Online marketing

4 stappen om als marketeer de nieuwe privacywet goed na te leven

0

Het verzamelen, analyseren en toepassen van data is de laatste jaren in het algemeen flink toegenomen. Data geeft veel inzichten en helpt marketeers om processen te verbeteren, beslissingen te maken en effectiever te werken. Naast de positieve toepassing van data, wordt er ook misbruik gemaakt van persoonsgegevens. Mensen werden tot op heden tegen dit misbruik beschermd met de Wet bescherming persoonsgegevens (Wbp). Deze wet stamt uit 1995.

Maar, sinds 1995 is de wereld gedigitaliseerd. Onder andere de digitale hoeveelheid informatie over personen en de mogelijkheid om deze te koppelen is gegroeid. Daarom was vernieuwing van de privacywet noodzakelijk. Op 25 mei 2016 is daarom de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Deze wet geldt voor de gehele Europese Unie. Deze nieuwe verordening vervangt de verouderde databeschermingsrichtlijn uit 1995. Organisaties hebben tot 25 mei 2018 de tijd om de AVG te implementeren. Houd je je na deze datum niet aan de AVG, dan volgen er sancties.

Je begrijpt wellicht dat de nieuwe privacywet invloed heeft op de inzet van marketingmiddelen. Denk hierbij aan de inzet van marketing automation. In dit artikel lees je:

  1. Wat de nieuwe privacywet (AVG) inhoudt en hoe deze zich verhoudt tot de oude privacywet (Wbp)
  2. Wat de nieuwe privacywet voor e-mailmarketing en profilering betekent
  3. Hoe je ervoor zorgt dat je als marketeer de nieuwe privacywet goed naleeft (4 tips)

Wat houdt de nieuwe privacywet (AVG) in?

De nieuwe privacywet (AVG) is van toepassing op de verwerking van persoonsgegevens. In de nieuwe privacywet wordt geen onderscheid gemaakt tussen B2B en B2C. Bij het in werking treden van de AVG hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Met persoonsgegevens worden onder andere bedoeld: de naam van een persoon, een foto, het BSN-nummer, een e-mailadres, een vingerafdruk enzovoort. Over welke verplichtingen spreken we dan?

Het is goed om te weten dat de nieuwe privacywet (AVG) drie hoofdpijlers kent.

  1. Informeren & toestemming vragen
  2. Verantwoordelijkheid & aansprakelijkheid
  3. Aanvullende rechten (bijvoorbeeld verwijdering van gegevens)

1. Informeren & toestemming vragen

Eén van de belangrijkste pijlers van de nieuwe wetgeving is de verplichting om de persoon waarvan gegevens vastgelegd worden, bij vastlegging te informeren (bijvoorbeeld via een privacyverklaring op je website) over:

  • De vastlegging van de gegevens
  • Welke gegevens vastgelegd worden
  • Voor welke periode gegevens vastgelegd worden en
  • Met welk doel de gegevens worden vastgelegd

Naast het informeren is het ook verplicht om toestemming voor vastlegging van gegevens te vragen. Dit moet expliciet gebeuren. Slimme trucjes, zoals het vooraf aanvinken van een vakje waarmee een persoon ‘toestemming verleent’ voor het vastleggen van data, worden niet geaccepteerd. Dit betekent dat je zo specifiek mogelijk moet vertellen waar de betrokkene mee akkoord gaat. Zorg daarbij dat een doorsneegebruiker het allemaal begrijpt.

Onlangs kreeg ik de vraag of je ook toestemming moet vragen voor het retargetten van personen op Facebook op basis van hun e-mailadres. Ja, ook hiervoor moet je expliciet toestemming vragen, omdat je persoonsgegevens gebruikt waaraan je een persoon kunt herleiden en je wisselt deze gegevens uit met een derde partij. Het toestemming vragen doe je bij voorkeur bij het verkrijgen van de data van de consument of op een later moment bijvoorbeeld in een doelgerichte mailing hiervoor. Meer algemeen doe je dit in het privacystatement. Ik haal hierbij nog even het voorbeeld van FNV horeca aan uit het artikel van Bart van der Kooi & Sabine Straver over de privacyknelpunten van social media marketing. FNV horeca maakt gebruik van Facebook Custom Audiences en informeert haar leden daarover als volgt:

FNV Horeca gebruikt het e-mailadres van haar leden tevens voor Custom Audience targeting via Facebook. FNV Horeca maakt een Custom Audience aan door e-mailadressen van haar leden te uploaden in een advertising-tool. Deze groep kan vervolgens worden gekoppeld aan een specifieke Facebookcampagne: alleen deze Facebookgebruikers krijgen de campagne te zien. Zie voor meer informatie over Custom Audience targeting (…).

