De AVG / GDPR heeft voor vrijwel iedere sector ingrijpende gevolgen. Veel marketeers staan er niet bij stil, maar ook voor hen gaat er het nodige veranderen. Marketing draait immers sinds enkele jaren steeds meer om data, en die data zijn steeds vaker persoonsgegevens. Waar moeten marketeers rekening mee houden?
Verloren vertrouwen
Die honger naar data brengt echter ook de nodige risico’s en privacy-issues met zich mee. Veel consumenten hebben het vertrouwen in commerciële organisaties verloren als het gaat om respect voor hun privacy. Ze zijn er allerminst van overtuigd dat bedrijven genoeg doen om hun kostbare gegevens goed te beschermen. Dat wantrouwen wordt nog eens gevoed door grote datalekken die in het verleden breed zijn uitgemeten in de media.
Juist die ongebreidelde (maar begrijpelijke) datazucht van bedrijven en het dalende consumentenvertrouwen in privacybeleid waren belangrijke redenen voor de EU om paal en perk te stellen aan de verwerking van persoonsgegevens, en de wetgeving hieromtrent aan te scherpen.
Gevolgen voor de marketing en marketeers
Veel data die marketeers verwerken zijn herleidbaar naar personen, en dus persoonsgegevens. Dat betekent dat zij onherroepelijk te maken hebben met de AVG / GDPR. Dat heeft een aantal gevolgen voor de dagelijkse praktijk van hun beroepsuitoefening. We zetten een aantal belangrijke gevolgen voor marketeers op een rij:
Tip 1: Opt-in voor nieuwsbrieven
De AVG / GDPR stelt strenge eisen aan het vergaren van gegevens. Marketeers mogen alleen persoonsgegevens van betrokkenen (lees: klanten) verwerken die daar expliciet hun goedkeuring voor gegeven hebben. Daarbij moet de ‘standaard’ eigenlijk altijd zijn dat dat NIET het geval is.
Dat heeft een enorme impact op veel marketeers. Veel marketingafdelingen sturen namelijk allerlei e-mails naar adressen die ooit een keer zijn achtergelaten, of zelfs naar adressen die ze ergens op de kop hebben getikt. Onder de GDPR kan dat echt niet meer.
Een goed voorbeeld is het versturen van nieuwsbrieven. Organisaties mogen deze alleen versturen naar personen die daar expliciet toestemming voor gegeven hebben. Daarbij mag het vakje dat zij een nieuwsbrief willen ontvangen niet standaard zijn aangevinkt. Ze moeten daar dus bewust zelf voor kiezen, in plaats van dat ze bewust die keuze ongedaan moeten maken. Dit heet in de GDPR ‘privacy by default’.
Tip 2: Eenvoudig uitschrijven
Onder de GDPR hebben consumenten het ‘recht om vergeten te worden’. In de praktijk houdt dat in dat organisaties op ieder moment de verwerking en opslag van persoonsgegevens moeten kunnen staken, binnen een aantal uur na de aanvraag. Marketeers moeten het bijvoorbeeld erg eenvoudig maken om de inschrijving op een nieuwsbrief ongedaan te maken.
Was het e-mailadres enkel in gebruik voor het versturen van de nieuwsbrief? Dan moet dat mailadres uit alle systemen van de organisatie verwijderd worden. Ook uit de back-ups.
Tip 3: Gemakkelijke toegang tot voorkeuren en andere persoonsgegevens
Marketeers proberen hun boodschappen steeds meer op het individu toe te snijden. Daarvoor hebben ze een fijnmazig inzicht nodig in de voorkeuren van gebruikers. Volgens de GDPR hebben consumenten echter recht op een eenvoudige toegang tot hun gegevens die zij aan organisaties hebben toevertrouwd. Marketeers moeten hun gebruikers dan ook voorzien in de mogelijkheid om voorkeuren eenvoudig aan te passen. Denk bijvoorbeeld aan een account waarbij gebruikers zelf kunnen opgeven in welke onderwerpen hun interesse ligt (bijvoorbeeld voor een nieuwsbrief). Maar ook basale zaken als naam en geslacht moeten zij eenvoudig zelf kunnen aanpassen.
Dit betekent ook dat ‘gesloten’ systemen als Excel niet meer gebruikt kunnen worden als plek waar persoonsgegevens bewaard worden. In een spreadsheet kun je namelijk niet gemakkelijk zaken op afstand wijzigen. Hiervoor is op zijn minst een modern CRM-systeem nodig.
Tip 4: Eenvoudige data-export in gangbaar formaat
Een andere belangrijke wijziging die de GDPR met zich meebrengt is het recht op dataportabiliteit. Dat betekent dat consumenten hun persoonsgegevens altijd gemakkelijk moeten kunnen opvragen. Bovendien in zo’n formaat dat zij hiermee gemakkelijk naar ‘de concurrent’ kunnen stappen om daar de dienstverlening voort te zetten.
