GDPR: welke impact heeft het op jouw marketing?

Business, GDPR
Written by Steven Van Duyse

GDPR. Na dalende search rankings en te weinig conversies op dit moment veruit de grootste schrik van digital marketeers en bedrijven van wie de online marketing draait rond dataverzameling. Want ondanks het feit dat de verplichte uitrol van GDPR (25 mei 2018) nog even ademruimte gunt, wordt er heel veel van je bedrijf verwacht om ‘GDPR compliant’ te zijn. We geven een wat uitgebreider beeld.

GDPR? Wat is dat?

De GDPR (voluit General Data Protection Regulation, of in het Nederlands Algemene Verordening Gegevensbescherming (AVG)) is een Europese wet die een uniforme en verstevigde bescherming van persoonlijke data tot doel heeft. De wetgeving dient vooral om consumenten te beschermen tegen allerlei malafide praktijken waarbij persoonlijke data wordt gebruikt voor minder koosjere doeleinden als spamming en phishing. De basis van GDPR is relatief eenvoudig uit te leggen in een paar punten:

Explicit consent

Heel wat (lees: veel te veel) bedrijven sturen de ene spam-mailing na de andere uit naar ontvangers die in een ver verleden een keertje hun gegevens hebben achtergelaten, of nog erger: naar hele lijsten die via cold prospecting, database scraping of andere louche praktijken zijn vergaard. De GDPR moet hier komaf mee maken, want vanaf 25 mei 2018 mag je enkel nog marketingmails sturen naar mensen die ook effectief hebben aangegeven dat ze die communicatie van jou willen ontvangen, dit via een expliciete opt-in. Heb je die niet, dan horen ze ook niet thuis in je database. Die vereiste is trouwens retroactief, dus helaas geen pardonnering voor de data die je nu al bezit zonder opt-in. Stilaan tijd om je bestaande klanten te vragen naar die opt-in.

Right to be forgotten

Consumenten of gebruikers kunnen op ieder moment van jouw bedrijf eisen om ‘vergeten' te worden. Dat betekent: de persoonlijke data van je consument verwijderen uit je databases of analysesystemen. Wanneer jij als verwerker die data hebt doorgegeven aan andere partijen, zoals aan standhouders op een event of aan softwareleveranciers, dan blijft het jouw verantwoordelijkheid om ervoor te zorgen dat hun data ook daar wordt verwijderd.

Documentatieplicht

Eenvoudig gesteld betekent documentatieplicht dat je moet bijhouden waar en hoe je de aanwezige persoonsgegevens hebt verzameld en wat je ermee doet. De oorsprong en het doel van je data moeten daarin op elk moment terug te vinden zijn, zodat je bij een eventuele controle of een dispuut steeds kan aantonen waar je de data (legaal) vandaan hebt gehaald. Data waarvan je de oorsprong niet meer weet, moeten dan ook verwijderd worden.

Actieplan voor melding bij gegevensverlies

Een van de vereisten van GDPR is dat je de verzamelde data goed en veilig beheert. Dat betekent afschermen tegen toegang door onbevoegden en beschermen tegen diefstal, misbruik en vernietiging. Ondanks alles toch het slachtoffer van een datalek? Dan ben je verplicht om dit binnen de 72 uur te melden bij de Privacycommissie en aan de gebruikers zelf. Uitstekende procedures en gedetailleerde processen die rekening houden met worst case scenario’s zijn dan ook een no-brainer. Want een datalek zit heel vaak in een klein (personeels)hoekje.

Documentering van automatische profilering 

Maak je gebruik van remarketing of marketing automation? Dan is de kans groot dat je aan automatische ‘profiling’ doet: het invullen van een bepaald profiel op basis van gelijkaardige kenmerken met andere leden van de doelgroep of op basis van bezoekersgedrag. Mag nog steeds, maar je moet het duidelijk melden in je privacy policy. 

Onze klant Aurelium vatte bovenstaande (vanuit een ICT-standpunt, niet direct vanuit marketing) perfect samen in een kort filmpje:

GDPR in 6 vragen

1. Is GDPR van toepassing op mijn bedrijf? 

Eenvoudig. Als jouw werkgever of jouw bedrijf persoonsgegevens van EU-burgers verwerkt, dan is GDPR van toepassing op dat bedrijf. Concreet betekent het dat elk bedrijf dat data verzamelt die gekoppeld kan worden aan privé-gegevens als naam of mailadres gebonden is aan GDPR. Die privé-gegevens zijn onder meer expliciete data als de voornoemde naam of email, maar ook zaken als IP-adressen, social media accounts of user accounts om te registreren op een website. Ook niet-Europese bedrijven die gegevens van EU-inwoners verwerken, moeten zich houden aan deze regels.

