Zo voldoe je als blogger aan de Privacyverordening (AVG/GDPR)

| AE 10579 | Privacy | 30 reacties

Je zou mij een groot plezier doen als je beide verklaringen zou willen doorlezen en laat mij dan melden of ik iets vergeten ben. Dat blogde Manssen vanaf de Zijlijn onlangs. Een zorg van vele bloggers namelijk is hoe zij moeten voldoen aan de AVG. Als blogger ben je meestal geen groot bedrijf met compliance afdeling, maar je krijgt wel persoonsgegevens langs, zoals namen en mailadressen van je bezoekers en vaak ook statistieken en advertentiegegevens. En je hebt maar beperkt de mogelijkheid om dingen anders te doen. Dat maakt het nogal een opgaaf om te voldoen aan de nieuwe strenge wet. Gelukkig zijn er voor bloggers genoeg mogelijkheden om toch binnen de AVG te blijven opereren.

Voor bloggers geldt in hoofdzaak hetzelfde als waar ik gisteren over blogde bij fotografen: je bent primair bezig met je mening te geven of informatie en ideeën te publiceren. Dat valt onder de journalistieke exceptie uit de AVG, waardoor een hoop regels niet voor jou gelden als blogger. Het maakt niet uit of je als particulier of zakelijk blogt en of je advertenties er bij hebt staan of dat je je blog aan je bedrijf koppelt. Ook nonfictie en zelfs promotionele blogs (Met deze pillen word je zo slank, dokters staan versteld) vallen onder deze uitzondering.

Je mag dus in je blogbericht zelf persoonsgegevens opnemen als dat relevant is voor je verhaal. Zelfs bijzondere persoonsgegevens, omdat het verwerkingsverbod (artikelen 9 en 10) daarop niet geldt bij een journalistieke uiting. Je hebt geen toestemming van mensen nodig om over hen te bloggen, zolang het maar journalistiek gezien nodig is dat je die gegevens opneemt in je bericht. Ik mag dus bijvoorbeeld de naam van André Manssen noemen om aan te geven dat zijn blog de inspiratie was voor deze blog.

Bij een blog zit er echter meer dan alléén de uiting, de blogpost zelf. Zo krijg je gegevens van je bezoekers, laten die soms zelfs reacties achter en verzamelt je blogplatform (zoals Blogspot) zelf ook het een en ander. Of je hebt adverteerders die meekijken. Daar geldt de AVG gewoon onverkort op.

Als blogger heb je dus om te beginnen een privacyverklaring nodig waarin je uitlegt wat je verzamelt en wat je daarmee doet. Denk dan aan je reactiemogelijkheid, je contactformulier en je nieuwsbrief, maar ook zaken als een Google Analytics-dienst of teller die meekijkt, adverteerders die zien wat je doen en misschien wel aparte monitoring tegen misbruik of spam. Dit mag (moet, eigenlijk) in gewone taal, dus het is prima als je die tekst zelf schrijft vanuit het perspectief van je doelgroep.

Wanneer de dienst die je gebruikt zelf ook persoonsgegevens verzamelt, moet je even uitkijken. Formeel zijn zij daarvoor verantwoordelijk, maar de bal ligt bij jou om je bezoekers daarover te informeren. Beschrijf dus in ieder geval in je privacyverklaring dat deze partijen die gegevens verzamelen en verwijs naar hun privacybeleid.

Ook moet je een register opzetten. Dat klinkt nogal formeel en is het ook, maar je moet intern vastleggen welke gegevens jij verzamelt en voor welke doeleinden. Dit geldt ook voor zelfstandigen en ook voor niet-commerciële partijen. Als je als bedrijf actief bent, dan heb je er al eentje voor bijvoorbeeld je klantrelatiesysteem en je personeelsadministratie. Ben je alleen aan het bloggen, dan moet je nu dus een register maken.

