Zo voldoe je als blogger aan de Privacyverordening (AVG/GDPR)

Je zou mij een groot plezier doen als je beide verklaringen zou willen doorlezen en laat mij dan melden of ik iets vergeten ben. Dat blogde Manssen vanaf de Zijlijn onlangs. Een zorg van vele bloggers namelijk is hoe zij moeten voldoen aan de AVG. Als blogger ben je meestal geen groot bedrijf met compliance afdeling, maar je krijgt wel persoonsgegevens langs, zoals namen en mailadressen van je bezoekers en vaak ook statistieken en advertentiegegevens. En je hebt maar beperkt de mogelijkheid om dingen anders te doen. Dat maakt het nogal een opgaaf om te voldoen aan de nieuwe strenge wet. Gelukkig zijn er voor bloggers genoeg mogelijkheden om toch binnen de AVG te blijven opereren.

Voor bloggers geldt in hoofdzaak hetzelfde als waar ik gisteren over blogde bij fotografen: je bent primair bezig met je mening te geven of informatie en ideeën te publiceren. Dat valt onder de journalistieke exceptie uit de AVG, waardoor een hoop regels niet voor jou gelden als blogger. Het maakt niet uit of je als particulier of zakelijk blogt en of je advertenties er bij hebt staan of dat je je blog aan je bedrijf koppelt. Ook nonfictie en zelfs promotionele blogs (Met deze pillen word je zo slank, dokters staan versteld) vallen onder deze uitzondering.

Je mag dus in je blogbericht zelf persoonsgegevens opnemen als dat relevant is voor je verhaal. Zelfs bijzondere persoonsgegevens, omdat het verwerkingsverbod (artikelen 9 en 10) daarop niet geldt bij een journalistieke uiting. Je hebt geen toestemming van mensen nodig om over hen te bloggen, zolang het maar journalistiek gezien nodig is dat je die gegevens opneemt in je bericht. Ik mag dus bijvoorbeeld de naam van André Manssen noemen om aan te geven dat zijn blog de inspiratie was voor deze blog.

Bij een blog zit er echter meer dan alléén de uiting, de blogpost zelf. Zo krijg je gegevens van je bezoekers, laten die soms zelfs reacties achter en verzamelt je blogplatform (zoals Blogspot) zelf ook het een en ander. Of je hebt adverteerders die meekijken. Daar geldt de AVG gewoon onverkort op.

Als blogger heb je dus om te beginnen een privacyverklaring nodig waarin je uitlegt wat je verzamelt en wat je daarmee doet. Denk dan aan je reactiemogelijkheid, je contactformulier en je nieuwsbrief, maar ook zaken als een Google Analytics-dienst of teller die meekijkt, adverteerders die zien wat je doen en misschien wel aparte monitoring tegen misbruik of spam. Dit mag (moet, eigenlijk) in gewone taal, dus het is prima als je die tekst zelf schrijft vanuit het perspectief van je doelgroep.

Wanneer de dienst die je gebruikt zelf ook persoonsgegevens verzamelt, moet je even uitkijken. Formeel zijn zij daarvoor verantwoordelijk, maar de bal ligt bij jou om je bezoekers daarover te informeren. Beschrijf dus in ieder geval in je privacyverklaring dat deze partijen die gegevens verzamelen en verwijs naar hun privacybeleid.

Ook moet je een register opzetten. Dat klinkt nogal formeel en is het ook, maar je moet intern vastleggen welke gegevens jij verzamelt en voor welke doeleinden. Dit geldt ook voor zelfstandigen en ook voor niet-commerciële partijen. Als je als bedrijf actief bent, dan heb je er al eentje voor bijvoorbeeld je klantrelatiesysteem en je personeelsadministratie. Ben je alleen aan het bloggen, dan moet je nu dus een register maken.