2.  Wat is een DPO en heb ik er een nodig?

Een DPO of Data Protection Officer is een data expert die voortdurend toezicht houdt op de naleving en implementatie van GDPR binnen een bedrijf. Zo is hij of zij mee verantwoordelijk voor het uittekenen van escalatieplannen en van het huisvaderlijk omspringen met data. Oorspronkelijk werd gezegd dat alle bedrijven van meer dan 250 werknemers zo’n DPO moesten aannemen (al dan niet op freelance basis), maar momenteel gaat het vooral over:

  • Overheidsinstanties
  • Bedrijven die hoofdzakelijk belast zijn met de verwerking van bijzondere categorieën van gegevens, zoals ras, politieke voorkeur, religieuze overtuiging of gegevens over strafrechtelijke feiten.
  • Bedrijven die hoofdzakelijk belast zijn met gegevensverwerkingen die regelmatige en stelselmatige observatie op grote schaal eisen
  • En dat zelfs al heb je minder dan 250 werknemers.

3.  Wanneer moet ik ten laatste in orde zijn met GDPR en wat zijn de mogelijke gevolgen als dat niet het geval is?

De nieuwe wetgeving rond GDPR wordt actief op 25 mei 2018. Nog geen man overboord als je er nog niet mee bezig bent, maar wel hoog tijd om te starten met de voorbereiding. Bedrijven die op die datum niet in orde zijn met GDPR en worden aangeklaagd door een gebruiker, kunnen boetes krijgen die kunnen oplopen to 4% van de wereldwijde omzet, met een maximum van 20 miljoen euro.

4. Hoe lang mag ik data dan eigenlijk bijhouden?

Niet langer dan nodig. Er wordt van bedrijven verwacht dat ze verantwoord omgaan met data van klanten en leads en enkel bijhouden wat relevant is, zolang het relevant is. Iemand die 3 jaar geleden al heeft aangegeven niet met jouw bedrijf te willen werken en verder ook geen enkele indicatie geeft van het tegendeel, hoeft niet met alle mogelijke details in je database te blijven. Het bedrijf moet net voldoende informatie over het individu behouden om ervoor te zorgen dat het deze kan verwijderen uit de marketinglijsten als die persoon daar om vraagt.

5. Moet ik mensen op de hoogte houden van die dataverzameling?

Absoluut. Een degelijke privacy policy met een verplichte melding van gebruikte cookies en andere manieren om data te verzamelen, gecombineerd met uitleg en redenen waarom die data wordt verzameld en wat er vervolgens mee gebeurt, is dan ook verplicht.

6. Mag ik gelijk welke data verzamelen?

In principe niet meer. De GDPR voorziet in het verzamelen van enkel die data die relevant zijn voor je bedrijf of actie. In de praktijk betekent dit dat elke onderneming die een product of dienst wil promoten, ervoor moet zorgen dat enkel de strict noodzakelijke data wordt gevraagd. Het verzamelen van een telefoonnummer, e-mailadres of functietitel is algemeen aanvaard, maar onderwerpen als leeftijd, bedrijfsomzet of lichaamsafmetingen kunnen als irrelevant en overbodig beschouwd worden. 

GDPR en digital marketing

Waar moeten we beginnen? Hieronder gaan we iets verder in op Analytics en marketing automation, maar de grootste gevaren liggen in het gebruik van je data in third party tools, het koppelen van anonieme data aan reeds bekende klanten en slechte instellingen. Een paar voorbeelden:

  • third party tools: laat ons Facebook en AdWords even als voorbeeld nemen. Remarketing acties opzetten op basis van een lijst mailadressen? Handig en vaak garant voor goede resultaten. Maar wat gebeurt er bij die bedrijven met die data, waar jij verantwoordelijk voor bent? Zorg dus dat je heel goed in kaart hebt gebracht waar je adressen vandaan komen en check met je softwareleveranciers hoe zij omgaan met data en data breaches. Want als er iets fout loopt, zit jij sowieso mee in het beklaagdenbankje. Eerste tip: staan onderstaande sliders actief in je Google Analytics setup, voeg dan maar meteen een melding toe aan je privacy policy.