Indien jij (…) geen deel uit wilt maken van een Custom Audience advertising tool, kun je dit op ieder moment aangeven via het volgende e-mailadres: communicatie@fnvhorecabond.nl.

Verantwoordingsplicht

Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden. Zo hebben organisatie een documentatieplicht, een bewijsplicht en de verantwoordelijkheid om privacyrisico’s terug te dringen.

Dit klinkt eenvoudig, maar hoe richt je nu je database zo in, dat het duidelijk is voor welk gebruik toestemming is gevraagd en gekregen? En wanneer dit is gebeurd? En hoe zorg je dat alle systemen van up-to-date informatie zijn voorzien? Welk systeem vormt de bron van je data? Er staat vele organisaties nog een schone taak te wachten, nu het heft meer in de handen van de ‘klant’ wordt gelegd.

Documentatieplicht

Organisaties hebben een documentatieplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

Bewijsplicht tot het aantonen van geldige toestemming

Verder moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen voor het verzamelen van persoonsgegevens. In je contactenbestand moet je dus duidelijk vermelden wat de privacystatus van ieder contact is, wanneer deze, op welke manier verkregen is en waarvoor precies toestemming (mist relevant) is gegeven. En het moet voor contacten ofwel mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Pivacyrisico’s terug dringen

Ook wordt er aan organisaties gevraagd om een privacy impact assessment (PIA) uit te voeren als de beoogde gegevensverwerking een hoog privacyrisico met zich meebrengt. Denk hierbij bijvoorbeeld aan het grootschalig verwerken van data, zoals ras, godsdienst of gezondheidsgegevens. De PIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Aanvullende rechten

Naast versterking van de bestaande rechten (hierboven beschreven) krijgen mensen door de AVG een aantal aanvullende rechten:

  • Het recht om eigen persoonsgegevens in te zien, te corrigeren of te verwijderen
  • Het recht om eigen persoonsgegevens op te vragen in een toegankelijk format (bijvoorbeeld Excel) en over te dragen aan andere organisaties
  • Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens over de manier waarop organisaties met persoonsgegevens omgaan

Dit klinkt allemaal redelijk rechttoe rechtaan, maar dit kan voor organisatie best uitdagend zijn. Zo is het compleet verwijderen van een gebruiker uit alle systemen van een organisatie vaak nog niet makkelijk te bereiken. Daarnaast moet je datamanagement-proces heel flexibel zijn, want contacten kunnen het ene moment vragen om vergeten te worden om niet veel later opnieuw hun toestemming te geven voor de verwerking van hun gegevens.

Wat betekent dit voor e-mailmarketing?

Ik werk veel met klanten in e-commerce, die e-mailmarketing (waaronder abandoned-cart mailings vallen) inzetten voor het communiceren met gebruikers van hun webshop. Vaak krijg ik van hen de vraag wat bovenstaande concreet voor hen betekent. Met de nieuwe wet ben je de volgende 4 punten verplicht.

  1. Je moet toestemming vragen. Hierbij moet het voor de ontvanger duidelijk zijn waarvoor precies zijn gegevens worden gebruikt. Je kunt mensen dus niet zomaar (zonder toestemming) andere digitale content sturen die past bij hun buyer persona en gedrag op de website.
  2. Verder moet je de mogelijkheid geven dat je klanten zich altijd kunnen afmelden. Het moet duidelijk zijn waar en hoe dat kan. Bijvoorbeeld met behulp van een afmeld-link (opt-out).
  3. Je moet altijd duidelijk maken wie de afzender van de mailings is.
  4. Een no-reply adres is niet toegestaan. Je moet gebruikmaken van een e-mailadres waarop de ontvanger van de mailing op kan reageren.

