In orde met GDPR voor 2018: hoe zit het met marketing automation?

GDPR.

Die dekselse vier letters die een hele sector op zijn kop zetten.

Je kan er namelijk niet omheen. In elke meeting, op elk event en tijdens elke lunch wordt er wel over gepraat. En niet alleen in België. Maar wat is nu waar? Wat moet je allemaal weten? En vooral: welke stappen moet jij als marketeer zetten om tegen 2018 in orde te zijn? Want één ding is zeker, het wordt geen lachertje. Al is het - als we heel eerlijk zijn - ook een opportuniteit.

Om je alvast op weg te helpen, vroegen we de privacy experts van LoQutus om voor eens en voor altijd op te lijsten wat er nu écht moet gebeuren. 

Wat is GDPR?

De GDPR - General Data Protection Regulation voor de vrienden - is een nieuwe Europese verordening die van toepassing is in alle lidstaten. Ja, zelfs in de UK na BREXIT. De nieuwe wet vervangt de databeschermingsrichtlijn uit 1995 die hopeloos achterhaald is. Door de snelle opmars van o.a. social media, de cloud en marketing automation verzamelen we meer data dan ooit tevoren. Maar die data zijn dikwijls privacygevoelig. Dus hoe ga je daar als bedrijf mee om?

De algemene insteek van deze nieuwe wet is om eindelijk duidelijkheid te scheppen over verantwoordelijkheid, aansprakelijkheid, toestemming van verwerking en rechten van het individu.

Er zijn een aantal algemene principes waar je rekening mee moet houden:

• Transparantie: als je de gegevens van iemand verwerkt, moet die persoon daarvan op de hoogte zijn. Hij moet toestemming gegeven hebben en zijn rechten kennen.
  
  
• Doelbeperking: de persoonsgegevens mogen enkel gebruikt worden voor het doel waarvoor je ze in de eerste plaats hebt verzameld.
  
  
• Gegevensbeperking: enkel de gegevens die noodzakelijk zijn om het beoogde doel te bereiken, mogen worden verzameld.
  
  
• Juistheid: de persoonsgegevens moeten correct zijn en blijven.
  
  
• Bewaarbeperking: je mag persoonsgegevens niet langer bewaren dan nodig voor het beoogde doel.
  
  
• Integriteit en vertrouwelijkheid: de persoonsgegevens die je verzamelt, moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging.
  
  
• Verantwoording: als verantwoordelijke moet je kunnen aantonen dat je aan alle regels voldoet.

Hier ontstaan al de eerste vragen:

• Wat doe je met je maandelijkse nieuwsbrief?
• Mag je die lead nurturing e-mail wel versturen?
• Moet je op elke landingspagina een dubbele opt-in voorzien?

Je kan het al uit de principes afleiden, maar in de nieuwe regelgeving wordt er ook expliciet meer rekening gehouden met de rechten van het individu, de persoon van wie je gegevens verzamelt. Zo heeft iedereen recht op:

• Informatie
• Toegang tot persoonsgegevens
• Correctie
• Vergetelheid
• Bezwaar tegen verwerking
• Overdraagbaarheid en profilering

Wanneer iemand uit jouw database dus vraagt om al zijn persoonlijke gegevens te verwijderen, is die persoon volledig in zijn recht. Let wel, je moet dan enkel de basisgegevens die hij ter beschikking stelde, verwijderen. Met andere woorden, enkel wat de persoon bijvoorbeeld in jouw formulier heeft ingevuld, moet je verwijderen.

Wist je trouwens dat de GDPR al in werking is? Vanaf mei 2016 wordt reeds verwacht dat bedrijven hun werking aanpassen aan de nieuwe regels. Op 25 mei 2018 moet dat definitief in orde zijn.

Visual via Smart Insights

In het Nederlands spreken we trouwens gewoon over AVG, de algemene verordening gegevensbescherming. AVG en GDPR zijn dus simpelweg synoniemen.

Over welke data gaat het concreet?

Persoonsgegevens. Vertrouwelijke en gevoelige informatie. Wat valt daar nu precies allemaal onder? Ook daar werd door de nieuwe wetgeving een duidelijke definitie opgesteld:

Alle informatie over een identificeerbare natuurlijke persoon.

En dat is heel wat. Het gaat hier over alle gegevens waarmee iemand geïdentificeerd kan worden, dit betekent dus ook:

• Gebruikersnamen
• Tweets
• IP-adressen
• …

Belangrijk hierbij is context. Sommige gegevens kunnen gecombineerd tot identificatie leiden. Bijvoorbeeld: een profielfoto en een geboortedatum.