In het register neem je dan dit op:

  1. Naam en contactgegevens van jezelf (het register moet op verzoek aan de toezichthouder gegeven worden, vandaar)
  2. Doeleinden: beheer van het weblog “Naam hier” op internet | nieuwsbrief | faciliteren reactiemogelijkheid
  3. Gegevens: IP-adressen, browsergegevens, klikgedrag | e-mailadres en naam | naam, e-mailadres, optioneel zelfgekozen webadres, inhoud van reactie
  4. Grondslag: eigen belang | toestemming | toestemming
  5. Betrokkenen: bezoekers | ontvangers | reageerders
  6. Ontvangers: zie onder 1, naast organisaties die op grond van wet deze gegevens kunnen vorderen, plus leveranciers Blogspot/Google/etc
  7. Bewaartermijnen: zes maanden (vereist om misbruik en langetermijnanalyses te doen) | tot afmelding | eeuwig (journalistieke verwerking)
  8. Beveiligingsmaatregelen: *
  9. Risico: minimaal tot klein

Bij de beveiligingsmaatregelen moet je zelf nog invullen hoe je de toegang tot je logs, statistieken en dergelijke beveiligt. Je mag verwijzen naar het beveiligingsbeleid van de diensten en software die je gebruikt.

Natuurlijk is bovenstaande een vrije invulling van mij, als jij bijvoorbeeld vindt dat je je logs langer dan zes maanden mag bewaren dan is dat prima maar je moet het wel motiveren.

Arnoud

33 reacties

      1. Het mag dus gewoon een Word document zijn neem ik aan. Maar ik dien natuurlijk wel aan de bezoekers van mijn site bekend te maken wat ik met de gegevens doe. Ik neem aan dat dit gelijk moet zijn aan het register. Bijvoorbeeld in register staat dat logs 3 maanden bijgehouden wordt maar op site 6 maanden ik neem aan dat dit niet mag.

          1. (Excel werkt net iets prettiger

            Excel is een rekenblad en geen tekstverwerker. Mensen zetten er soms complete meertalige woordenlijsten en zelfs vertaalgeheugens in op, en dat geeft bijna altijd technische problemen: dingen verschuiven, harde/zachte returns, gedoe met ods/xls/xlsx enz.

            Toevallig gisteren nog meegemaakt.

  1. Bij een blog zit er echter meer dan alléén de uiting, de blogpost zelf. Zo krijg je gegevens van je bezoekers, laten die soms zelfs reacties achter en verzamelt je blogplatform (zoals Blogspot) zelf ook het een en ander. Of je hebt adverteerders die meekijken. Daar geldt de AVG gewoon onverkort op.

    Dan valt m.i. de journalistieke uitzondering voor de hele rest ook weg. Want in de Uitvoeringswet AVG, Artikel 43 lid 1 staat:

    1. Deze wet, […], is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden en ten behoeve van uitsluitend academische, artistieke of literaire uitdrukkingsvormen.

    Dus: zodra het niet uitsluitend journalistiek is, maar ook een beetje wat anders (bijv. je noemt journalistiek iemands naam, die bezoekt ook zelf dat blog en dan staat diens IP-adres in je logging) vervalt de uitzondering.

    Ook als je blog een beetje journalistiek is, maar ook een beetje literair pretendeert te zijn (de critici vinden het niks, maar zelf verbeeld je je heel wat), dan is het niet meer uitsluitend journalistiek, dus vervalt de vrijstelling.

    Het zal wel niet zo bedoeld zijn, maar het staat er wel. Ook in de verordening zelf staat vaak, maar niet altijd, het woord “uitsluitend” of “enkel” erbij.

    1. Ik denk dat dit echt een fout van de Europese wetgever is, ontstaan doordat de dames en heren wetgever/parlementariër nog denken vanuit een ouderwets wereldbeeld, waarin netjes elk bedrijf en elk medium alleen maar één ding doet, en niet de moderne internetwereld, waarin heel vaak werk, hobby, persoonlijk, zakelijk, journalistiek en kunst door elkaar lopen.

      Maar ja, AP of rechter gaat niet over wetgeving, dus de eerste tien jaar zitten we hier gewoon mee.

      Of zegt de rechter dan “De geest van de wet is afweging van botsende grondrechten, het recht op uiten en ontvangen van informatie staat, dus WEL vrijstelling”? Ik hoop het maar.

    2. Ik ben het met je eens dat Arnoud hier wel heel erg gemakkelijk aan ‘uitsluitend voor’ of ‘enkel voor’ voorbij gaat. Artikel 43 van de Uitvoeringswet is trouwens ook niet nieuw, het is feitelijk een voortzetting van artikel 3 Wbp (een implementatie van artikel 9 van richtlijn 95/46/EG). Over die mogelijkheid om uitzonderingen op gegevensbescherming toe te staan heeft het Hof van Justitie gezegd dat van belang is dat zij “binnen de grenzen van het strikt noodzakelijke blijven” (16 december 2008, C-73/07). Hoewel ik meen dat een verwerking die niet uitsluitend journalistiek is, maar ook academisch is, wél onder de uitzonderingsbepaling valt, is dat voor een verwerking die zowel journalistiek als voor adverteren is m.i. niet het geval.