In het register neem je dan dit op:

  1. Naam en contactgegevens van jezelf (het register moet op verzoek aan de toezichthouder gegeven worden, vandaar)
  2. Doeleinden: beheer van het weblog “Naam hier” op internet | nieuwsbrief | faciliteren reactiemogelijkheid
  3. Gegevens: IP-adressen, browsergegevens, klikgedrag | e-mailadres en naam | naam, e-mailadres, optioneel zelfgekozen webadres, inhoud van reactie
  4. Grondslag: eigen belang | toestemming | toestemming
  5. Betrokkenen: bezoekers | ontvangers | reageerders
  6. Ontvangers: zie onder 1, naast organisaties die op grond van wet deze gegevens kunnen vorderen, plus leveranciers Blogspot/Google/etc
  7. Bewaartermijnen: zes maanden (vereist om misbruik en langetermijnanalyses te doen) | tot afmelding | eeuwig (journalistieke verwerking)
  8. Beveiligingsmaatregelen: *
  9. Risico: minimaal tot klein

Bij de beveiligingsmaatregelen moet je zelf nog invullen hoe je de toegang tot je logs, statistieken en dergelijke beveiligt. Je mag verwijzen naar het beveiligingsbeleid van de diensten en software die je gebruikt.

Natuurlijk is bovenstaande een vrije invulling van mij, als jij bijvoorbeeld vindt dat je je logs langer dan zes maanden mag bewaren dan is dat prima maar je moet het wel motiveren.

Arnoud

Deel dit artikel

  1. Bij een blog zit er echter meer dan alléén de uiting, de blogpost zelf. Zo krijg je gegevens van je bezoekers, laten die soms zelfs reacties achter en verzamelt je blogplatform (zoals Blogspot) zelf ook het een en ander. Of je hebt adverteerders die meekijken. Daar geldt de AVG gewoon onverkort op.

    Dan valt m.i. de journalistieke uitzondering voor de hele rest ook weg. Want in de Uitvoeringswet AVG, Artikel 43 lid 1 staat:

    1. Deze wet, […], is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden en ten behoeve van uitsluitend academische, artistieke of literaire uitdrukkingsvormen.

    Dus: zodra het niet uitsluitend journalistiek is, maar ook een beetje wat anders (bijv. je noemt journalistiek iemands naam, die bezoekt ook zelf dat blog en dan staat diens IP-adres in je logging) vervalt de uitzondering.

    Ook als je blog een beetje journalistiek is, maar ook een beetje literair pretendeert te zijn (de critici vinden het niks, maar zelf verbeeld je je heel wat), dan is het niet meer uitsluitend journalistiek, dus vervalt de vrijstelling.

    Het zal wel niet zo bedoeld zijn, maar het staat er wel. Ook in de verordening zelf staat vaak, maar niet altijd, het woord “uitsluitend” of “enkel” erbij.

    • Ik denk dat dit echt een fout van de Europese wetgever is, ontstaan doordat de dames en heren wetgever/parlementariër nog denken vanuit een ouderwets wereldbeeld, waarin netjes elk bedrijf en elk medium alleen maar één ding doet, en niet de moderne internetwereld, waarin heel vaak werk, hobby, persoonlijk, zakelijk, journalistiek en kunst door elkaar lopen.

      Maar ja, AP of rechter gaat niet over wetgeving, dus de eerste tien jaar zitten we hier gewoon mee.

      Of zegt de rechter dan “De geest van de wet is afweging van botsende grondrechten, het recht op uiten en ontvangen van informatie staat, dus WEL vrijstelling”? Ik hoop het maar.

    • Ik ben het met je eens dat Arnoud hier wel heel erg gemakkelijk aan ‘uitsluitend voor’ of ‘enkel voor’ voorbij gaat. Artikel 43 van de Uitvoeringswet is trouwens ook niet nieuw, het is feitelijk een voortzetting van artikel 3 Wbp (een implementatie van artikel 9 van richtlijn 95/46/EG). Over die mogelijkheid om uitzonderingen op gegevensbescherming toe te staan heeft het Hof van Justitie gezegd dat van belang is dat zij “binnen de grenzen van het strikt noodzakelijke blijven” (16 december 2008, C-73/07). Hoewel ik meen dat een verwerking die niet uitsluitend journalistiek is, maar ook academisch is, wél onder de uitzonderingsbepaling valt, is dat voor een verwerking die zowel journalistiek als voor adverteren is m.i. niet het geval.

