Innovatie

GDPR is een kans, ga er ook zo mee om!

0 8 september 2017 om 08:00 8 minuten lezen

Vanaf mei 2018 gaat het los: de GDPR wordt ingevoerd. Het gaat om een diepgaande privacywetgeving, die heel wat paniek veroorzaakt. Vooral IT en juridische afdelingen zijn onder de indruk van de hoge boetes tot 20 miljoen euro of 4 procent van de wereldwijde omzet. Maar waar het echt om gaat wordt vaak gemist. Marketeers moeten de nieuw op te bouwen vertrouwensband met hun klanten als kans gaan zien.

Jarenlang hebben we als marketeers misbruik gemaakt van de onwetendheid van de consument. Toch worden consumenten steeds mondiger en zijn ze steeds kritischer op de wijze waarop ze benaderd en gevolgd worden. Het gevaar bestaat dat een consument zich tegen je keert als hij zich niet goed behandeld voelt. De GDPR is dit voor en dwingt nu af dat marketeers hun mindset veranderen.

Onze visie is dat marketeers de nieuw op te bouwen vertrouwensband met hun klanten als kans moeten gaan zien. In dit artikel leggen we je de belangrijkste principes uit om deze kans te benutten.

De basics van de GDPR

Misschien heb je er al iets over gehoord: de GDPR (General Data Protection Regulation) of in het Nederlands de AVG (Algemene Verordening Gegevensbescherming). Deze nieuwe Europese wetgeving is in mei 2016 aangenomen en zal vanaf mei 2018 in werking treden.

De wet heeft als doel de privacy en persoonlijke gegevens van Europese burgers te beschermen en om beter aan te sluiten bij de huidige technologische ontwikkelingen. Ook de e-privacy richtlijn zal worden aangepast in lijn met dezelfde principes als de GDPR.

Consumenten zijn na de invoering volledig in de lead als het gaat om hun persoonlijke gegevens. Met één druk op de knop moeten ze alle gegevens kunnen opvragen die jij als bedrijf van hen verzamelt. Sterker nog: consumenten hebben het recht om aanpassing of verwijdering van hun gegevens te vragen.

Ook profiling en lifestyle marketing gaan drastisch veranderen, omdat de nieuwe privacywetgeving een andere aanpak van het verzamelen en beheren van persoonsgegevens afdwingt.

Is deze wetgeving op jouw organisatie van toepassing?

Zeer waarschijnlijk wel. De wet geldt voor alle organisaties die persoonlijke gegevens verzamelen of beheren van Europese burgers. ‘Persoonlijke gegevens’ omvat volgens de GDPR “alle informatie gerelateerd aan een geïdentificeerde (of te identificeren) natuurlijke persoon (‘data subject’). Een te identificeren persoon is iemand die kan worden geïdentificeerd, direct of indirect, in het bijzonder gerelateerd aan een herkenningspunt zoals een naam, identificatienummer, locatiegegevens, online ID, of op basis van één of meer van de volgende factoren: fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit.”

Kortom: elke marketingafdeling in Nederland zal met de gevolgen te maken krijgen.

Transparantie rond data is voor marketeers de kern van de wetgeving. De rest is hierop gebaseerd, bijvoorbeeld het vragen van toestemming aan consumenten voor gebruik van hun gegevens. Dit heeft weer tot gevolg dat profiling en het verzamelen van voorkeuren en gedrag aan regels gebonden is.

Transparantie rond data is voor marketeers de kern van de wetgeving.

Tot slot zijn er nog bijzondere bepalingen voor het gebruik van ‘gevoelige’ persoonsgegevens, zoals informatie met betrekking tot religie, ras, medische conditie en biometrische gegevens.

De 4 belangrijkste principes voor jouw marketingafdeling

Transparantie, toestemming, wijze van profiling en gevoelige persoonsgegevens zijn dus de belangrijkste topics voor jouw marketingafdeling.

1. Wees transparant

Laten we met het breedste thema beginnen: transparantie. Dit is tweeledig. Aan de ene kant moeten organisaties uitgebreide informatie kunnen verschaffen over de door hen verzamelde persoonlijke data en wat daarmee gedaan is/wordt. Aan de andere kant moeten consumenten de controle krijgen over hun persoonlijke data.

Dit betekent dat Europese consumenten hun data moeten kunnen inzien, laten wijzigen, laten verplaatsen (bijvoorbeeld bij het wisselen van verzekeraar) en laten verwijderen zonder onnodig oponthoud (in de volksmond bekend als ‘the right to be forgotten’).

