Sinds 25 mei is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Engelse benaming voor de AVG is GDPR, wat staat voor General Data Protection Regulation.
Ook voor jou als artiest is de AVG van belang. Enerzijds, omdat je veel data verzamelt van fans, zoals het e-mailadres, de naam en woonplaats van je fans. Maar bijvoorbeeld ook het surfgedrag, zoals bijvoorbeeld wordt opgeslagen met behulp van een Facebook Pixel. Anderzijds, omdat je veel data van jezelf deelt met anderen. Denk bijvoorbeeld aan een kopie van je paspoort wat je, via je boeker, deelt met een popzaal of club. De AVG gaat over alle data die te herleiden is naar een persoon.
Wat gaat er veranderen?
Zowel vanuit een juridisch- als vanuit een marketingperspectief is de AVG hele goede ontwikkeling. Het verzamelen van data wordt veel moeilijker, maar de kwaliteit van de data wordt veel beter.
Goede data is bijzonder veel waard. Wanneer jij als artiest een uitgebreide database hebt met gegevens van je fans, dan helpt dit jou om beslissingen te maken. Ook heeft het enorm veel waarde als je fans direct kan bereiken zónder tussenkomst van derde partijen, zoals Facebook of Instagram. Sterker nog, deze band met je fans bepaalt de waarde van jouw artiestenmerk: Denk eens aan de advertentiekosten die je kan besparen als je duizenden actieve fans kan bereiken met een e-mail.
De nieuwe regelgeving rondom actieve toestemming is dan ook hét grote voordeel van de AVG. Hoe meer bewust je fans zijn dat zij hun gegevens achterlaten, hoe logischer zij het vinden dat jij die gegevens gaat gebruiken. Daarmee krijgt data ineens heel veel waarde.
In de kern verandert er eigenlijk ook niets; je moet voorzichtig omgaan met de gegevens van anderen. Als je deze wil exploiteren moet je wel zorgen dat het op een verantwoorde manier gaat. De voorwaarden voor die verantwoorde manier zijn alleen wat aangescherpt en het bij elkaar harken van persoonsgegevens (data) is minder vanzelfsprekend geworden. Transparantie is key en de bescherming moet efficiënt zijn. That’s all. Hou dat in je achterhoofd en dan volgt de rest vanzelf en dan klinkt het zelfs wel logisch allemaal.
Waar gaat de AVG over?
Een aantal kernbegrippen zijn van belang om te weten wat je moet doen. Kort gezegd, houdt “verwerken” van persoonsgegevens in dat je persoonsgegevens opslaat en gebruikt. “Persoonsgegevens” is heel breed in dit kader, namelijk alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dat identificeren kan gebeuren aan de hand van een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit. IP-adressen, MAC-adressen en cookies vallen inmiddels ook onder de reikwijdte van de wet.
Als je dus aan de slag gaat met het analyseren van de data, dan heb je een zorgplicht naar de mensen van wie je de gegevens verwerkt. Die zorgplicht houdt in dat je een minimum hoeveelheid aan gegevens verwerkt. Dat betekent bijvoorbeeld dat je voor een nieuwsbrief niet de geboortedatum van iemand nodig hebt. Daarnaast moet je duidelijk omschrijven welke maatregelen je neemt om die gegevens te beschermen. Dat omschrijven, kan je doen in je privacy statement, cookieverklaring en bijvoorbeeld in je algemene voorwaarden.
Als het collecteren en verwerken van persoonsgegevens wordt uitbesteed aan een andere partij, zoals een ICT-leverancier, online offerte- en facturatieprogramma, hosting service of een marketingbedrijf, dan moet je daarmee een zogenaamde “verwerkersovereenkomst” sluiten. Gelukkig zijn daar online tal van voorbeelden over te vinden. In zo’n overeenkomst staan afspraken over de geheimhouding, beveiligingsmaatregelen en wat er van toepassing is bij een datalek. Heel belangrijk is ook dat persoonsgegevens ingezien, gewijzigd en gewist kunnen worden op verzoek van de persoon wiens gegevens zijn verwerkt en dat deze persoon zijn of haar data moet kunnen ontvangen en deze data weer aan een andere organisatie kunnen leveren.
Wat moet ik nú doen?
Voor artiesten is het op dit moment vooral van belang om over de expliciete toestemming na te denken:
1 – Maak je gebruik van een e-mailmarketingprograma, zoals Mailchimp? Controleer of je kan zien waar en wanneer jouw fans toestemming hebben gegeven om e-mail van jou te ontvangen. In Mailchimp wordt dit opgeslagen in de source en dat added velden.