Wat betekent dat in de praktijk? Marketeers moeten ervoor waken dat hun oplossingen waarmee ze persoonsgegevens beheren, beschikken over degelijke exportfunctie. Die export moet bovendien mogelijk zijn in een door computers leesbaar formaat, zodat een andere organisatie er snel mee aan de slag kan. In de praktijk leent bijvoorbeeld een XML-formaat zich goed hiervoor.
Tip 5: Google Analytics en plugins voor social media – expliciete toestemming nodig
Veel marketeers maken gebruik van tools voor webanalytics zoals Google Analytics. Hiermee verzamelen zij gegevens over het gebruik van de website door bezoekers. Welke pagina zij bezoeken, hoe lang ze op een pagina blijven ‘hangen’, enzovoorts. Maak je hiervan gebruik, dan moet je dit onder de GDPR duidelijk melden aan je sitebezoekers. Bovendien moeten zij hiervoor akkoord geven.
Op dit moment hoef je bezoekers nog niet actief om toestemming te vragen, mits je in Analytics geen gebruikmaakt van individuele tracking-functies. Onder de AVG / GDPR, vanaf 25 mei, zul je echter in vrijwel alle gevallen om expliciete toestemming voor het gebruik van Analytics moeten vragen.
Een ander aandachtspunt zijn plugins voor social media. Met name het CMS WordPress kent veel kant-en-klare plugins waarmee gebruikers eenvoudig content kunnen delen. Deze plugins maken vrijwel allemaal gebruik van trackingfuncties. Wanneer je van deze plugins gebruikmaakt, moet je onder de AVG / GDPR dit kenbaar maken en hiervoor toestemming vragen.
Overigens wordt er op dit moment onderhandeld over een versoepeling van deze regels. Dit zal van kracht worden via de ePrivacy Regulation. Deze aanvulling op de AVG / GDPR beslaat met name zaken die van belang zijn voor digital marketing.
Tip 6: Kijk uit met gekoppelde databases
Marketingafdelingen maken vaak gebruik van diverse databases. Bijvoorbeeld het CRM-systeem, gekoppeld aan de webshop, voor het vastleggen van klantgegevens en een verkoopgeschiedenis. Daarnaast kunnen ze echter ook gebruikmaken van een aparte database voor onder andere het tonen van online advertenties. Voor marketeers zou het natuurlijk het allermooist zijn wanneer deze databases zijn gekoppeld. Je weet dan immers precies wie jouw pagina bezoekt, en wat hij/zij in het verleden al gekocht heeft.
Dergelijke vergaande profiling door het direct koppelen van databases is echter onder de GDPR in veel gevallen niet toegestaan. Organisaties maken daarmee een te grote inbreuk op de privacy van betrokkenen.
Tip 7: Hotjar – geen tracking van individuele bezoekers
Hotjar is een zeer populaire tool onder veel webmarketeers. Het houdt bij waar mensen op je site klikken, hoe lang ze naar een bepaald deel van de pagina kijken, en hoe ze zich door je site bewegen. Deze tool kan zelfs opnames maken van het gedrag van individuele bezoekers. Zelfs ‘key logging’ is mogelijk, waarbij de tool precies bijhoudt wat bezoekers precies in invoervelden invullen. Zelfs tot creditcardgegevens aan toe. Die individuele tracking is niet toegestaan onder de GDPR. Dit moet je dus uitschakelen in de Hotjar-instellingen.
Tip 8: Versleutel webformulieren
Het was al een goede gewoonte, maar onder de GDPR is het nog eens wetmatig bekrachtigd: webformulieren bied je enkel en alleen aan via een versleutelde (HTTPS) verbinding. De GDPR vereist immers voldoende technische beveiligingsmaatregelen voor de bescherming van persoonsgegevens. Persoonsgegevens ingevuld in een niet-versleuteld webformulier zijn kinderlijk eenvoudig te onderscheppen. Niet doen, dus. Je riskeert niet alleen een datalek, maar ook een forse boete.
Tip 9: Let op met e-mailadressen voor advertentieplatformen
Advertentieplatformen als Facebook, AdWords en LinkedIn laten je vaak lijsten met e-mailadressen inladen. Zo kun je eigen remarketing-campagnes en ‘look a like’-doelgroepen maken. Echter: eenmaal ingevoerd kun je individuele adressen niet meer uit deze lijsten verwijderen. Dat is onder de GDPR echter wel noodzakelijk. Tot deze mogelijkheid is toegevoegd kun je dus het beste geen gebruikmaken van deze mogelijkheid. Bovendien heb je altijd – ook hier – expliciete toestemming nodig van de consumenten om zijn/haar mailadres voor dergelijke doeleinden te mogen gebruiken.
Tip 10: Aanpassen van privacystatements
Veel marketeers verklaren in privacystatements hoe zij omgaan met de privacy van betrokkenen. Met de komst van de GDPR moeten deze uiteraard worden gewijzigd, omdat ook de marketingactiviteiten aan nieuwe spelregels moeten voldoen. Je kunt hierbij gebruikmaken van modelteksten, maar zorg er wel voor dat deze voor de volle 100% van toepassing zijn op jouw organisatie en jouw activiteiten.
Alle berichten