Wie is verantwoordelijk?

De hamvraag. Want wie heeft het aan zijn rekker als het misgaat?

Voor al deze nieuwe aanpassingen lag de verantwoordelijkheid bij de verantwoordelijke voor de verwerking van de data. Dit is de eigenaar van de gegevens. Maar dat is een enorme verantwoordelijkheid. Verwerking van persoonsgegevens is namelijk een ruim begrip. Het gaat over het verzamelen, vastleggen, opslaan, bijwerken, wijzigen, raadplegen, gebruiken, doorzenden, verspreiden, wissen, enzovoort. Er komen veel processen, partners en personen bij kijken. Waarbij veel kan misgaan. De verantwoordelijkheid wordt nu dan ook uitgebreid waardoor iedereen apart verantwoordelijk gehouden kan worden. Kort samengevat:

De eigenaar is niet langer alleen verantwoordelijk. Elke verwerker kan nu ook verantwoordelijk worden gehouden.

Als je als leverancier of onderaannemer persoonsgegevens verwerkt, dan kan je dus maar best een verwerkingsovereenkomst sluiten. 

De impact op marketing automation

Marketing automation en persoonsgegevens gaan hand in hand. Door een systeem van landingspagina’s en formulieren verzamel je zoveel mogelijk data. Die data wordt verwerkt en vervolgens gebruikt om potentiële leads steeds verder in je sales funnel te trekken. Meer data (en meer verwerking) zorgt voor een betere ervaring en een hogere relevantie.

Waar moet je zeker op letten?

Een duidelijke landingspagina

Met conversie in het achterhoofd is het altijd al een best practice geweest om duidelijk te communiceren. Nu wordt het de norm. Waarom vraag je bepaalde informatie, hoe zal deze gebruikt worden en hoe kan iemand instemmen of weigeren? De tekst moet dus helder en duidelijk zijn.

Ook het design wordt trouwens belangrijker. Dan bedoelen we niet enkel het “visuele design” maar  het volledige design of ontwerp van je systemen en processen. Privacy bewaken moet een kerneigenschap worden in elke stap van je proces. Voor landingspagina’s betekent dit concreet dat je formulieren enkel informatie moeten bevatten die effectief nodig is om je doelen te realiseren. Vooraf ingevulde checkboxes zijn vanaf nu ook uit den boze. Van zodra iemand het formulier invult, worden er een reeks processen in gang gestoken. Deze moeten veilig en encrypted zijn. Het gaat dus verder dan enkele zinnen aanpassen. 

Een dubbele opt-in

Om zeker te zijn dat iemand éénduidig toestemming heeft gegeven om specifieke persoonsgegevens te gebruiken, voorzie je best een dubbele opt-in. Ook hier moet je duidelijk vermelden waarvoor je toestemming krijgt.

Wat moet je nu concreet doen?

Als je marketingstrategie reeds gebaseerd is op de inbound marketing filosofie, sta je er sowieso al beter voor dan je collega’s die nog steeds voor outbound marketing kiezen.

Vermits je vertrekt vanuit communicatie op maat van je doelgroep en hen enkel contacteert wanneer het voor hen relevant is,  is de stap naar GDPR-compliant minder groot. Maar dat betekent niet dat je er al bent. Deze stappen zal je sowieso moeten zetten, vóór 25 mei 2018.

• Informeer al je medewerkers
  Jouw medewerkers zijn sleutelfiguren. De verantwoordelijkheid komt nu ook bij hen te liggen omdat zij de data verwerken - remember, in de ruime zin van het woord. Stel dit dus niet uit tot het laatste moment. Gebruik de komende weken en maanden om iedereen te informeren, op te leiden en vertrouwd te maken met eventuele nieuwe processen.
  
  

• Personal data audit
  Breng zorgvuldig in kaart welke persoonsgegevens je verzamelt en waar je al deze gegevens bewaart. GDPR geldt niet enkel voor nieuwe data. Ook voor de data die je in het verleden hebt verzameld, moet je in orde zijn. Zorg dat je kan antwoorden op vragen zoals:

• Welke data verzamel ik in mijn formulieren? Heb ik al die data wel nodig?
• Welke data wordt in welk proces verwerkt? Met welk doel? Vergeet niet, je hebt documentatieplicht!
• Welke tools gebruik ik? Zijn al die tools GDPR-compliant?
• Kan ik van alle e-mail lijsten bewijzen waar ik de e-mail adressen vandaan heb?
• …
  
  

• Herbekijk bestaande contracten
  Binnen GDPR zijn er ook speciale bepalingen voor onderaannemingen. Bekijk dus zeker je bestaande contracten en stuur bij indien nodig. Let daarbij zeker op de veiligheidsmaatregelen die getroffen worden door jouw leveranciers en onderaannemers.
  
