Ben jij op tijd klaar voor de GDPR?
De GDPR is een nieuwe wet waar iedere (online) organisatie die persoonsgegevens verwerkt serieus mee aan de slag moet, vóór 25 mei 2018.
De wet schrijft voor hoe je persoonsgegevens mag verwerken, wanneer je deze gegevens mag vragen en welke rechten het individu waarvan je de gegevens opslaat zelf heeft. De General Data Protection Regulation (GDPR) is bedoeld om de privacy van alle Europese burgers te beschermen, en om bedrijven duidelijk te maken hoe dat moet gebeuren.
De wet is nogal uitgebreid en het zal de huidige, vaak incomplete en verouderde, nationale wetten gaan vervangen.
Binnen en buiten de EU
De EU probeert om met GDPR zo compleet mogelijk te zijn. De wet geldt voor EU-landen, maar ook bedrijven in landen buiten de EU die persoonsgegevens van EU-burgers verwerken moeten aan de wet voldoen. Denk hierbij aan bedrijven als Facebook, MailChimp, Salesforce, HubSpot, Twitter en LinkedIn. De EU blaast met deze wet dus een aardig partijtje mee op het wereldtoneel van internet en privacywetgeving.
Klein en groot
GDPR heeft dus een flinke impact op de grote jongens. Heb je minder dan 20 medewerkers? Dan moet je weliswaar aan minder voorwaarden voldoen, maar ook dan kun je er maar beter serieus werk van maken.
De wet is namelijk geen papieren tijger. Hij heeft echte tanden in de vorm van boetes die oplopen tot 4% van de (wereldwijde) omzet van een bedrijf, met een maximum van 20 miljoen euro. Een risico waar menig dataverzamelaar van terugschrikt.
Waarom wil je voldoen aan de GDPR?
De voornaamste motivatie om te willen voldoen aan de GDPR regels, is dat je klanten zich steeds bewuster worden van privacy. Ze vinden het steeds vaker belangrijk dat je zorgvuldig met hun persoonsgegevens omgaat.
Heb je de GDPR goed geïmplementeerd, dan weet iedereen in jouw organisatie die met persoonsgegevens werkt hoe ze hiermee om moeten gaan. Dit is op zichzelf al een flink pluspunt voor het vertrouwen dat een klant of consument in jou als organisatie heeft. De manier waarop je persoonsgegevens verkrijgt, verrijkt, gebruikt, opslaat en verwijdert moet transparant zijn.
Zie de wet als een kans om je (online) bedrijfsproces nu eens goed in te richten en het voor iedereen makkelijk te maken om dit te volgen. Zo ben je goed voorbereid op eventuele vragen van klanten of prospects.
De belangrijkste onderdelen van GDPR
De gehele wet telt maar liefst 88 pagina’s. Wij vatten de belangrijkste punten hieronder voor je samen.
1. Geef specifiek aan waarom je persoonsgegevens opslaat
Wees eerlijk en duidelijk in wat iemand kan verwachten. Waar ga je de persoonsgegevens precies voor gebruiken? Een algemene privacy policy is niet langer voldoende. De wet wil dat iemand vrijelijk, specifiek én geïnformeerd toestemming geeft voor het opslaan en gebruiken van zijn/haar persoonsgegevens.
Wees duidelijk in wat je vraagt. Multi-interpretabele voorwaarden zoals ‘ gebruik voor promotiedoeleinden’ mogen niet meer. Wil je straks via WhatsApp klanten benaderen, maar heb je niet afgesproken dat je de opgeslagen telefoonnummers daarvoor gaat gebruiken? Dan moet de klant hiervoor opnieuw toestemming geven. Plaats dus een duidelijke privacy policy bij een online formulier waarin je duidelijk maakt wat de bedoeling is en bewaar in je CRM welke toestemming iemand heeft gegeven.
