STRENGERE PRIVACYREGELS IN HEEL EUROPA

U heeft waarschijnlijk al talloze keren gelezen over GDPR, de nieuwe EU-wetgeving rondom uw en mijn privacy. Als burger is het fijn wanneer uw rechten worden beschermd. Als zaakvoerder levert de nieuwe privacywetgeving een reeks kansen wanneer u goed voorbereid bent.

GDPR staat voor General Data Protection Regulation en is in het Nederlands vertaald naar AVG, ofwel Algemene Verordening Gegevensbescherming. Officieel bevinden we ons momenteel in een overgangsperiode, waarna de wetgeving vanaf 25 mei 2018 actief gehandhaafd zal worden. Niets gevreesd: de inhoud is voor een groot deel gelijk aan de vroegere privacywetgeving.

Als onderneming biedt de regelgeving u duidelijke handvatten rondom alles wat u met klantdata kan doen. Als resultaat zal SPAM minderen en uw legitieme e-mailmarketing mogelijk betere respons ontvangen, het vertrouwen van de consument in direct e-mail zal immers verbeteren. Wanneer u actief bent in meerdere EU-landen, dan vereenvoudigt dat uw marketingactiviteiten aanzienlijk. U zal uw campagnes eenvoudiger Europees kunnen uitrollen. Uw overzeese concurrenten zijn overigens verplicht dezelfde regelgeving na te leven, waardoor u geen nadeel zal ondervinden ten opzichte van hen.

UW PRIVACYBELEID AANSCHERPEN

De gegevens die u (direct of indirect) kan toeschrijven aan een natuurlijke, identificeerbare, persoon, zijn persoonsgegevens. Typische voorbeelden zijn hier een naam, e-mailadres of telefoonnummer. Maar ook de zoekgeschiedenis of een IP-adres zijn, bijvoorbeeld, persoonsgegevens. Iedere onderneming heeft dergelijke gegevens wel ergens opgeslagen, verzamelt deze actief of gebruikt deze voor analyse. U verwerkt dan persoonsgegevens en bent - op een enkele uitzondering na gelaten – verplicht de wetgeving te volgen.

Op de verwerking van specifieke ‘gevoelige’ persoonsgegevens staat een verbod. Dit zijn bijvoorbeeld zaken als ras, politieke opvattingen, lidmaatschappen vakbond, informatie over de seksuele geaardheid of genetische informatie. In de meeste gevallen mag u persoonsgegevens wel verwerken, bijvoorbeeld voor marketingdoeleinden. U dient dan wel vooraf toestemming te hebben ontvangen van uw klant of prospect. Uiteraard kunnen persoonsgegevens ook verwerkt worden voor de levering van uw producten en diensten of omdat u aan wettelijke verplichtingen moet voldoen.

Key-requirements-of-GDPR

Bron: An IDC infographic sponsored by Commvault (April 2017), www.commvault.com

De GDPR verplicht u transparant om te gaan met de rechten van de consument. Consumenten hebben het recht de bij u over hen opgeslagen gegevens op te vragen (welke u binnen 30 dagen moet beantwoorden), het recht dat deze gegevens worden overgedragen naar een andere leverancier en zelfs het recht om volledig uit al uw systemen verwijderd (‘vergeten’) te worden. Transparantie betekent ook dat u uw (potentiele) klanten actief over hun rechten informeert. Dit betekent dat u moet beschikken over een duidelijke privacyverklaring. Uiteraard dient u de gegevens adequaat te beschermen tegen een inbraak door hackers of menselijke fouten. Bent u toch slachtoffer van een datalek? Dan moet u binnen 72 uur nadat u deze ontdekt heeft een melding doen aan de Privacycommissie.

Let op: wanneer u een verzoek tot ‘vergeten’ ontvangt, dan moet u deze eigenlijk ook uit uw back-ups verwijderen. Voor de meeste ondernemingen is dit – begrijpelijk.. – geen eenvoudig proces.

data-complexity

Bron: www.commvault.com

Aan veel van bovenstaande zaken voldoet u wellicht al impliciet. Het is aan te raden om uw privacybeleid voor eind mei expliciet te maken en binnen uw onderneming benoemt wie waarvoor verantwoordelijk is en welke procedure u volgt in bovengenoemde situaties. Het geheel kan voor de meeste ondernemingen in enkele pagina’s worden samengevat. Wij adviseren u daarna uw eigen medewerkers, de partners waarmee u samenwerkt en uw klanten actief hierover te informeren.

