Artiesten en de Algemene Verordening Gegevensbescherming (AVG)

AVG, wat is dat?
AVG staat voor ‘Algemene verordening gegevensbescherming’. Kortom een wet waarin de privacy van personen wordt geregeld. Uiteraard waren hier al wetten voor, maar met deze nieuwe wet krijgt iedereen meer zeggenschap over zijn eigen persoonsgegevens en de manier waarop dit verwerkt wordt. En deze wet wordt in heel Europa van kracht.
Wat zijn persoonsgegevens?
Alle gegevens die te herleiden zijn naar een persoon vallen hieronder. Zoals voor- en achternaam, adresgegevens, telefoonnummers en mailadressen.
Jij verzamelt persoonsgegevens
Zonder dat je het misschien door hebt, verzamel je als artiest flink wat persoonsgegevens van anderen. Bijvoorbeeld:
- Rondom boekingen. Vaak ontvang je adresgegevens, telefoonnummers of mailadressen gekoppeld aan degene die jou boekt.
- Via jouw website. Vaak worden er cookies geplaatst, bijvoorbeeld om te kunnen zien hoeveel bezoekers jouw website trekt. In sommige gevallen maak je misschien zelfs gebruik van tracking cookies.
- Rondom jouw cd-verkoop. Bij online bestellingen heb je de verzendgegevens nodig. Tijdens een concert vraag je misschien wel om een adres, zodat jij een fanbase opbouwt.
- Verstuur je nieuwsbrieven of ben je dit van plan? Hiervoor heb je mailadressen nodig. Deze kan je op verschillende manieren verzameld hebben.
- Bij het crowdfunden. Elke donateur laat zijn gegevens achter, zodat zij de eventuele tegenprestatie kunnen ontvangen.
- Bandleden, geluidsmensen, vrijwilligers etc. Waar staan hun contactgegevens opgeslagen?
Ook werk jij waarschijnlijk met diverse programma’s en mensen samen. Hierdoor blijven de gegevens niet bij jou alleen, je deelt ze ook nog eens met anderen. Ook dit mag niet meer zomaar. Zoals in deze gevallen:
- Bij het gebruik van online diensten en software. Gebruik je Dropbox of een andere Cloud-service? Hoe verstuur je jouw nieuwsbrieven? Heb je een online boekhoudprogramma?
- In samenwerkingen. Heb je management, een bookings-agent, ticketservice, boekhouder, administratieve kracht, of andere personen die jou werk uit handen nemen?
Welke gegevens mag je verzamelen en wanneer?
Je mag niet zomaar gegevens verzamelen, hier moet je een wettelijke grondslag voor hebben. Hiervan zijn er zes opgesteld, als artiest heb je vermoedelijk alleen met deze twee te maken:
- Je hebt het nodig om een overeenkomst te kunnen uitvoeren. Hierbij kan je denken aan adresgegevens om een cd te kunnen toesturen, een telefoonnummer om de boeking door te spreken of om een factuuradres om jouw factuur naartoe te kunnen sturen. Deze gegevens mag je alleen gebruiken voor dit doel. Wil je daarnaast de gegevens ook nog gebruiken om bijvoorbeeld een nieuwsbrief te sturen, dan heb je daar expliciete toestemming voor nodig.
- Je hebt expliciete toestemming ontvangen. Je moet kunnen aantonen dat je deze toestemming hebt gekregen, wanneer en waarvoor. Je mag hierbij alleen om de gegevens vragen die je nodig hebt om je doel te bereiken.
Bij personen van 16 jaar of jonger zijn de regels zelfs nog iets strenger. In het geval van expliciete toestemming moeten ook hun ouders toestemming verlenen. Wanneer je een achterban hebt met veel minderjarigen, dan is het belangrijk dat je daar extra alert op bent.
Hoe kan jij voldoen aan de AVG?
Ga voor jezelf eens na op welke manieren jij aan persoonsgegevens van anderen komt en waarvoor je dit nodig hebt. Vervolgens is het goed om na te denken waar deze informatie allemaal staat en wie er toegang toe hebben. Als je dit meteen voor jezelf opschrijft, heb je de basis al in handen. Jij moet namelijk kunnen aantonen welke gegevens je hebt, hoe je hieraan komt en hoe je deze bewaard. Ook moet je in kaart brengen wie toegang heeft tot deze gegevens.