2. Power to the people
Degene waarvan je gegevens opslaat krijgt met deze wet veel meer rechten. Hiermee krijgt het bedrijf dat de gegevens verwerkt juist meer plichten. Zorg dat je de volgende verzoeken transparant, compleet en zonder omwegen kan inwilligen.
• Vergeet mij: Iemand mag je verzoeken om alle data over hem te verwijderen binnen een redelijke termijn. Om dit te kunnen doen moet je weten waar deze data allemaal is opgeslagen en hoe je kunt aantonen dat je deze hebt verwijderd.
• Bezwaar: Een individu mag bezwaar maken tegen het gebruik van zijn persoonsgegevens voor bepaalde ‘data uses’ (bijvoorbeeld het retargeten via Facebookadvertenties).
• Rectificatie: Verzoeken om incomplete of foute gegevens te wijzigen. Mijn naam is Pieter, niet Peter, wijzig dit a.u.b. in al je systemen.
• Toegang: Inzage in welke data er over iemand is verzameld en op welke manier. Iedereen mag straks een uitdraai van zijn eigen gegevens opvragen.
• Overdraagbaar: Iemand mag vragen om al zijn data te verhuizen naar een andere partij, bijvoorbeeld bij het overstappen van energiemaatschappij of internetprovider.
• Notificatie: Is er een datalek? Of is een hacker er vandoor gegaan met alle persoonsgegevens en wachtwoorden? Meld dit dan direct aan de Autoriteit Persoonsgegevens én de getroffen klanten.
3. Strengere regels voor verwerking van persoonsgegevens
Werken met persoonsgegevens vraagt om een nauwkeurige structuur. Dat begrijpt deze wet heel goed. Als organisatie ben je verplicht om eerlijk en transparant te zijn over het verwerken van persoonsgegevens. Aanstellen van een ‘data controller’ kan daarom handig zijn. Diegene wordt dan de directe contactpersoon bij verzoeken zoals hierboven zijn genoemd.
Verder spreekt de wet over dataminimalisatie, wat erop neerkomt dat je nooit méér data mag verzamelen dan nodig is voor jouw doel. Een voorbeeld: als wij bij Presenter om je geboortedatum vragen in het downloadformulier voor een whitepaper over Marketing Automation, dan heeft dat geen waarschijnlijk nut (tenzij we aan zouden geven dat we je graag een verjaardagskaart willen sturen). Met ingang van de GDPR mag dit dan ook niet meer.
Om hieraan te voldoen werken we momenteel zelf aan een privacy policy bij onze formulieren waarmee we in begrijpelijke taal toelichten waarvoor je toestemming geeft, een klus die veel bedrijven in 2018 moeten ondernemen.
4. Bewaartermijn van gegevens
Ook een belangrijke eis: de bewaartermijn (retentieperiode). Je mag de gegevens van een contactpersoon niet oneindig lang bewaren zonder daar een goede reden (zoals overheidsverplichting) voor te hebben. Die lead die al 3 jaar geen klant geworden is, mag dus verwachten dat zijn persoonsgegevens inmiddels wel verwijderd zullen zijn. Eindeloos oude leads benaderen is er dus niet langer bij.
5. Welke externe partijen verzamelen namens jou persoonsgegevens?
Maar wat als je de gegevens inkoopt of laat verwerken door een derde partij? Dit ontslaat jou als organisatie niet van de verantwoordelijkheid om zorgvuldig en conform GDPR om te gaan met de (aangekochte) gegevens.
Je moet kunnen aantonen dat je dit zorgvuldig en naar de letter van deze wet doet. Externe leveranciers zijn momenteel druk bezig om aan hun klanten uit te leggen hoe zij voldoen aan de wet, of ze bereiden zich er op voor (zo niet, dan is dit een wake-up call). Heb je van jouw externe leverancier(s) die namens je bedrijf persoonsgegevens verwerken nog niets gehoord, dan is dit een goed moment om ze daar vragen over te stellen. Zelf zou je in je privacy policy wellicht in het kader van transparantie aan willen geven wie de gegevens allemaal voor je bewerkt en opslaat.