DE IMPACT OP UW ONDERNEMING

Alleen wanneer u geen klanten, leveranciers, werknemers of andere contacten heeft zal de GDPR (nog) geen impact hebben op uw bedrijf. Ofwel: de nieuwe privacyregels gelden voor iedereen. Om de impact voor uw organisatie te bepalen dient u te inventariseren:

  • welke gegevens u momenteel waar bijhoudt;
  • hoe u deze gegevens verkregen heeft – en waar uw contacten precies mee akkoord zijn gegaan;
  • hoe u deze gegevens verwerkt.

Vanaf vrijdag 25 mei 2018 moet u zelf een register met uw verwerkingsactiviteiten bijhouden. Dat klinkt omslachtig, maar is een goede zaak. In de oude regels moest u immers telkens weer uw verwerkingsactiviteiten aanmelden bij de Privacycommissie. In dit register vermeld u uiteraard het doel van de verwerking en de categorieën van persoonsgegevens die u verwerkt heeft. Daarnaast meldt u de namen en contactgegevens van de verwerkingsverantwoordelijken.

Bepaalde ondernemingen moeten ook een Data Protection Officer (DPO) aanstellen. Deze – in goed Nederlands.. – gegevensbeschermingsfunctionaris is verplicht voor bedrijven die regelmatig of gevoelige gegevens verwerken. (Bij EMAKERS is zaakvoerder Stefan Vermeulen voorlopig DPO). Hij of zij kan door een onderneming ook vrijwillig worden aangesteld. Ook is dit niet per definitie 1 van uw medewerkers. De DPO kan er ook op toezien dat het principe van privacy by design wordt gehanteerd bij nieuwe projecten waarbij persoonsgegevens een rol spelen. Wanneer u nog geen DPO heeft aangesteld, dan doet u er verstandig aan om dat nu te doen en hem of haar verantwoordelijk te maken voor de initiele audit waarin u analyseert wat de impact van GDPR is op uw bedrijfsvoering.

PRAKTISCH

De nieuwe privacyregels stellen dat de contacten in uw database ofwel expliciet toestemming hebben moeten geven ("consent") of dat u een gerechtvaardigd belang moet hebben om deze in uw database te hebben ("legitimate interest").

GDPR-Consent-Registration-screen-collector-purpose-and-notice

Voorbeeld GDPR consent management, bron: www.b10v.com

De meeste ondernemingen hebben e-maillijsten die ze actief bewerken met verschillende marketingacties. Voor het e-mailen naar een contact moet je expliciete toestemming hebben. Dit betekent eigenlijk dat u moet kunnen aantonen dat u de adressen via een opt-in heeft verkregen, waarbij u heeft bijgehouden wanneer zij specifiek zijn akkoord gegaan, met wat en via welk IP-adres. Veel ondernemingen hebben een e-maillijst gebaseerd op een spreadsheet hier en wat visitekaartjes daar. U doet er dan goed aan uw contacten expliciet om goedkeuring, bijvoorbeeld via een nieuwe opt-in campagne, te vragen. EMAKERS voerde al dergelijke campagnes uit en onze ervaring leert dat uw contactenlijst waarschijnlijk zal worden gedecimeerd. Het is daarom een makkelijke voorspelling dat de meeste bedrijven een grote voorjaarsschoonmaak zullen doen op hun klantendatabase en u een veel kwalitatiever bestand daarvoor zal terugkrijgen.

De nieuwe regels zijn ook een goede reden om al uw accounts die toegang hebben tot klantinformatie te herbekijken. Veel ondernemingen maken gebruik van “gedeelde” accounts om bijvoorbeeld een gratis (of goedkopere) abonnement te hebben op een internetdienst. Dat is eigenlijk niet koosjer meer. Iedereen die toegang heeft tot gegevens die onder de privacywetgeving vallen (deze staan vaak in uw boekhouding-, CRM-, ERP- en e-mailingsysteem) kan u volgens ons het beste noteren in uw verwerkingsregister. Wanneer zij uw onderneming verlaten, dan verwijdert u de accounts direct en noteert u deze datum in uw register.

