloggen, zolang het maar journalistiek gezien nodig is dat je die gegevens opneemt in je bericht. Ik mag dus bijvoorbeeld de naam van André Manssen noemen om aan te geven dat zijn blog de inspiratie was voor deze blog.

Bij een blog zit er echter meer dan alléén de uiting, de blogpost zelf. Zo krijg je gegevens van je bezoekers, laten die soms zelfs reacties achter en verzamelt je blogplatform (zoals Blogspot) zelf ook het een en ander. Of je hebt adverteerders die meekijken. Daar geldt de AVG gewoon onverkort op.

Als blogger heb je dus om te beginnen een privacyverklaring nodig waarin je uitlegt wat je verzamelt en wat je daarmee doet. Denk dan aan je reactiemogelijkheid, je contactformulier en je nieuwsbrief, maar ook zaken als een Google Analytics-dienst of teller die meekijkt, adverteerders die zien wat je doen en misschien wel aparte monitoring tegen misbruik of spam. Dit mag (moet, eigenlijk) in gewone taal, dus het is prima als je die tekst zelf schrijft vanuit het perspectief van je doelgroep.

Wanneer de dienst die je gebruikt zelf ook persoonsgegevens verzamelt, moet je even uitkijken. Formeel zijn zij daarvoor verantwoordelijk, maar de bal ligt bij jou om je bezoekers daarover te informeren. Beschrijf dus in ieder geval in je privacyverklaring dat deze partijen die gegevens verzamelen en verwijs naar hun privacybeleid.

Ook moet je een register opzetten. Dat klinkt nogal formeel en is het ook, maar je moet intern vastleggen welke gegevens jij verzamelt en voor welke doeleinden. Dit geldt ook voor zelfstandigen en ook voor niet-commerciële partijen. Als je als bedrijf actief bent, dan heb je er al eentje voor bijvoorbeeld je klantrelatiesysteem en je personeelsadministratie. Ben je alleen aan het bloggen, dan moet je nu dus een register maken.

In het register neem je dan dit op:

Naam en contactgegevens van jezelf (het register moet op verzoek aan de toezichthouder gegeven worden, vandaar)

Doeleinden: beheer van het weblog “Naam hier” op internet | nieuwsbrief | faciliteren reactiemogelijkheid

Gegevens: IP-adressen, browsergegevens, klikgedrag | e-mailadres en naam | naam, e-mailadres, optioneel zelfgekozen webadres, inhoud van reactie

Grondslag: eigen belang | toestemming | toestemming

Betrokkenen: bezoekers | ontvangers | reageerders

Ontvangers: zie onder 1, naast organisaties die op grond van wet deze gegevens kunnen vorderen, plus leveranciers Blogspot/Google/etc

Bewaartermijnen: zes maanden (vereist om misbruik en langetermijnanalyses te doen) | tot afmelding | eeuwig (journalistieke verwerking)

Beveiligingsmaatregelen: *

Risico: minimaal tot klein

Bij de beveiligingsmaatregelen moet je zelf nog invullen hoe je de toegang tot je logs, statistieken en dergelijke beveiligt. Je mag verwijzen naar het beveiligingsbeleid van de diensten en software die je gebruikt.

Natuurlijk is bovenstaande een vrije invulling van mij, als jij bijvoorbeeld vindt dat je je logs langer dan zes maanden mag bewaren dan is dat prima maar je moet het wel motiveren.

Arnoud

Het bericht Zo voldoe je als blogger aan de Privacyverordening (AVG/GDPR) verscheen eerst op Ius Mentis.

Gerelateerde berichten:

• Bloggers bij elkaar in Den Haag (08/10/09 16:47)
• Azerbeidzjan zet bloggers vast (11/11/09 13:46)
• D66 komt op voor bloggers Azerbeidzjan (15/12/09 10:08)
• “Jeugddroom is uitgemond in een eigen website” (25/04/12 09:04)
• Twitter en Google sterk in opkomst als informatiebron (27/07/10 12:18)

Reacties:

Er zijn nog geen reacties op dit bericht.