Door: Matthias de Bruyne
Het businessmodel van mediabureaus heeft de laatste jaren flinke veranderingen ondergaan. Naast inkoop van traditionele media is online adverteren en de bijbehorende verwerking van persoonsgegevens steeds belangrijker geworden. Dat betekent dat de Algemene Verordening Gegevensbescherming (AVG) ook op de bedrijfsvoering van mediabureaus grote impact gaat hebben. In dit artikel behandel ik vier onderwerpen die elk mediabureau moet kennen.
Maak afspraken met je opdrachtgevers
Of het nu gaat om programmatic advertising, Facebook-promoties of Adwords; mediabureaus verwerken in opdracht van hun klanten persoonsgegevens. Voor de AVG is het mediabureau dus in veel gevallen ‘verwerker’, terwijl de opdrachtgever als ‘verantwoordelijke’ te boek staat. Dit betekent dat je gegevens alleen mag verwerken in lijn met de schriftelijke afspraken die je met de opdrachtgevers hebt gemaakt.
Gebruik je de gegevens ook voor andere doeleinden, dan ben je voor de wet verantwoordelijk. Dat brengt andere plichten en dus compliance-risico’s met zich mee. Handel je in lijn met de afspraken, dan is de opdrachtgever verantwoordelijk voor hoe de gegevens zijn verzameld en mogen worden gebruikt.
Stel verwerkersovereenkomsten op
Het is verplicht om schriftelijke afspraken te maken over de verwerking van persoonsgegevens. Dat gebeurt meestal in een verwerkersovereenkomst. Daarin bepaalt de verantwoordelijke wat de bewaartermijn van persoonsgegevens is en hoe deze data beveiligd moeten worden. Daarnaast kan de opdrachtgever in de overeenkomst toestemming geven om gegevens te verwerken in samenwerking met een derde partij, zoals adverteren via Facebook en Google of data opslaan bij Amazon.
Het is niet nodig om per subverwerker een tekst in de overeenkomst op te nemen. Beter kun je in meer algemene termen afspraken maken, bijvoorbeeld dat je als verwerker zelf mag kiezen waar je de data host - als het maar in Europa is en goed beveiligd. Als verwerker moet je vervolgens ook schriftelijke afspraken met die subverwerkers maken, om te zorgen dat je de afspraken met je opdrachtgever kunt nakomen.
Zorg dat je kunt aantonen dat je AVG-compliant bent
Bewijs- en administratieplicht spelen een grote rol in de AVG. Je moet als verwerker kunnen aantonen dat je je aan de AVG én dus aan de afspraken met je opdrachtgever houdt. In een verwerkingenregister houd je bij welke categorieën verwerkingen je uitvoert, waarvoor en voor wie. Opdrachtgevers zullen je ook nadrukkelijk hier om vragen: zij hebben deze informatie op hun beurt weer nodig om aan te tonen dat de data verwerkt wordt in lijn met de wettelijke grondslagen en doeleinden die zij hebben vastgesteld.
Overweeg een Functionaris Gegevensbescherming aan te stellen
Organisaties die op grote schaal personen monitoren, zijn verplicht een Functionaris Gegevensbescherming (FG, of Data Protection Officer) aan te stellen. Wat dat ‘ op grote schaal’ wil zeggen, is nog niet helemaal duidelijk. Voor mediabureaus is van belang dat e-mail retargeting, data-driven marketing, profiling en behavioural advertising genoemd worden als voorbeelden van ‘personen monitoren’. Het is daarom veilig om aan te nemen dat grote mediabureaus een FG in dienst moeten nemen, ook al zijn zij niet verantwoordelijke en werken zij alleen in opdracht van anderen. Wanneer je besluit dat jouw organisatie niet wettelijk verplicht is een FG aan te stellen, moet je schriftelijk vastleggen waarom dit zo is, wil je tenminste kunnen aantonen dat je aan de AVG voldoet.
Matthias de Bruyne is legal counsel bij DDMA. Op 17 mei organiseert DDMA een AVG Vragen(v)uur, waarbij mediabureaus live vragen kunnen stellen aan Matthias de Bruyne en andere privacyjuristen.
Zie hier voor deel I, over AVG voor e-mail- en telemarketeers.
Plaats als eerste een reactie
Ook een reactie plaatsen? Word lid van Adformatie!