Is dit duidelijk voor jezelf? Dan moet je nog een aantal stappen nemen. In de volgende blokjes zal ik hier verder op ingaan.
- Maak een privacy statement
- Maak een beschrijving van de manier waarop jij de gegevens beveiligd.
- Maak een schema van alle verwerkingen.
- Sluit verwerkersovereenkomsten af.
- Adresbestand kritisch doornemen
Privacy statement
Je bent verplicht een privacy statement te hebben wanneer je persoonsgegevens gebruikt. Deze kan je het beste op jouw website plaatsen, dan is deze goed te vinden voor iedereen. Je kan hier ook zelf naar verwijzen op het moment dat je expliciete toestemming vraagt, bijvoorbeeld door een linkje toe te voegen bij een checkbox.
Dit statement moet kort, bondig en makkelijk te lezen zijn. Er zijn een aantal punten die je er verplicht in moet hebben staan:
- Jouw bedrijfsnaam en contactgegevens
- Welke gegevens leg je vast?
- Waarom verzamel je de gegevens? Elk doel moet je benoemd hebben. Zoals bijvoorbeeld de uitvoering van een overeenkomst.
- Maar ook een marketingdoel, zoals het versturen van een nieuwsbrief, valt hieronder.
- Hoelang bewaar je de gegevens?
- Hoe kan iemand deze gegevens inzien, veranderen of verwijderen?
- Benoemen dat de toestemming ook weer ingetrokken kan worden.
- Benoemen dat iemand het recht heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens
- Wie ontvangen van jou de persoonsgegevens en waarom. Hierbij kan je denken aan jouw management, boekingskantoor, betaalservices, boekhouder etc.
- Worden de gegevens ook aan andere landen verstrekt? Bijvoorbeeld omdat jouw server daar staat? Dan moet je dat ook benoemen. Daarbij is het belangrijk dat dit land op dezelfde manier omgaat met deze gegevens als hier in Nederland.
- Hoe ga je om met gegevens van personen onder de 16 jaar?
- Welke cookies worden er geplaatst en waarom?
Gegevensbeveiliging
Je bent verplicht om de persoonsgegevens die je krijgt goed te beveiligen. Maak voor jezelf een korte beschrijving hoe je dit hebt gedaan en wie toegang hebben tot de gegevens. Daarmee heb je meteen jouw eigen beveiligingsbeleid. Denk hierbij aan de volgende punten:
- Verstuur of ontvang je persoonsgegevens via de mail? Check dan of jouw mailadres veilig is. Dit kan je met deze email-test. De verbeterpunten kan je daarna aanpakken.
- Heb je een eigen website? Controleer dan of deze veilig is. Bij het verzamelen van persoonsgegevens ben je verplicht om ‘https’ te gebruiken. Of je website veilig is kan je hier onderzoeken.
- Werk altijd via een beveiligde verbinding. Openbare wifi-spots zijn niet veilig, de gegevens die je verstuurt of ontvangt kunnen makkelijk onderschept worden.
Verwerkingsschema
Hiervoor kun je goed jouw inventarisatie gebruiken. Je moet namelijk een schema maken waarin je het volgende neerzet:
- Jouw bedrijfsnaam en contactgegevens
- Welke gegevens categorieën je verwerkt. Bijvoorbeeld adres, telefoonnummer, e-mailadres, etc.
- Met welk doel je deze gegevens verwerkt. Bijvoorbeeld versturen van nieuwsbrieven, facturatie, boekingsovereenkomst, etc.
- Met wie deel je deze gegevens. Bijvoorbeeld jouw management, boekhouder, etc.
- De bewaartermijn met motivatie.
- Of het bijzondere gegevens zijn. Dan kan je denken aan geloofsovertuiging, ras, politieke voorkeur, gezondheidsgegevens etc. Wanneer dit zo is, dan moet je nog verdere stappen zetten die niet in dit artikel beschreven worden.
- De manier waarop de gegevens beveiligd worden. Je mag verwijzen naar je beleid hierboven.
Verwerkersovereenkomst
De persoonsgegevens die je ontvangt zijn voor jou bestemd. Wanneer een ander deze gegevens voor je verwerkt of opslaat moet je hiervoor een verwerkingsovereenkomst afsluiten samen. Dit geldt niet alleen bij het delen met personen, zoals je manager en boekhouder. Maar ook met verschillende diensten waar je gebruik van maakt. Denk bijvoorbeeld aan Mailchimp voor je nieuwsbrieven, Dropbox voor opslag, Google Analytics voor je statistieken op je website, je online boekhoudprogramma waar je factuurgegevens invoert, etc.