Bovenstaande vereisten zijn in principe niet nieuw, voorheen moest je voor het versturen van commerciële e-mails ook toestemming vragen. En deze toestemming moest ook voldoende specifiek zijn. Maar nu moet je meer informatie opslaan over de e-mail opt-in, zoals de datum en waar exact toestemming voor is gegeven. Als je niet beschikt over deze informatie dan is de e-mail opt-in ongeldig en loop je het risico op een boete. Met de nieuwe wetgeving komt er meer aandacht voor de naleving van de privacywet en zijn de consequenties bij het niet naleven van de regels groot.

Houd er ook rekening mee dat de nieuwe wetgeving ook voor je huidige adressenbestand geldt. Hiermee bedoel ik het bestand dat je tot aan het in werking treden van de nieuwe privacywet hebt vergaard. Van deze contacten heb je vóór 25 mei 2018 een nieuwe e-mail opt-in nodig die voldoet aan de richtlijnen van de AVG, mits je hierover bezit en in contact wil blijven.

Dennis Leussink schreef hierover het artikel E-mailmarketing: zo stoom je jouw opt-in klaar voor de GDPR-wet, waarin hij concrete voorbeelden geeft hoe je op de nieuwe AVG in kunt gaan. Een praktisch artikel. Zeker de moeite waard om te lezen.

Wat betekent dit voor profilering?

Voor verschillende klanten zet ik marketing automation in om profielen van personen op te bouwen. Ook zij vragen geregeld wat er met betrekking tot profilering in de nieuwe privacywet geschreven staat. Wat nieuw is met betrekking tot profilering, is dat profilering expliciet in de nieuwe privacywet vermeld staat. Als persoonsgegevens gebruikt worden om er profielen mee op te bouwen, moeten betrokkenen geïnformeerd worden over de profilering en de gevolgen daarvan. We moeten dus wederom expliciet om toestemming vragen die met een actieve handeling (bijvoorbeeld bij het aanvinken van akkoord) gegeven wordt.

Verder moet er in jip-en-janneketaal vermeld worden waarvoor er precies toestemming gevraagd wordt. Ook hierbij hebben consumenten het recht om zich te allen tijde hun toestemming in te trekken. Waar profiling voorheen dus veelal onzichtbaar was voor de bezoeker, moeten bezoekers nu duidelijk geïnformeerd worden over het bestaan van profilering en de gevolgen daarvan. Dit doe je bij voorkeur via een privacyverklaring.

Grotendeels hetzelfde, op enkele punten aangescherpt

De grondslagen uit de oude privacywet zijn grotendeels nog wel hetzelfde, maar zijn op enkele punten aangescherpt. Zo moet de toestemming ondubbelzinnig zijn en gebaseerd op een actieve handeling. Verder is er toestemming nodig van ouders bij de verwerking van persoonsgegevens van een minderjarige onder de 13 jaar. Daarnaast hebben consumenten de mogelijkheid bezwaar te maken tegen het gebruik van hun persoonsgegevens en kunnen ze toestemming intrekken (bovengenoemde extra rechten). Beveiligingseisen (bescherming van data) nemen toe en de verantwoordingsplicht is aangescherpt voor organisaties.

Hoe zorg je er als marketeer voor dat je de nieuwe privacywet goed naleeft? 4 stappen

Als marketeer verzamel je met behulp van diverse middelen data van bezoekers. Denk hierbij aan marketing automation-systemen, waarmee je persoonsdata verzamelt om relevanter en persoonlijker te communiceren. Uiteraard met als doel een betere klantervaring en -binding. Dit soort tools brengen ook de verplichting met zich mee om in lijn met de AVG te handelen, zoals je eerder hebt kunnen lezen. Hierbij deel ik vier tips om als marketeer de nieuwe privacywet door te voeren:

  1. Ken je rechten en plichten & breng je huidige situatie in kaart
  2. Pas subscription management toe
  3. Optimaliseer je privacystatement
  4. Voer een ‘Privacy Quick Scan’ uit

1. Ken je rechten & plichten en breng je huidige situatie in kaart

Allereerst is het belangrijk om je rechten en plichten te kennen. En om je huidige situatie in kaart te brengen. Stel jezelf de volgende vragen.

