Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Met deze gloednieuwe wet wil de Europese Commissie de veiligheid van data bevorderen en aan Europese inwoners de controle over hun persoonlijke data teruggeven. De verordening zal de huidige privacyrichtlijn vervangen die reeds bestaat sinds 1995 en niet langer toereikend is in ons huidige digitale tijdperk. Maar welke impact zal de GDPR hebben op online marketing? En welke opportuniteiten brengt het met zich mee? Hieronder vind je antwoord op de belangrijkste vragen!
#1 Is de nieuwe wetgeving op mij van toepassing?
Ben je als marketeer niet zeker of de GDPR wel op jou van toepassing is? Wel, je hoeft jezelf enkel de volgende vraag te stellen: Verwerkt mijn bedrijf of het bedrijf waar ik werk persoonsgegevens van EU-burgers?
Weet wel dat de nieuwe privacywetgeving ‘persoonsgegevens’ heel ruim opvat. Uiteraard gaat het enerzijds om gegevens waarmee men de identiteit van de klant onmiddellijk kan achterhalen. Denk maar aan het verzamelen van e-mailadressen wanneer je een Facebook-wedstrijd organiseert.
Anderzijds worden ook die gegevens waarmee je iemand indirect kan identificeren beschouwd als ‘persoonsgegevens’. Indien je dus online nicknames of IP-adressen verzamelt, vergeet dan niet dat je ook onder het toepassingsgebied van de GDPR valt.
#2 Ik val onder het toepassingsgebied van de GDPR. Waarmee houd ik best rekening?
Het toepassingsgebied van de GDPR dekt een hele lading. Voor jou als social media goeroe zijn er vier zaken die je maar beter nauwlettend in de gaten houdt.
A) Toestemming
Wil je na mei 2018 persoonsgegevens verzamelen voor marketingdoeleinden? Allemaal goed, alleen heb je daarvoor een verplichte GDPR-conforme toestemming van de betrokken persoon nodig. Weet dat je een expliciet verzoek om toestemming moet indienen in begrijpbare taal en zo toegankelijk mogelijk zijn. Die toestemming kan overigens enkel worden gegeven door een ‘actie’, waaronder de bekende opt-in. De dagen van vooraf aangevinkte vakjes zijn weldra voorgoed verleden tijd.
Wanneer je als marketeer de gegevens voor verschillende doeleinden wenst te gebruiken, dan moet de gebruiker voor ieder daarvan afzonderlijk toestemming geven. En vooral: hij moet in staat zijn om te allen tijde zijn toestemming kunnen intrekken, en dat opnieuw op een eenvoudige manier.
B) Privacy by design & by default
Twee belangrijke nieuwe concepten die in de GDPR geïntroduceerd werden zijn privacy by design en privacy by default. Het komt erop neer dat men vanaf de ontwikkeling van producten en diensten (zoals websites) aandacht moet besteden aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Deze klus is vrij eenvoudig te klaren door bijvoorbeeld AdBlockers of het pseudonimiseren van persoonsgegevens.
Als tweede aspect moet je als bedrijf of social media professional zeker genoeg aandacht besteden aan dataminimalisatie. Kortom: persoonsgegevens moeten zo min mogelijk verwerkt worden – enkel wanneer het noodzakelijk is voor het doel van de verwerking. Zorg er dus steeds voor dat gegevens worden verwijderd of geanonimiseerd zodra je ze niet meer nodig hebt.
C) Geautomatiseerde besluitvorming en profilering
Voor de marketeer die aan profilering doet, veranderen er een aantal zaken. ‘Profilen’ was vroeger veelal onzichtbaar voor de surfer. Nu moet men als bezoeker duidelijk geïnformeerd worden over het bestaan van profilering en de gevolgen daarvan. Dit doe je bij voorkeur via een privacyverklaring.
Een sluitende privacy policy zal daarnaast nog belangrijk zijn om online gebruikers te informeren over het feit dat ze zich te allen tijde en kosteloos kunnen verzetten tegen directe marketing. Beslist hij of zij dit zogenaamde ‘recht van bezwaar’ uit te oefenen? Oppassen geblazen, want dan moet jij als marketeer de verwerking van persoonsgegevens onmiddellijk stopzetten.
D) Documentatieplicht
Als social marketeer is het belangrijk om even na te gaan of je huidige klantenbestand wel volledig GDPR-proof is. De GDPR verplicht immers elke onderneming om zorgvuldig alle informatie bij te houden met betrekking tot de verwerking van persoonsgegevens die zij verricht. Daarbij gaat het om een ruime waaier aan informatie: de bron van die gegevens, hoelang de gegevens bewaard zullen worden, het bewijs dat men toestemming heeft verkregen, etc.
Oh, en de consument heeft recht op inzage in deze gegevens. Zorg er dus voor dat je klantenbestand voldoende toegankelijk is. Daarnaast geeft de GDPR nu een wettelijke grondslag aan het ‘recht op vergetelheid’. Gebruikers mogen eisen dat hun verwerkte persoonsgegevens permanent uit het klantenbestand van de marketeer worden verwijderd. Wie zo’n verzoek niet inlost, wordt zwaar beboet (tot 4% van de jaarlijkse omzet!).
En tja, voor marketeers kan dat problematisch zijn. Klanten kunnen het ene moment vragen om vergeten te worden om niet veel later opnieuw hun toestemming te geven voor de verwerking van hun gegevens. Als verwerker van persoonsgegevens moet je dus snel en flexibel kunnen reageren wanneer de klant zijn toestemming geeft of intrekt. Het klantenbestand moet de privacystatus van iedere klant op elk ogenblik zo accuraat mogelijk weergeven.
#3 Is de GDPR dan een last of opportuniteit?
De GDPR heeft een enorme impact op de gegevensverwerking door ondernemingen.
Wie tegen 2018 niet helemaal compliant is, mag zich aan fikse boetes verwachten.
Het is dus cruciaal om je als onderneming tijdig voor te bereiden. Toch hoef je als marketeer deze voorbereiding niet noodzakelijk op te vatten als een last. Big data betekenen immers ook big business. In die zin mag je de GDPR ook als een opportuniteit beschouwen.
Daarnaast beschikken GDPR-proof ondernemingen over een unique selling point. Hoewel consumenten een gepersonaliseerde ervaring belangrijk vinden, zijn ze nog meer bezorgd om hun privacy online. Een onderneming die kan garanderen dat persoonsgegevens veilig zijn, heeft in de toekomst zo een stapje voor op zijn concurrenten.
Wil je meer weten over de impact van de GDPR voor jouw onderneming? We nodigen je graag uit op De Privacyproef, een hoogdag voor de privacy in Gent, op 1 juni 2017. Op één namiddag leer je alles wat er te leren valt over privacy, en wat je bedrijf het komende jaar moet ondernemen. Vergeet zeker niet de code VLCM20PP te gebruiken, en krijg 20% korting op je early bird ticket!
Dit artikel werd geschreven in samenwerking met Anouk Ruppel van deJuristen.