      Overigens moeten we niet uit het oog verliezen dat veel rechten ook rechtstreeks uit bijvoorbeeld het EVRM gehaald kunnen worden, daar waar dat verdrag tussen particulieren geldt. Dat de bepalingen van de Uitvoeringswet of de Verordening waarin zij staan worden uitgezonderd van toepassing verandert daar weinig aan.

    3. Je moet wel goed lezen. Het artikel is niet zonder reden in twee delen gesplitst. Het maakt een uitzondering voor specifieke “doeleinden” namelijk “journalistieke”, en daarnaast een uitzondering voor specifieke “uitdrukkingsvormen” namelijk “academische, artistieke of literaire”. Je kunt dus heel goed een journalistiek literair blog hebben. Journalistiek is dan het doeleinde, en literair blog is de uitdrukkingsvorm. Je valt dan onder beide uitzonderingen, zowel die voor de doeleinden als die voor de uitdrukkingsvormen.

  2. en misschien wel aparte monitoring tegen misbruik of spam.

    Spamcheckers inderdaad, die verwerken IP-nummers en e-mailadressen, misschien ook namen die in de Bayesiaanse herkenning komen. Toevallig vanmorgen ideetje van een uit privacyoverweging niet nader te noemen persoon, maar het was m’n vrouw. Ik had er zelf niet aan gedacht.

        1. Trouwens, Arnoud, er gaat iets mis met de cookies, want ik moet steeds als ik terugkeer op het blog opnieuw m’n naam enz. invullen. Misschien iets met third-party cookies? Die sta ik namelijk niet toe. Net als bij de publieke omroepen: wordt de/het cookie ter herkenning van de poster onder een ander domein gezet dan waaronder het blog draait?

            1. De link is wel correct naar de juiste, specifieke reactie, bijvoorbeeld https://blog.iusmentis.com/2018/05/16/zo-voldoe-je-als-blogger-aan-de-privacyverordening-avg-gdpr/#comment-862835, maar bij aanklikken maakt iets ergens van #comment-862835 gewoon #comments, zodat je altijd bovenaan terecht komt.

              Vreemde fout, van de categorie “waarom IETS doen als NIETS doen veel beter is?”. Of anders geformuleerd: waarom iets overbodigs terwijl het ook nog eens fout is, wat goed werkte verstoort?

  3. Anekdote: Ik heb ook een website (nee, joh), een Mediawiki. Daar kunnen mensen inloggen. Dus persoonsgegevens. In 2013 vond ik dat ik daarmee persoonlijke data verwerkte (IP en email adressen), en volgens art. 27-30 Wbp leek het erop dat ik dat moest aanmelden. Voor de grap is gedaan (ik denk dat er weinig websites met <50 geregistreerde bezoekers zijn die dat gedaan hebben).

    Ik heb mijn site opgenomen in het WBP Meldingenregister. Wat me opviel was dat er toen expliciet onderscheid gemaakt werd tussen het doel waarom je gegevens verwerkte en hoe het daadwerkelijk gebruikt werd. Blijkbaar namen ze toen ‘function creep’ in gedachten: iets wordt vanwege A verzameld, maar later wordt bedacht dat het wel leuk is om er B mee te doen. Destijds vond ik dat wel realistisch (Google analytics was ooit bedoeld voor verzamelen statistieken, maar is later veranderd in het tracken van bezoekers). Ik denk dat dit soort function-creep nu niet meer mag.

    Ik vond het destijds vooral opvallend dat het formulier dat ik opstuurde blijkbaar met de hand overgetypt werd (wat een werk!). Althans, mijn aanvraag had ik de naam “Registration participants of website macfreek.nl” gegeven. In de brief met bevestiging van registratie was dit gewijzigd in “Registration patients of website macfreek.nl”. Ik vond die naam eigenlijk leuker, dus dat heb ik destijds maar zo gelaten. 🙂

  4. Zelf heb ik het een beetje omgedraaid. Dwz ik wil geen persoonsgegevens bijhouden. Om die reden raad ik reageerders aan om bij mij alleen een schuilnaam in te vullen en geen mailadres. Doe ik zelf al jaren. Er is een deel dat van gravatar gebruik maakt en daarom een mailadres opgeeft. Bij mij staat gravatar uit. Of gravatar of wordpress.com (waar ik op blog als een soort gratis huurder) iets met gevenes doet an bezoekers weet ik niet. Ik heb er in elk geval geen invloed op en zie via die weg geen IP-nummers.