Hoe kan Marketing Automation jou het leven makkelijker maken?
Gebruik je een Marketing Automation systeem om je leads, prospects en klanten te benaderen, te volgen en te voorzien van relevante content en services (bijv. Hubspot, Act-on, Pardot, Eloqua, etc.)? Dan heb je als het goed is al 1 systeem waarin alle persoonsgegevens voor marketing & sales activiteiten worden opgeslagen. Een systeem dat daarbij ook centraal opslaat welke actie wanneer is ondernomen. Dit maakt de bewijslast van GDPR een stuk eenvoudiger. Je kunt dan, mits juist ingericht, met een druk op de knop aantonen wanneer en waarvoor je de toestemming hebt verkregen, hoe je de gegevens verwerkt en bewerkt, waar de gegevens zich allemaal bevinden en, last but not least, wie er allemaal toegang heeft tot deze gegevens.
Presenter (Hubspot Agency Partner) gebruikt hiervoor Hubspot Marketing & Sales als toolset. In het CRM systeem, dat we gebruiken voor o.a. formulieren, nieuwsbrieven en de verwerking van persoonsgegevens voor duizenden contacten, is eenvoudig te zien wat er wanneer werd verwerkt. In 1 klik zie je aan welke campagne de informatie gekoppeld was (dus waarom bepaalde gegevens zijn gebruikt of opgeslagen) en wie de gegevens heeft geëxporteerd naar een extern bestand (zoals Excel).
Naast dat het werken met Hubspot een hele fijne methode is om je marketing en communicatie centraal en gericht uit te voeren, heeft deze tool voor ons dus nog een fiks voordeel: We gaan in mei 2018 zeker voldoen aan de GDPR wetgeving!
Tijd voor actie!
Ondanks dat de EU lang heeft gewerkt aan de wet, blijft het altijd zo dat je een wettekst op verschillende manieren kan interpreteren. Je moet dus serieus aan de slag met het thema privacy en persoonsgegevens, voordat de nieuwe wet in mei 2018 van kracht wordt. Veel (vooral grote) organisaties hebben al een Privacy Officer aangewezen die vragen van individuen kan beantwoorden. Toch moeten ook de systemen en processen die persoonsgegevens verwerken ingericht zijn om inzicht te geven in het Wie, Wat, Wanneer en Waarom van de gegevens.
Het feit dat iemand jou ooit toestemming heeft gegeven voor het opslaan en gebruiken van zijn/haar persoonsgegevens, ontslaat jou niet van het overleggen van een duidelijk beleid en bijbehorende data. De klant in kwestie (of de wetgever) kan je daar gewoon om vragen.
Meer weten?
Met onze GDPR checklist krijg je een beeld van de huidige staat, wat je nog te doen staat en hoe je dit het beste aan kunt pakken.
Over de auteur: Pieter Vlamings
Online communicatie is constant in verandering en bij Presenter komen we veel verschillende klanten tegen die we met actuele kennis steeds in een nieuwe situatie van dienst kunnen zijn. Mijn specialisme is online marketing en Inbound Marketing welke ik inzet als Senior Online Adviseur.
Klinkt goed Pieter, maar heeft Hubspot niet in de voorwaarden staan dat ze de data opslaat op Amazon in Amerika? En daar Amerika onder de patriot act valt, niet bepaald veilig en conform GDPR. Dus hoe ga je dan voldoen aan GDPR?
Hi Peter, een terechte zorg die wij ook vorig jaar hebben geuit bij Hubspot. De servers voor Europese klanten staan bij de ingang van de nieuwe wet in Duitsland, de patriot act gaat dus gelukkig niet meer op. Er is een ingrijpende operatie geweest en nog steeds gaande om te verzekeren dat Hubspot zelf en in de werkingen van het systeem de gebruikers hiervan volledig kunnen voldoen aan de nieuwe wetgeving. Het vergt nog steeds werk om dit slim in te stellen maar alle voorwaarden om te kunnen voldoen zijn er.