Relatiegeschenken versturen? Bezint eer gij begint! Zeker in Covid-tijden.
Kerstpakketten en relatiegeschenken versturen naar privé adressen. Hoe doe je dat veilig en conform Europese privacywetgeving?
Veel bedrijven laten (tijdens de lockdown) de kerstpakketten of relatiegeschenken versturen naar privé adressen van medewerkers of klanten. Dan moet je een adressenbestand aanleveren bij je leverancier. Deel je die via email? Worden de gegevens geanonimiseerd of het bestand beveiligd? Gaat alles wel 100% volgens de Algemene verordening gegevensbescherming (AVG)? En hoe verkrijg je de privé adressen van zakenrelaties / klanten?
- Maatregelen beveiliging
- Is een verwerkersovereenkomst verplicht?
- Persoonsgegevens verzamelen
- Beschrijving van gegevensverwerking
Covid en privacy
Door de COVID-19 pandemie zien veel werkgevers zich gedwongen dit jaar hun traditionele eindejaarsbijeenkomsten ( of feestjes) te cancelen. Veel HR-afdelingen zien in eerste instantie een kans om wat extra aandacht ( en geld) te besteden aan een passend Sinterklaas- , kerst- of (minder aanstootgevend) eindejaarsgeschenk voor de medewerkers. Die arme thuiswerkers… De kerstpakket trend is dit jaar dan ook ‘persoonlijker’, gezelliger, zorgzaam, creatief. Denk aan knusse fleeces en plaids, truien en lekkers om ‘en famille’ en zonder schoonfamilie van te genieten.
Distributie relatiegeschenken
Maar aangezien we al die pakketten dit jaar niet persoonlijk mogen uitdelen, moeten ze verzonden worden. Leveranciers kunnen alles voor jullie bedrijf via de post verzenden, als bezorgpakketje, afhaalpakketje of als een brievenbuspakketje. Eerder waarschuwden we hier al voor de te verwachten drukte: begin op tijd! ( nu is eigenlijk al te laat…). En ontdekken we een nieuwe sta-in-de-weg voor een soepele distributie van relatiegeschenken aan klanten en het personeel: de AVG.
Kunnen jullie direct de sokken tesamen met de brief (en in de envelop/pakketje oranje confetti) aan onze collega’s bezorgen (adressenbestand lever ik aan.)
Opdrachten inclusief bezorging aan huis voor elke medewerker komen steeds vaker voor.
Maatregelen voor beveiliging
Even een bestand met adresgegevens versturen over een onbeveiligd netwerk? Het gebeurt vaker dan je denkt. Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze persoonsgegevens. Als bedrijf ben je verantwoordelijk voor deze beveiliging en dien je passende maatregelen te nemen. De meeste adressenbestanden voor het versturen van relatiegeschenken worden via email gedeeld. De Autoriteit Persoonsgegevens (AP) geeft tips hoe je deze bestanden veilig via e-mail kunt versturen:
- Het versleutelen van de persoonsgegevens in een e-mailbijlage. Je kunt bijvoorbeeld hashing gebruiken als methode om persoonsgegevens te pseudonimiseren.
- Het versleutelen van het e-mailverkeer tussen mailservers met een of meerdere moderne internetstandaard(en). Voorbeelden van moderne internetstandaarden zijn DANE, DKIM, PGP, S/MIME, SPF en STARTTLS.
TIP: Je kunt hier een gratis e-mail test laten doen om te checken of jullie e-mailvoorziening de moderne internetstandaarden ondersteunt.
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is verplicht als een ander bedrijf persoonsgegevens van je personeel of klanten verwerkt. Die moet je met je leverancier afsluiten. Doe je dat niet? Dan zijn beide partijen in overtreding. Immers, je mag niet zomaar lijsten met NAW-gegevens aan de leverancier geven.
Is een verwerkersovereenkomst voor relatiegeschenk leveranciers verplicht?
Met een verwerkersovereenkomst sluit je als verwerkingsverantwoordelijke uit dat de andere partij (verwerker) de persoonsgegevens voor eigen doelen mag verwerken. Je mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen.
Ik krijg regelmatig vragen van bedrijven of ze met hun relatiegeschenk / kerstpakket leverancier een verwerkersovereenkomst moeten afsluiten. Het antwoord hierop is nee. Je hoeft geen verwerkersovereenkomst af te sluiten met je relatiegeschenken leverancier.
De leverancier van kerstpakketten of relatiegeschenken is zelf verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die noodzakelijk zijn voor hun dienstverlening. Denk hierbij aan namen, adressen, postcodes, woonplaatsen en eventueel telefoonnummers en e-mailadressen voor ’track & trace’-bezorging. Dat betekent dat deze leveranciers dus geen verwerkersovereenkomsten hoeft af te sluiten met hun opdrachtgevers. Meer diepgaande informatie en voorbeelden vind je hier.
Boete
De AP controleert in Nederland of bedrijven zich aan de AVG houden. Zij kunnen ook boetes uitdelen. AP is de instantie die toezicht houdt en handhaaft. De boetes kunnen oplopen tot maximaal 20 miljoen euro, of 4% van je wereldwijde omzet als je de privacywet overtreed. De eerste probleemgevallen zijn inmiddels al bekend geworden. Wat kun je eraan doen?
Persoonsgegevens verzamelen
Wil je cadeautjes of andere Direct Mail acties versturen? Dan is hiervoor in veel gevallen toestemming nodig. De AVG stelt strengere eisen aan de benodigde toestemming dan de vorige privacywet. Je kunt medewerkers (en externe relaties) vragen om in een veilige omgeving ( extra beveiligde site) zelf hun adresgegevens bekend te maken aan de verzender. Op deze manier is het doel duidelijk, en geef je toestemming om deze persoonlijke data te gebruiken.
Beschrijving van gegevensverwerking
De traditionele bijeenkomsten en rondjes van Sales langs trouwe relaties kunnen niet meer. Is goede raad duur? De KVK wijst in dit kader nog eens op de AVG-checklist van tien vragen, die ook hier van pas kan komen. Ook de Makro laat zien wat er zoal bij de verzending van kerstpakketten door een derde komt kijken. Zij garanderen dat de verwerking van adressen AVG-proof zal gebeuren, zonder daar meteen nadere uitleg bij te geven. Even doorvragen bij je kerstpakket leverancier denk ik.
Het moge duidelijk zijn, dat je als opdrachtgever de dure plicht hebt om te zorgen dat de door jou gekozen leverancier zich aan alle wetten en regels houdt, en dat ook kan aantonen. Zelf zul je minstens een soort reglement moeten opstellen als je relatiegeschenken gaat versturen naar privéadressen. Met een beschrijving van gegevensverwerking (zie voorbeeld van het ministerie van Sociale Zaken) kun je de (verzameling van) eindejaarsgeschenk-‘bestellingen’ van medewerkers of relaties correct regelen en documenteren.