      Overigens moeten we niet uit het oog verliezen dat veel rechten ook rechtstreeks uit bijvoorbeeld het EVRM gehaald kunnen worden, daar waar dat verdrag tussen particulieren geldt. Dat de bepalingen van de Uitvoeringswet of de Verordening waarin zij staan worden uitgezonderd van toepassing verandert daar weinig aan.

  2. en misschien wel aparte monitoring tegen misbruik of spam.

    Spamcheckers inderdaad, die verwerken IP-nummers en e-mailadressen, misschien ook namen die in de Bayesiaanse herkenning komen. Toevallig vanmorgen ideetje van een uit privacyoverweging niet nader te noemen persoon, maar het was m’n vrouw. Ik had er zelf niet aan gedacht.

  3. Anekdote: Ik heb ook een website (nee, joh), een Mediawiki. Daar kunnen mensen inloggen. Dus persoonsgegevens. In 2013 vond ik dat ik daarmee persoonlijke data verwerkte (IP en email adressen), en volgens art. 27-30 Wbp leek het erop dat ik dat moest aanmelden. Voor de grap is gedaan (ik denk dat er weinig websites met <50 geregistreerde bezoekers zijn die dat gedaan hebben).

    Ik heb mijn site opgenomen in het WBP Meldingenregister. Wat me opviel was dat er toen expliciet onderscheid gemaakt werd tussen het doel waarom je gegevens verwerkte en hoe het daadwerkelijk gebruikt werd. Blijkbaar namen ze toen ‘function creep’ in gedachten: iets wordt vanwege A verzameld, maar later wordt bedacht dat het wel leuk is om er B mee te doen. Destijds vond ik dat wel realistisch (Google analytics was ooit bedoeld voor verzamelen statistieken, maar is later veranderd in het tracken van bezoekers). Ik denk dat dit soort function-creep nu niet meer mag.

    Ik vond het destijds vooral opvallend dat het formulier dat ik opstuurde blijkbaar met de hand overgetypt werd (wat een werk!). Althans, mijn aanvraag had ik de naam “Registration participants of website macfreek.nl” gegeven. In de brief met bevestiging van registratie was dit gewijzigd in “Registration patients of website macfreek.nl”. Ik vond die naam eigenlijk leuker, dus dat heb ik destijds maar zo gelaten. 🙂

  4. Zelf heb ik het een beetje omgedraaid. Dwz ik wil geen persoonsgegevens bijhouden. Om die reden raad ik reageerders aan om bij mij alleen een schuilnaam in te vullen en geen mailadres. Doe ik zelf al jaren. Er is een deel dat van gravatar gebruik maakt en daarom een mailadres opgeeft. Bij mij staat gravatar uit. Of gravatar of wordpress.com (waar ik op blog als een soort gratis huurder) iets met gevenes doet an bezoekers weet ik niet. Ik heb er in elk geval geen invloed op en zie via die weg geen IP-nummers.

  5. Even een leuke dwarsstraat (wellicht voer voor een blog): de privacystatement van overheid.nl is nog niet AVG-compliant (met oog op de gegevens die in het contactformulier kunnen worden achtergelaten).

    Als onze eigen overheid al geen goed voorbeeld geeft, vraag ik mij af of Jan met de Blog dit wel gaat doen. 🙂

  6. Hoe zit het eigenlijk met verwijderingsverzoeken en reacties op een weblog? De reacties van de verwijderde persoon gaan natuurlijk weg. Als iemand anders daar op reageerde met een citaat, dan valt dat onder citaatrecht denk ik, en mag het blijven. Maar moet ik ook gaan nazoeken of niet iemand reageerde op de verwijderde persoon, en diegene bij naam noemde? Hoe zit dat, Arnoud Engelfriet?

  7. Mijn aanname is even dat de bloggers gebruik maken van een professioneel blogforum.

    Wat ik dan hier nog mis bij het bloggen, is wanneer je zelf op je eigen computer een blog host, wat helemaal niet zo moeilijk is tegenwoordig, hoe zit het dan met de AVG.

  8. Als je nu een blog hebt waarin je enkel en alleen vertelt (voor wie het wil lezen) en geen product of dienst aanbiedt en ook geen reacties van lezers hebt, geen nieuwsbrief, enz, dus geen persoons- of andere gegevens verzamelt/beheert, moet je dan óók voldoen aan de gdpr?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS