De huidige privacywetgeving komt uit het jaar 1995: sinds die tijd is de wereld drastisch veranderd, vooral op digitaal gebied. Binnenkort gaat de nieuwe regeling in. Hoe speel je als marketeer in op de nieuwe wetgeving?
Mei 2016 is de nieuwe Europese privacywetgeving in werking gezet. Je hebt tot 25 mei 2018 de tijd om deze wetgeving toe te passen. Boetes lopen hoog op als jij je niet houdt aan de nieuwe Europese privacywetgeving, bekend als de Algemene Verordening Gegevensbescherming (AVG).
Als marketeer maak je veel gebruik van persoonsgegevens, vooral de laatste jaren. Het doel hiervan is om een betere band te krijgen met de klant, of juist nieuwe klanten te verwerven. Er is steeds meer informatie over je doelgroep beschikbaar en hier spelen marketeers op in. Maar let op: er gaat het één en ander veranderen.
HOE BEREID JIJ JE (MEDEWERKERS) HIEROP VOOR?
Zorg er eerst voor dat jij (en je medewerkers) op de hoogte zijn van de nieuwe regels en schat in hoeveel impact het heeft op de processen in je bedrijf. Begin op tijd met het uitvoeren hiervan, het heeft uren en mankracht nodig voordat het geïmplementeerd is.
De nieuwe wet heeft drie hoofdpijlers.
- Informeren en toestemming vragen
- Verantwoordelijkheid & aansprakelijkheid
- Aanvullende rechten, zoals verwijderen gegevens
DOCUMENTATIEPLICHT
Je bent verplicht de personen, van wie gegevens van worden opgeslagen, toestemming te vragen. Daarnaast moet je aangeven welke gegevens worden opgeslagen, voor welke periode en met welk doel dit wordt gedaan. Van te voren een vakje aanvinken wordt niet geaccepteerd, je moet specifiek vertellen wát je vastlegt en waarom. Dit doe je tijdens het verkrijgen van de data of daarna door middel van een mailing.
Je moet aan kunnen tonen dat je je aan deze wet houdt. Bedrijven moeten hun verantwoordelijkheid nemen. Hierom heb je documentatieplicht: maar hoe en waar richt je zo’n database in?
PRIVACY RISICO’S
Er wordt aan bedrijven gevraagd bij hoge risico een privacy impact assessment (PIA) uit te voeren. Dit is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. (autoriteitpersoonsgegevens.nl)
DOELGROEPGERICHT ADVERTEREN
Mocht je gebruik maken van Facebook-adverteren: bij het retargetten op e-mailadressen moet je dus óók toestemming vragen, omdat je gegevens uitwisselt met een derde partij.
Tip: Als wil gaan retargetten op social media en hierbij de e-mailadressen uit je database wil gebruiken, maak dit dan kenbaar bij de klant wanneer zij hun e-mailadres opgeven voor de nieuwsbrief. Ook moet een klant hierbij bezwaar kunnen maken. Bij het gebruik van e-mailadressen van niet-klanten moet je ervoor zorgen dat de toestemmingstekst in de verkregen opt-in staat vermeld.
Het uploaden van de klantenbestand is een heikelpunt voor juristen, ook al gebeurt dit versleuteld. Het is namelijk mogelijk dat het social platform kan zien aan wie jouw advertentie getoond wordt en op deze manier kunnen zij hier persoonsgegevens (via jou!) uithalen. Op deze manier kan een platform de door jouw ingevoerde gegevens, voor hun eigen social platform gebruiken. Het is dus mogelijk dat je persoonsgegevens niet alleen zelf gebruikt, maar ook laat gebruiken door bijvoorbeeld Facebook.
Als je gebruik maakt van Facebook heb je hun voorwaarden geaccepteerd. Hiermee geef je aan dat je privacygevoelige gegevens goed beheert en mensen ook de optie geeft hen uit te schrijven, dus dat je deze wet min of meer vóór hen nastreeft. In de soortgelijke voorwaarden van Google, Instagram en Twitter staat het ook: maak alleen gebruik van gegevens als de
klant hier toestemming voor heeft gegeven.
Regels en realiteit sluiten niet altijd op elkaar aan in de praktijk, er blijven heikel punten. Het gaat er bij deze wet om dat je organisatie aansluit bij de verwachtingen van de klant.
AANVULLENDE RECHTEN
Mensen krijgen de volgende aanvullende rechten:
- Eigen persoonsgegevens inzien, corrigeren of verwijderen
- Eigen persoonsgegevens opvragen en over te dragen aan organisaties
- Een klacht indienen bij de Autoriteit Persoonsgegevens over organisaties
E-MAILMARKETING
Sommige marketeers zetten e-mailmarketing in voor het communiceren met gebruikers van hun webshop. Denk hierbij aan iemand die een product in het winkelmandje legt, maar nog niet koopt. Wanneer deze persoon een e-mail ontvangt, dien je hiervoor ook eerst toestemming voor te vragen vragen. Gebruikers moeten duidelijk weten waarvoor de gegevens worden gebruikt. Daarnaast moet je aangeven hoe vaak je de mailing zult versturen en maak duidelijk wie de afzender is. Gebruik hiermee geen no-reply e-mailadres. Geef ook altijd de mogelijkheid om af te melden. Dit is in principe niet nieuw, maar je moet wel informatie opslaan over de mail opt-in, zoals de datum en waar toestemming voor is gegeven. Deze wetgeving geldt ook voor je huidige database, van alle contacten heb je een nieuwe opt-in nodig die voldoet aan deze richtlijnen, mits je hierover bezit en deze wil blijven gebruiken.
Marketing automation Met marketing automation kun je profielen bouwen van de verworven informatie. Vanaf nu moeten personen geïnformeerd worden hierover, en de gevolgen daarvan. Hiervoor dien je dus ook toestemming te vragen.
OVEREENKOMSTEN EN VERSCHILLEN
Veel blijft hetzelfde in vergelijking met de vorige wet. Het verschil is dat mensen toestemming moeten geven met een actieve handeling, zoals aanvinken, via bijvoorbeeld een privacyverklaring. Bezwaar maken mag nu ook.
SAMENVATTING (INFOGRAPHIC)