  • Welke marketingtools gebruik je?
  • Welke persoonsdata vergaar je hiermee?
  • Hoe ga je nu met deze persoonsdata om en hoe zou dit moeten volgens de AVG?
  • Hoe informeer je betrokkenen nu versus de gewenste en verplichte situatie?
  • Welke mogelijkheden (wijzigen & verwijderen van persoonsdata) bied je betrokkenen nu, versus de gewenste situatie?
  • Wat betekent dit voor de inrichting van je datamanagementproces?

Op basis van je analyse bepaal je je verbeterpunten, maak je hiervoor een plan en voer je dit plan tijdig (voor 25 mei 2018) uit. Zorg er hierbij ook voor dat de juiste mensen geïnformeerd en geactiveerd worden.

2. Gebruik een preference center & pas subscription management toe

Richt een preference center in (voorkeurspagina) en pas subscription management toe. Een preference center is een pagina waarop iemand kan zien voor welke contactmomenten en/of communicatievormen (bijvoorbeeld type mailings, retargeting, offline communicatiemiddelen, zoals magazines of uitnodigingen etc.) een persoon zich kan aanmelden en waarvoor hij of zij zich al heeft aangemeld. Deze pagina kun je ook uitbreiden tot een profieloverzichtspagina, waar je contacten inzicht geeft in de verkregen en door hen verstrekte data. Hier kun je ze ook de mogelijkheid geven om de data te wijzigen en te verwijderen. Verder kun je op deze pagina ook aangeven hoelang je de data bewaart.  Marketing automation-tools bieden doorgaans de mogelijkheid tot het inrichten van een preference center met subscription management.

Het grote voordeel van een preference center met subscription management is dat je ook voorkomt dat contacten zich voor alle communicatie uitschrijven, omdat ze hier alle mogelijkheden kunnen zien en zich ook voor specifieke communicatie-uitingen in- of uit kunnen schrijven.

Maak het zo eenvoudig mogelijk

Tip: probeer het preference center zo eenvoudig mogelijk in te richten en in jip-en-janneketaal het hoe, wat, waarom uit te leggen. Benoem natuurlijk ook dat je er als organisatie alles aan doet om persoonsgegevens te beschermen. Eventueel verwijs je naar het privacy statement voor aanvullende informatie. Hiermee wek je vertrouwen en dit draagt bij aan een goede relatie.

Helaas heb ik nog geen allesomvattend, goed voorbeeld gevonden. Ik heb wel (voor het idee) een voorkeurspagina van Jetsetter toegevoegd, welke van toepassing is op hun e-mail subscriptions. Dit voorbeeld vind ik visueel en tekstueel duidelijk. Deze volstaat (nog) niet voor de nieuwe privacywet, maar deze zou goed uitgebouwd kunnen worden om wel aan de privacywet te voldoen.Preference center

3. Optimaliseer je privacystatement

Optimaliseer je privacystatement voor de nieuwe privacywet. Je kunt in de privacystatement in het algemeen informatie borgen over het naleven van de AVG. Streef ernaar om in je privacystatement alle informatie te verwerken die volgens de AVG verplicht is. Laat je privacystatement op volledigheid checken bij een jurist. Dan weet je zeker of je privacy statement volstaat.

Zelf ben ik erg gecharmeerd van de privacy policy van Microsoft, aangezien deze begrijpelijk, uitgebreid, volledig en overzichtelijk is. Als je privacystatement gereed is, plaats je deze centraal op je website, zodat deze eenvoudig bereikbaar is voor bezoekers.

4. Voer een ‘Privacy Quick Scan’ uit

Eventueel kun je ook een Privacy Quick Scan uitvoeren. De quick scan is een tool voor organisaties om op snelle en overzichtelijke wijze inzicht te krijgen in hoeverre zij voldoen aan de AVG. Na afloop van de quick scan weet je in hoeverre je voldoet aan de nieuwe privacywetgeving. En wat eventuele verbeterpunten zijn, die je als organisatie door kunt voeren. Diverse partijen bieden dit soort scans aan.

Voldoe jij al aan de nieuwe Europese privacywet ofwel aan de Algemene Verordening Gegevensbescherming (AVG)? Of heb je nog goede voorbeelden? Laat het me weten in een reactie.