Een voorbeeld van een uitzondering:

Als een consument zijn of haar persoonsgegevens wil laten verwijderen uit je bestanden, maar je moet de gegevens nog een bepaalde periode bewaren (om te voldoen aan wetgeving). Bijvoorbeeld: het bewaren van administratie voor de belastingdienst.

2. Vraag toestemming

Om transparant te kunnen zijn is het essentieel om toestemming (‘consent’) te vragen voor het gebruik van nieuwe persoonlijke data die je aan je database toevoegt (tenzij het om uitzonderingen gaat). De wetgeving vraagt je alleen data te verzamelen die je echt nodig hebt, ook wel data minimization. Je moet hierbij aangeven waar je deze gegevens voor gaat gebruiken. Dit moet kraakhelder zijn: “voor marketingdoeleinden” is te vaag en dus niet voldoende.

Gebruik daarom formuleringen als: “Mogen wij jouw schoenmaat hebben, zodat we alleen aanbiedingen doen die nog in jouw maat beschikbaar zijn?” en “Mogen we je locatiegegevens gebruiken om je onze dichtstbijzijnde vestiging te laten zien?” Ook moet erbij staan hoe lang je van plan bent deze gegevens te gebruiken voor dit specifieke doel.

De consent moet net zo makkelijk kunnen worden ingetrokken als het was om die te geven. Als organisatie moet je het verkrijgen van de consent kunnen aantonen, dus de datum en de bron moeten opgeslagen worden.

Tip:

Houd een exact overzicht bij met welke vraag je hebt gesteld om consent te krijgen, wanneer je die vraag hebt gesteld. Dus via welke bron en wat het antwoord was.

Een voorbeeld van een uitzondering:

Je hoeft geen consent te vragen voor het gebruik van gegevens die je nodig hebt om contractuele verplichtingen na te kunnen komen. Als online retailer heb je bijvoorbeeld een naam en adres nodig om een pakje te versturen. Je hoeft hier geen consent voor te vragen. Die heb je wel nodig als je het adres gaat gebruiken voor het verzenden van een verjaardagsattentie naar diezelfde persoon. Dit heet extending the cause.

3. Profiling

Voor veel marketeers is het een bittere pil: ben je net zo lekker op weg naar één-op-één gepersonaliseerde customer journeys, steekt de GDPR daar een stokje voor. Want profielen opbouwen, verrijken en gedrag voorspellen op basis van persoonlijke data – zonder dat de argeloze consument het in de gaten heeft – zit er niet meer in.

No-go’s: Aanbiedingen doen naar aanleiding van voorspeld gedrag, op basis van data die je over een persoon hebt. Bijvoorbeeld: een boekingssite mag geen duurdere of luxere hotelkamers aanbieden op basis van de chique buurt waar de potentiële klant woont. En een online retailer mag geen producten voorselecteren en aanbieden op basis van de leeftijd van de consument, als die bij hem bekend is.

Als je wel aan profiling wil doen, is het belangrijk om toestemming te vragen en de consument stap voor stap mee te nemen in het proces.

Een voorbeeld van een uitzondering:

Profiling mag wel als je de persoonlijke gegevens anonimiseert.

4. Bijzondere persoonsgegevens

Voor bijzondere persoonsgegevens gelden striktere regels. Het is in principe niet toegestaan deze gegevens te verwerken of op te slaan, tenzij er sprake is van een uitzonderingsgeval. Wel heb je hier als marketeer weer de optie om toestemming te vragen.

In het geval van bijzondere persoonsgegevens heb je ‘uitdrukkelijke’ toestemming (explicit consent) nodig. Bij ‘gewone’ toestemming is een bevestigende actie voldoende, zoals “Vul hier je e-mailadres is als je onze nieuwsbrief wil ontvangen.” Bij bijzondere persoonsgegevens is een uitdrukkelijk “Ja, ik ga akkoord” vereist.

Wat valt er onder bijzondere persoonsgegevens?

Het gaat hier om gegevens over:

Etnische achtergrond of ras
Politieke voorkeuren
Religieuze of levensbeschouwelijke overtuigingen
Vakbondslidmaatschap
Gezondheid
Seksuele oriëntatie en seksleven
Genetische en biometrische gegevens

Veel marketeers denken dat ze wel wegblijven bij dit soort informatie. Maar denk aan simpele voorbeelden als een smartphone die je slaapritme bijhoudt, een stappenteller op je smartwatch, een app die je calorieverbruik bijhoudt en op basis daarvan gezondheidsaanbevelingen doet.

Dit zijn allemaal bijzondere persoonlijke gegevens. Ga dus altijd goed na welke gegevens je beheert en of onderdelen daarvan vallen onder deze subcategorie.

Voorbeelden van uitzonderingen:

Het gebruiken van gevoelige gegevens mag wel als iemand het zelf publiek maakt. Bijvoorbeeld: een duidelijk politiek statement op Facebook.
Als het nodig is in het kader van een arbeidsrelatie of sociale zekerheid. Bijvoorbeeld: het bijhouden van het ziekteverzuim van een werknemer.
Als je lid wil worden of deel uitmaakt van een politieke of religieuze organisatie. Bijvoorbeeld: als je lid bent van een politieke partij. Deze partij mag dan jouw contactgegevens bewaren.
Als er sprake is van een levensbedreigende situatie. Bijvoorbeeld: als je bloed nodig hebt na een ongeluk kan je arts de benodigde bloedgroep doorgeven.

Benut je kansen met deze 5 tips & tricks

1. Ga de interactie aan met je klant

De consument is in charge: een Identity Management Systeem met een MyPage/persoonlijke pagina waar consumenten zelf hun gegevens kunnen beheren, is een waardevolle aanvulling. Een laagdrempelige manier om interactie te hebben met je klant en stapsgewijs data te verzamelen.

2. Heb je consent nodig: ja of nee?

Check als je persoonlijke gegevens gebruikt altijd of je toestemming (consent) nodig hebt – zie de consent-chart verderop in het artikel – en of je die toestemming hebt gevraagd en opgeslagen. Je verkleint hiermee de kans dat je de klant voor het hoofd stoot.

3. Registreer je toestemming

Het nieuwe buzzwoord is Consent Lifecycle Management. Zorg dat je een CRM of Identity systeem hebt waarin je de toestemming kunt registreren. Het is daarbij belangrijk dat je per element kan zien wanneer je toestemming hebt gekregen: via welke bron en voor welk doeleinde. En eventueel wanneer de toestemming is ingetrokken of voor hoelang je de toestemming hebt.

In de nabije toekomst is kennis en intelligentie omtrent consent goud waard, omdat je je eigen processen hierop kan sturen.

4. Denk na over je profiling-proces

Neem de tijd om goed na te denken over hoe je je profiling-proces invult. Welke data heb je wanneer nodig? Vraag alleen om toestemming als je ook daadwerkelijk een toegevoegde waarde kunt aantonen en bouw zo stap voor stap een profiel op. Je zult uiteindelijk wellicht minder data hebben, maar wel data met een veel hogere kwaliteit en daardoor grotere waarde.

5. Onderzoek de mogelijkheden van social registration & social login

Naast de mogelijkheden is het ook aan te raden om de valkuilen van social registration en social login te onderzoeken. Bedrijven als Facebook zullen gedrag van consumenten willen blijven registreren, ook op de website van jouw organisatie. Ook hiervoor moet extra toestemming worden gevraagd, evenals voor de uitwisseling van de Facebook-gegevens met jouw organisatie.

De verwachting is dat de grote jongens zullen proberen zich er makkelijk vanaf te maken en de verantwoordelijkheid voor de uitwisseling van data bij jou als organisatie neer zullen leggen. Het grote voordeel is uiteraard het gemak voor je klant.

Bonustip

Bewaar de informatie over de toestemming altijd langer dan strikt noodzakelijk, ook als het is ingetrokken. Zo kun je altijd aantonen dat je legaal hebt gehandeld.

Chart: heb ik consent nodig?

Een nieuwe standaard voor marketing

We worden als marketeers door de GDPR met twee voeten op de grond gezet. We hadden niet meer het belang van onze consumenten voor ogen. In plaats daarvan werden snelle conversie en oneindige retargeting en remarketing steeds belangrijker, waarbij de toegevoegde waarde voor de consument soms ver te zoeken was.

Onder de GDPR kun je nog steeds marketing bedrijven op een op datagebaseerde manier. De uitdaging is om voortdurend te zorgen voor een win-winsituatie. Klanten moeten begrijpen waarom bepaalde (op persoonlijke data gebaseerde) diensten voor hen nuttig zijn. Door bij elke stap transparant te zijn en consent te vragen, zorg je ervoor dat je vertrouwensband opbouwt met je klanten. En als een klant je leert kennen en vertrouwen, wordt het steeds makkelijker om toestemming te krijgen en een profiel op te bouwen waar een klant achter staat.