2 – Heb je op je website een formulier staan waarop fans zich in kunnen schrijven voor jouw nieuwsbrief? Controleer of je daar voldoende uitlegt waar je het e-mailadres voor gaat gebruiken. Mailchimp biedt tegenwoordig een standaardoptie ’GDPR Forms’ aan, waarmee je op een juiste manier expliciete toestemming vraagt. Maar let op: Als je een dynamische e-mailcampagne maakt op basis van data, zoals eerdere aankopen, heb je daar aparte toestemming voor nodig (legitimate interest).
3 – Wanneer je een CD of t-shirt via jouw eigen webshop verkoopt, is het is niet meer vanzelfsprekend dat je het e-mailadres van de koper aan je mailinglijst mag toevoegen. Er is immers geen explicitie toestemming gegeven. Vraag aan je websitebouwer of er op het bestelformulier een vinkje kan worden toegevoegd om toestemming voor je nieuwsbrief te verkrijgen.
4 – Zorg dat je website een SSL certifcaat heeft, waarmee je jouw fans de garantie geeft dat hun persoonsgegevens op een veilige manier naar jou worden verstuurd.
5 – Zorg dat je website een duidelijke cookiemelding en privacystatement heeft, en dat bij voorkeur je tracking pixels, zoals de Facebook Pixel, pas worden geladen nadat een fan expliciete toestemming heeft gegeven.
Verzamel je als artiest helemaal geen data van en over je fans? Dan is dit een mooi moment om daar direct mee te starten, natuurlijk geheel conform de AVG wetgeving.
Controle en boetes
Als het misgaat, bijvoorbeeld door een security breach, waar je op het nieuws weleens wat over hoort, dan komt die transparantie en efficiëntie naar voren. Je moet zoiets melden bij de Autoriteit Persoonsgegevens (AP). Als je bijvoorbeeld een harde schijf kwijt raakt en de betrokkenen kunnen daar de dupe van worden, dan moet je ze dat melden.
Een stok achter de deur bij dit alles, zijn de boetes die de AP kan opleggen. Die boetes zijn best wel fiks; tot 4% van je jaaromzet. De vraag is natuurlijk wel hoe hard en snel ze gaan controleren en boetes gaan uitdelen, maar als het even kan, moet je zo’n boete proberen te voorkomen. Niet alleen voor het geld, maar met name ook voor de bescherming van de rechten van de personen wiens gegevens je gebruikt.
Het gaat de reikwijdte van dit blog te buiten om alle regels en vooral ook alle uitzonderingen te behandelen. Het meest duidelijke en volledige blijft hierin de “officiële” informatie. Leidend in die informatie zijn de website van de Autoriteit Persoonsgegevens en de website van de Overheid. Bijna alle informatie die je over de AVG kan vinden is afgeleid uit het superhandige AVG-10 stappenplan en de Handleiding Algemene Verordening Gegevensbescherming. Als je dus echt van de hoed en de rand wil weten, dan raden we je aan om deze twee links goed te bestuderen.
Carlo Kiksen is digital marketeer en brand manager. Met zijn agency SMOOTH & GOOD ondersteunt hij artiesten en muziekmerken met digitale strategie, marketingcampagnes en online branding. Carlo heeft een wekelijkse nieuwsbrief waarin hij de laatste ontwikkelingen op het gebied van marketing en branding in de muziek bespreekt. Inschrijven kan op https://mailing.carlokiksen.nl/
Sander Petit is de oprichter van Petit Legal. Sander is als advocaat gespecialiseerd in media- en entertainment, intellectueel eigendom en contractenrecht. Hij richt zich met name op de muziekindustrie en helpt allerlei ambitieuze partijen in die sector met advies, contracten, de bescherming van rechten en procedures bij de rechtbank. Sander geeft daarnaast regelmatig gastcolleges en workshops over rechten en schrijft artikelen voor bijvoorbeeld DJ Mag NL en Dancefair. Via Facebook, Twitter en vooral Instagram, geeft Sander als De Dance-advocaat allerlei handige tips en tricks. Op zijn website, www.danceadvocaat.nl, staan veel uitgebreide blogs over zijn ervaringen als advocaat en juridische ontwikkelingen. Sander heeft gewerkt voor diverse dj’s uit de DJ Mag Top 100, management- en boekingskantoren, platenmaatschappijen en (muziek)uitgevers, (inter)nationale promotors, websites en (ghost)producers en helpt jou graag om aan de top te komen of om daar te blijven.
Deze column verscheen eerder bij Music Motion.