GA-Remarketing-GDPR.jpg

    • slechte instellingen: als digital native ben je vast bekend met tools als Hotjar. De heatmapping/user response tool houdt niet alleen (anonieme) data bij over hoe mensen je site gebruiken, maar kan ook opnames maken van gebruikersgedrag. Inclusief ongecensureerde form data. Yep. Hotjar houdt standaard data bij die anonieme gebruikers de invulling van form fields bij, tot en met credit card info toe. En dan eindigt de anonimiteit en wordt jouw dataverzameling een gevaar voor je klanten. Nochtans kan je dit eenvoudig afzetten in je Hotjar settings. Een minimale vereiste onder GDPR.
Hotjar-GDPR.png
  • Analytics: In principe (een van de voorlopig grijze zones van GDPR) zou het aanvinken van ‘cookies toestaan’ in je browser volstaan als toestemming voor het gebruik van Analytics data. Maar er zijn een paar zaken die extra aandacht vereisen. GDPR gaat over ‘data die een gebruiker identificeerbaar maakt’. Analytics is in principe ‘anoniem’, maar door allerlei trucjes uit te halen met datalayers en koppelingen met andere tools kan je relatief eenvoudig anonieme data aan een bepaald persoon linken. Opletten, dus. En vooral een duidelijke cookie policy opstellen die duidelijk maakt voor welke doeleinden je die Analytics data gaat gebruiken.

GDPR en HubSpot/marketing automation

In tegenstelling tot heel wat andere marketingtechnieken, draaien Inbound Marketing en marketing automation rond de aandacht van mensen. Door het inzetten van landingspagina’s en formulieren, verzamel je toestemming van je leads om hen content toe te sturen. Elke uitwisseling van gegevens is dus met ‘consent’ en eenvoudig te traceren in je marketing automation tool.

Maar om perfect in orde te zijn, is het invoeren van een double opt-in een vereiste. Eenvoudig op te lossen met een selectievinkje onder je formulier, dat vraagt of mensen effectief je mails willen ontvangen nadat ze het formulier hebben ingevuld. Extra punt: geen vooraf aangevinkte vakjes. GDPR vereist een actie van de gebruiker voor toestemming, een vooraf aangevinkte select box is dat helaas niet. Daarnaast vereist GDPR ook dat je vermeldt waarom je data verzamelt. Je kan dus best ook vermelden:

  • Waarvoor de data wordt gebruikt (‘Om je op de hoogte te houden…')
  • Een link naar je privacy policy (kan perfect mee in de begeleidende tekst bij je opt-in)
  • Duidelijke opt-in en opt-out regels (ook in je privacy policy)

Zal deze aanpassing een drop in conversies veroorzaken? Mogelijk, zeker als je een van de frontrunners bent in deze transitie. Maar het is slechts tijdelijk, want uiteindelijk zal elk formulier deze zaken moeten bevatten.

En nu?

Er zijn al heel wat stappen die je momenteel kan uitvoeren om jezelf 'GDPR compliant' te maken:

  • Zorg voor een audit van je bestaande database en identificeer de personen die je geen expliciete toestemming hebben gegeven. 
  • Stel een workflow op om hen alsnog om toestemming te vragen
  • Maak een overzicht van de verschillende manieren waarop mensen hun contactgegevens kunnen achterlaten op je site en analyseer de mogelijke fouten daarin.
  • Maak meteen ook gebruik van dat overzicht om lijsten te maken van de verschillende manieren van toestemming en de personen die daar in passen.
  • Zorg voor een duidelijke privacy policy op je site: eentje die duidelijk is, transparant en volledig.

Meer weten?

Meer weten over de mogelijke impact van GDPR op jouw digitale marketing? ICT-bedrijf Aurelium, digital agency MIA en ondernemend advocatenkantoor Sherpa Law besloten daarom om de handen in elkaar te slaan. We bieden op 21/09/2017 een verhelderende sessie over de GDPR, de juridische implicaties ervan, de betekenis voor jouw online aanwezigheid en marketing en lichten toe wat de concrete gevolgen kunnen zijn voor jouw KMO. Klik snel op de knop hieronder om je gratis in te schrijven!

Schrijf je nu gratis in