  

• Toestemming vragen (en documenteren)
  Dat de toestemming van de gebruiker een rechtstreeks gevolg moet zijn van een expliciete actie, is intussen al duidelijk. Zorg dus dat je een controlespoor hebt. Zo kan je aantonen wanneer en waarvoor een gebruiker allemaal toestemming heeft gegeven. Voorzie in je marketingstrategie een structureel proces dat toelaat aan de gebruiker om op ieder moment zijn rechten te laten uitvoeren. Is je data verspreid over verschillende klantenbestanden en databases? Dan is het geen slecht idee om alle gegevens op te nemen in een Master Data Management systeem. Zo heeft iedereen binnen de organisatie steeds een duidelijke zicht op de correcte klanteninformatie.
  
  Bovendien is dit het ideale moment om jouw huidige marketing database tegen het licht te houden. Ben je niet helemaal zeker of je wel toestemming hebt om bepaalde acties uit te voeren? Dan is een reactiveringscampagne een goed idee.
  
  

  Heb je hulp nodig bij een reactiveringscampagne? Contacteer dan zeker de experts van Dallas Antwerp >>>

   

• Opgelet met kinderen
  Verzamel je gegevens van gebruikers onder 16 jaar? Dan heb je de toestemming nodig van een ouder of voogd. Zorg er dus voor dat jouw systemen de leeftijd van gebruikers kunnen achterhalen. Zit jouw bedrijf in dit schuitje? Dan moet je met extra aandacht naar je teksten kijken. Een minderjarige moet namelijk jouw privacyverklaring kunnen begrijpen.
  
  

• Update je privacyverklaring
  De regelgeving verandert. Dus jouw privacyverklaring is waarschijnlijk niet meer up-to-date. Zorg dat er zeker in duidelijke taal instaat hoelang je gegevens bewaart, voor welke doeleinden en of je de gegevens deelt buiten de EU. Je moet ook duidelijk vermelden dat de gebruiker altijd een klacht kan indienen bij de Privacycommissie als je zijn gegevens niet correct zou verwerken.
  
  

• Meldingsplicht datalekken
  Loopt er toch iets mis? Dan ben je verplicht om het te melden. Zit je met een lek waarbij persoonsgegevens gevaar lopen? Dan moet je dit melden aan de Privacycommissie en in sommige gevallen zelfs aan de gebruiker. Zorg dat je als organisatie klaar bent voor mogelijke lekken. Ontwikkel de nodige procedures en systemen om datalekken op te sporen en te onderzoeken want je hebt maar 72 uur om het te melden. Wanneer een werknemer zijn laptop kwijtspeelt of gestolen wordt en daar staat een bestand met persoonsgegevens op of iemand verstuurt een e-mail met persoonsgegevens naar een fout adres, zit je met een lek. Het gaat hier dus niet enkel over hackers.
  
  

Wat als je niet in orde bent met GDPR tegen 25 mei 2018?

Niet in orde? Dan kan je met een serieus probleem zitten. De boetes variëren en kunnen oplopen tot 4% van je globale jaarlijkse omzet met een maximum van 20 miljoen euro.

En wat is nu het voordeel?

Er hangt veel onduidelijkheid rond GDPR. Maar er zijn zeker ook voordelen. Zo is er eindelijk een privacy standaard in de hele Europese Unie. Die duidelijkheid is belangrijk, want laat ons eerlijk zijn, vandaag doet iedereen maar wat. Als je nu lastige vragen krijgt of iemand wil zijn gegevens laten verwijderen, dan zal dat niet langer voor blinde paniek zorgen. Je moet een duidelijk proces hebben en dus ontstaat er ook meer rust in organisaties. Er zal efficiënter en correcter met data omgesprongen worden. Bovendien is er nu ook eindelijk een eenduidige visie over waar we naartoe gaan met de privacy van ons allen.

Veel marketeers spammen er al jaren op los. Nu worden ze plots verplicht om rekening te houden met de ontvanger. Betekent dit EIN-DE-LIJK het einde van storende, irrelevante reclame?
- Thierry De Vynck 

Heb je nog vragen over GDPR? Neem dan zeker contact met Dallas Antwerp of LoQutus op.

Eens praten over GDPR?