Wanneer jij persoonsgegevens ontvangt, ben jij volgens de wet de ‘verwerkingsverantwoordelijke’. Degene die de gegevens ontvangt wordt de ‘verwerker’ genoemd. Concreet betekent dit dat jij verantwoordelijk blijft voor de persoonsgegevens die je ontvangt, ook als je deze deelt met de verwerker deelt. De verwerker verklaart in deze overeenkomst de gegevens niet te gebruiken voor eigen doeleinden.
In deze overeenkomst moet je afspraken maken over het volgende:
- Waarom de persoonsgegevens worden verwerkt
- Welke persoonsgegevens worden verwerkt
- Van welke groepen personen deze persoonsgegevens zijn
- Hoe deze persoonsgegevens beveiligd worden
- Waar de persoonsgegevens opgeslagen worden
- Hoelang de persoonsgegevens bewaard mogen blijven en hoe deze weer teruggegeven worden
- Welke sub-verwerkers ingeschakeld mogen worden
- Hoe er wordt omgegaan met datalekken
- Geheimhouding
Klinkt ingewikkeld. Gelukkig heb ik een model voor je gevonden die je in Adobe kan invullen! Deze overeenkomst kan je vinden op privacycompany.eu.
Verschillende bedrijven hebben zelf al een dergelijke overeenkomst gemaakt voor hun diensten, zodat je AVG-proof verder kan werken. Hier een aantal veelgebruikte partijen:
- Mailchimp: mailchimp.com/legal/forms/data-processing-agreement/
- Google Analytics: uitleg vind je op tijdvooreensite.nl/google-verwerkersovereenkomst/
- Google Cloud services: zij geven aan op 25 mei te voldoen aan de AVG. Lees meer op de speciale website van google.com
- Dropbox: Zij geven aan op 25 mei volledig te voldoen aan de AVG. Lees meer op de speciale website van dropbox.com
- Microsoft Cloud services: Zij geven aan op 25 mei te voldoen aan de AVG. Lees meer op de speciale website van microsoft.com
Je kan zelf ook de partijen waar je mee samen werkt vragen of zij al een verwerkersovereenkomst beschikbaar hebben, bijvoorbeeld jouw webhost of boekhoudprogramma.
Adresbestand kritisch bekijken
Om nieuwsbrieven te mogen versturen is expliciete toestemming nodig. Jij moet kunnen aantonen dat jij deze toestemming hebt gekregen, wanneer en waarvoor. Het aanmelden moet een duidelijke actie zijn. Het vakje “ja ik wil” mag dus niet al automatisch aangevinkt zijn. Het beste kan je ook dubbel om toestemming vragen, waarbij de ontvanger een mail ontvangt met een bevestigingslink. Hiermee ben je meteen zeker van een adresbestand met werkende mailadressen.
Maar wat doe je met alle oude adressen? Wanneer je kan aantonen dat je expliciete toestemming hebt gekregen en wanneer, dan kan je deze adressen blijven gebruiken. Maar wanneer je dit niet kan, dan is het tijd om het adresbestand op te schonen. Dit kan je bijvoorbeeld doen door iedereen te mailen en hen te vragen zich aan te melden, bijvoorbeeld door te klikken op “ja ik wil de nieuwsbrief over .. blijven ontvangen”. Het risico is dat je veel adressen kwijtraakt. Maar het voordeel is dat je een actieve achterban over houdt en van daaruit weer verder kan bouwen.
Disclaimer
Ik ben geen jurist. Ik heb mijn best gedaan om vanuit mijn functie als artiestenmanager zoveel mogelijk relevante informatie te verzamelen, zodat de artiesten die ik vertegenwoordig straks klaar zijn voor de AVG. Omdat ik geloof in het delen van kennis en informatie, heb ik dit gebundeld in dit artikel, zodat jij er ook je voordeel mee kan doen. Ik ben niet aansprakelijk voor schade als gevolg van onvolledige of onjuiste informatie in dit artikel. Jij bent zelf verantwoordelijk om de juiste informatie te verzamelen en de benodigde acties te ondernemen om op 25 mei 2018 te voldoen aan de eisen van de AVG. Kom je er niet uit, dan kan je altijd een jurist inschakelen om je verder op weg te helpen.