Een vriend aan je eettafel vertel je per slot van rekening ook meer dan een huis-aan-huis-verkoper voor je deur!

Lees 14 reacties

Over de auteurs

Esther Hoeksema van iWelcome

Esther Hoeksema werkt als B-to-B marketeer bij iWelcome, een van de weinige Europese organisaties gespecialiseerd in Consumer Identity & Access Management.

1 artikel Meer over Esther Hoeksema

Thomas Sonneveld van Marketing Guys

Als marketing technology specials bij Marketing Guys is Thomas dagelijks bezig met het implementeren en verbeteren van online marketing van organisaties. Hij vind hierin voldoening doordat zowel creativiteit als analytisch vermogen word aangesproken.

1 artikel Meer over Thomas Sonneveld

Lees meer over Innovatie

Innovatie

Fw+ NieuwsAlert Ontvang direct een e-mailalert als een nieuw artikel over Innovatie wordt gepubliceerd. Het door u ingevulde e-mail adres is niet correct.

Online marketing

Fw+ NieuwsAlert Ontvang direct een e-mailalert als een nieuw artikel over Online marketing wordt gepubliceerd. Het door u ingevulde e-mail adres is niet correct.

Informatiebeveiliging

Fw+ NieuwsAlert Ontvang direct een e-mailalert als een nieuw artikel over Informatiebeveiliging wordt gepubliceerd. Het door u ingevulde e-mail adres is niet correct.

Wetgeving

Fw+ NieuwsAlert Ontvang direct een e-mailalert als een nieuw artikel over Wetgeving wordt gepubliceerd. Het door u ingevulde e-mail adres is niet correct.

AVG E-privacy GDPR Privacywetgeving Social login Social registration Tech

Reacties (14)

Antwoord annuleren

Pieter Vogelaar

8 september 2017 om 9:25

Bedankt! Helder en positieve insteek.

0 likes

reageer

Sinian Nienhuis

8 september 2017 om 10:18

Hier sluit ik me geheel en al bij aan.

0 likes

reageer

Paul

8 september 2017 om 10:11

Bedankt, prima, helder stuk. We weten wat ons te doen staat!

0 likes

reageer
Eduard Blacquière

8 september 2017 om 11:46

De positieve kans van deze wet komt me bekend voor 😉
https://orangevalley.nl/blog/gdpr-privacywetgeving-2018-moet/

Mooi uitgebreid artikel met concrete aanbevelingen en voorbeelden.

3 likes

reageer
Christian Slagter

8 september 2017 om 15:47

Goed uitgebreid artikel, bedankt!

0 likes

reageer
Erik M. Hartman

11 september 2017 om 15:42

Het is goed dat jullie de aandacht vestigen op deze belangrijke nieuwe wet en een vertaling maken naar marketeers. Maar de wet is veel complexer en grijpt veel dieper in op je architectuur en processen dan hier wordt voorgespiegeld.

Ik zou die ‘consent’-poster vooral NIET gebruiken als leidraad. Toets in plaats daarvan je beleid bij een gespecialiseerde jurist of ‘data privacy officer’. Er komen nu allerlei (goedbedoelende) adviseurs op die ook denken even GDPR-advies te kunnen geven. Laat je informeren, lees artikelen en vooral de GDPR-site van de EU, maar nogmaals: raadpleeg gecertificeerde experts die hier hun vak van hebben gemaakt.

0 likes

reageer

Esther HoeksemaAuteur

13 september 2017 om 13:57

Hoi Erik,
Dankjewel voor je reactie! We willen met dit artikel zeker niet pretenderen dat we de hele GDPR uitleggen, maar puur een aantal praktische handvatten geven, en marketeers bewust maken dat GDPR ook voor hen heel relevant is. Onze organisatie houdt zich bezig met het inrichten van de IT-processen rond inlog-platformen, en in gesprekken met onze klanten viel het ons op dat het voldoen aan de GDPR-wetgeving binnen veel grotere organisaties een ‘probleem’ is dat neergelegd wordt bij de IT en juridische afdelingen. De impact op architectuur en processen is voor hen inderdaad enorm. We zijn het dan ook met je eens dat gespecialiseerde kennis hierbij onmisbaar is. Maar aanvullend vinden wij dat ook commerciële afdelingen mee moeten denken en hun rol in dit proces moeten claimen, zodat GDPR niet puur en alleen gaat om zo compliant mogelijk zijn, maar zodat je gezamenlijk kunt nadenken over een nieuwe manier van relaties leggen met je klanten en gebruikers.