DE ZAKEN GRONDIG AANPAKKEN

Er kan helaas geen eenvoudige zwart/wit vergelijking worden gemaakt tussen kleine en grote ondernemingen om de impact van GDPR te bepalen. Een klein marketingbureau kan bijvoorbeeld heel actief zijn met klantgegevens – terwijl dat bij een grote bouwondernemingen minder een rol kan spelen. Primair blijft het uitgangspunt de data die u als onderneming bewerkt.

marketing-automation-pitfalls-GDPR

Bron: www.siriusdecisions.com

Wanneer woorden als CRM, data analytics, e-mailmarketing en remarketing u bekend in de oren klinken dan bent u mogelijkerwijs al op een geavanceerdere manier bezig met direct marketing. Ten opzichte van de oude regels, zijn er nieuwe regels gemaakt rondom de geautomatiseerde verwerking van persoonsgegevens waarbij bepaalde aspecten van een natuurlijke persoon worden geëvalueerd om een voorspelling te doen rondom zijn of haar (koop) gedrag. Iedereen heeft het recht om uitgesloten te worden van dit type activiteiten (beter bekend als profiling) en andere vormen van geautomatiseerde besluitvorming. Uitzonderingen hierop zijn wanneer dit nodig is om een overeenkomst te sluiten, het wettelijk is toegestaan of wanneer dit is gebaseerd op een uitdrukkelijke toestemming.

Wanneer u werkt met externen, dan doet u er goed aan de contracten met hen te herzien en/of een specifieke clausule rondom privacy toe te voegen. Zo zou u er bijvoorbeeld minstens op moeten kunnen vertrouwen dat uw partner voldoende veiligheidsmaatregelen neemt tegen eventuele datalekken.

De nieuwe privacywetgeving is identiek in de hele EU. Wanneer u actief bent in markten buiten de EU, dan spreekt het voor zich dat daar andere (strengere) privacyregels kunnen gelden waaraan u moet voldoen.

STAPPENPLAN

Wanneer u nog niet actief bezig bent met de nieuwe privacyregels binnen uw onderneming, dan bent u eigenlijk al laat. Onze ervaring is dat u toch minimaal 2 – 3 maanden nodig heeft om de regels te implementeren binnen uw organisatie.

Wat u precies moet doen verschilt van bedrijf tot bedrijf. U kan beginnen met:

  • een initiële analyse waarin u in kaart brengt welke data u gebruikt binnen uw onderneming, waar die vandaan komt, wie er (in- en extern) toegang toe heeft en waarom u die bijhoudt; binnen de nieuwe regels heet dit de Data Protection Impact Assessment (DPIA);
  • het aanstellen van een Data Protection Officer (DPO);
  • het hernieuwen van uw privacybeleid, inclusief het aanmaken van een dataverwerkingsregister;
  • het aanpassen van de processen binnen uw onderneming en het aanpassen van uw contracten met leveranciers, de arbeidsovereenkomsten, enzovoort; veel ondernemingen werken met een ‘houtje touwtje’ oplossing en handmatige koppelingen tussen verschillende databronnen, met verschillen in databron als gevolg – de nieuwe regels schreeuwen om een professionalisering op dit gebied;
  • verbetering van de (technologische) beveiliging van de gegevens in uw beheer.

Vergeet niet dat u bij nieuwe projecten het beste een privacy by design methodiek kan hanteren en u een meldplicht heeft wanneer u ondanks uw inspanningen toch een datalek ontdekt.

E-COMMERCE TRENDS 2018

e-commerce-trends-2018

MOBILE FIRST

CONVERSATIONAL COMMERCE

CROSS-BORDER E-COMMERCE

VISUAL COMMERCE

ALLE TRENDS

MOGEN WIJ U HELPEN?

(Velden gemarkeerd met een * zijn verplichte velden.)