  5. Even een leuke dwarsstraat (wellicht voer voor een blog): de privacystatement van overheid.nl is nog niet AVG-compliant (met oog op de gegevens die in het contactformulier kunnen worden achtergelaten).

    Als onze eigen overheid al geen goed voorbeeld geeft, vraag ik mij af of Jan met de Blog dit wel gaat doen. 🙂

  6. Hoe zit het eigenlijk met verwijderingsverzoeken en reacties op een weblog? De reacties van de verwijderde persoon gaan natuurlijk weg. Als iemand anders daar op reageerde met een citaat, dan valt dat onder citaatrecht denk ik, en mag het blijven. Maar moet ik ook gaan nazoeken of niet iemand reageerde op de verwijderde persoon, en diegene bij naam noemde? Hoe zit dat, Arnoud Engelfriet?

    1. Dat is een interessante, want het citaat kan nodig zijn om de discussie volgbaar te houden, dus daar heb je een eigen belang bij. En auteursrecht verplicht je om bij citaten de auteur te identificeren.

  7. Mijn aanname is even dat de bloggers gebruik maken van een professioneel blogforum.

    Wat ik dan hier nog mis bij het bloggen, is wanneer je zelf op je eigen computer een blog host, wat helemaal niet zo moeilijk is tegenwoordig, hoe zit het dan met de AVG.

  8. Als je nu een blog hebt waarin je enkel en alleen vertelt (voor wie het wil lezen) en geen product of dienst aanbiedt en ook geen reacties van lezers hebt, geen nieuwsbrief, enz, dus geen persoons- of andere gegevens verzamelt/beheert, moet je dan óók voldoen aan de gdpr?

  9. Hoe zit het dan als studenten in opdracht van een Hogeschool-docent een blog opzetten en bijhouden, waarbij verwezen wordt naar het privacy-statement van de Hogeschool en deze verwerking in het register van de Hogeschool wordt opgenomen? – is het juist dat geen toestemming van betrokkenen nodig is, omdat de grondslag op basis van (studie)overeenkomst van toepassing is of geldt hier ook dat er sprake is van een journalistieke uiting? – kunnen alle blogactiviteiten van studenten als 1 verwerking in het register worden opgenomen?

    1. Bij een studie-opdracht lijkt de grondslag van uitvoering onderwijsovereenkomst me wel mogelijk, hoewel ik niet weet of je bij een inschrijving HBO een overeenkomst sluit. De Wet Hoger onderwijs noemt het geen overeenkomst namelijk. Maar naar analogie is goed te verdedigen dat wat noodzakelijk is voor het onderwijs, dan mag ter uitvoering daarvan. (Je kunt ook gaan zitten op wettelijke plicht, de na inschrijving ontstane plicht tot onderwijs & opleiding.)

      Natuurlijk moet de verwerking wel écht noodzakelijk zijn. Bij een blog wordt van alles publiek op internet gezet, is dat echt nodig voor onderwijs? Waarom niet afgeschermd voor alleen medestudenten en de docent? Dit zal in het register moeten zijn opgenomen.

      Een uiting is journalistiek als het doel is feiten, meningen of ideeën aan het publiek bekend te maken (Satamedia-arrest). Studenten aan een hogeschool kunnen natuurlijk dergelijke publicaties doen, en de werkvorm blog leent zich daar voor. Maar het feit dat je blogt, maakt niet dat je journalist bent. Als de blog een journalistieke strekking heeft (een eindproject van de opleiding tot journalist, bijvoorbeeld) dan wel. Een blog met verslagen van je voortgang als hbo verpleegkundige zou ik niet direct journalistiek noemen.

      Het is één verwerking omdat het gaat om het vak, de opdracht. Er is niet per student een vermelding in het register nodig, ze doen allemaal aan dat vak mee. Ik denk wel dat je per jaar een nieuwe registratie moet doen. Het vak kan inhoudelijk wijzigen per jaar.

      Vergeet ook niet op te nemen wanneer de blog weer offline gaat. Niet alleen juridisch (dus de bewaartermijn in het register) maar ook praktisch. Na twee jaar zijn die studenten weg en is iedereen het wachtwoord van het blogplatform vergeten.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.