0 likes

reageer
Erik Hartman

13 september 2017 om 14:59

Esther, dank voor je uitleg. Ik ben het helemaal met je eens dat GDPR een kans is om de klantrelatie opnieuw (strategisch) te bezien. En marketing heeft zeker een rol in die discussie.

0 likes

reageer
Gerben Busch

2 oktober 2017 om 9:25

We moeten de GDPR/AVG niet onderschatten maar ook zeker niet overschatten. Hij stelt eisen aan de manier waarop je data opslaat, hoe lang, privacy policy, opt-ins, recht om vergeten te worden etc. Da’s een kwestie van een plan van aanpak maken per punt op je GDPR/AVG to-do-list. Daarnaast is nog lang niet alles eenduidig verwoord in de verordening, dus ik zie het gebeuren dat er eerst nog een aantal proefprocessen worden gevoerd, voordat uiteindelijk de grenzen van deze wet helder worden bepaald.

0 likes

reageer

Stefan

14 september 2017 om 15:10

Mooi artikel!
Kort vraagje: overschrijft de GDPR alle huidige nationale wetten van de EU lidstaten? Of kan het zo zijn dat bijvoorbeeld Duitsland nog strengere regels hanteert?

0 likes

reageer

Thomas SonneveldAuteur

14 september 2017 om 16:43

Hi Stefan,
Goed dat je het vraagt. De GDPR is een directive. Eenvoudig gezegd betekent dit dat de wetgeving boven nationale wetgeving staat en wetten in eigen land overrulet.

Eerdere privacy-wetgeving moest door de lidstaten zelf worden herschreven; dit verandert nu. Hetzelfde geldt overigens voor de ePrivacy-wetgeving.

Ook hier is weer een uitzondering van toepassing: Ouders moeten tot een bepaalde leeftijd toestemming geven voor kinderen (Parental consent). Elke lidstaat mag zelf bepalen welke leeftijd dit is (standaard 16 en niet jonger dan 13).

0 likes

reageer

P. Vandenberghe, Vlaamse overheid

15 september 2017 om 14:42

2018-05-25 wordt inderdaad een belangrijke datum om naar toe te werken, samen met de collega’s van ICT & security (de data protection officer of veiligheidsconsulent). Dan moeten we gehoorzamen aan de zgn. “GDPR” EU-verordening m.b.t. veilig databeheer & privacy. Direct of indirect samenwerken met firma’s die gegevens verhandelen, wordt (verder) aan banden gelegd. Ook gebruik maken van handige “gratis” platforms die gebruikers tracken via share buttons of die bepaalde data in de VSA opslaan zonder de vereiste garanties, wordt (nog) problematisch(er). (Ik zet hier een aantal woorden tussen haakjes om aan te geven dat de huidige wetgeving ook al eisen stelt die niet altijd worden nageleefd.) De Vlaamse vereniging voor overheidscommunicatie Kortom is alvast begonnen met het inventariseren van privacyvriendelijke alternatieven à la https://dudle.hu-berlin.de/ … Ook u bent welkom om tips te delen via dit formuliertje https://www.kortom.be/formulier/251/

0 likes

reageer
Gijs Romijn

11 oktober 2017 om 9:32

Bedankt
Een korte vraag over de toestemming die moet worden gevraagd: wanneer een bedrijf data verzameld van medewerkers van organisaties (bijvoorbeeld scholen), moet dan ook van elke medewerker van die school toestemming worden verkregen (i.p.v. uitsluitend toestemming van de school zelf) of behoort dit ook tot de uitzonderingen?
Vriendelijke groet,
Gijs Romijn

0 likes

reageer
Wanda

29 januari 2018 om 13:37

Ik mis hier uitleg over IP-adressen en of die gelden als een te identificeren persoon.

0 likes

reageer

Er zijn geen resultaten gevonden voor "{{search_query}}"

Bedoelde je misschien:

{{filter.name}}

Er zijn geen resultaten gevonden voor "{{search_query}}"

Bedoelde je misschien:

{{filter.name}}

GDPR is een kans, ga er ook zo mee om!

Agenda

Antwoord annuleren