GDPR: dit zijn de gevolgen voor (online) marketing

Lees Blog

De AVG / GDPR heeft voor vrijwel iedere sector ingrijpende gevolgen. Veel marketeers staan er niet bij stil, maar ook voor hen gaat er het nodige veranderen. Marketing draait immers sinds enkele jaren steeds meer om data, en die data zijn steeds vaker persoonsgegevens. Waar moeten marketeers rekening mee houden?

Verloren vertrouwen

Die honger naar data brengt echter ook de nodige risico’s en privacy-issues met zich mee. Veel consumenten hebben het vertrouwen in commerciële organisaties verloren als het gaat om respect voor hun privacy. Ze zijn er allerminst van overtuigd dat bedrijven genoeg doen om hun kostbare gegevens goed te beschermen. Dat wantrouwen wordt nog eens gevoed door grote datalekken die in het verleden breed zijn uitgemeten in de media.

Juist die ongebreidelde (maar begrijpelijke) datazucht van bedrijven en het dalende consumentenvertrouwen in privacybeleid waren belangrijke redenen voor de EU om paal en perk te stellen aan de verwerking van persoonsgegevens, en de wetgeving hieromtrent aan te scherpen.

Gevolgen voor de marketing en marketeers

Veel data die marketeers verwerken zijn herleidbaar naar personen, en dus persoonsgegevens. Dat betekent dat zij onherroepelijk te maken hebben met de AVG / GDPR. Dat heeft een aantal gevolgen voor de dagelijkse praktijk van hun beroepsuitoefening. We zetten een aantal belangrijke gevolgen voor marketeers op een rij:

Tip 1: Opt-in voor nieuwsbrieven

De AVG / GDPR stelt strenge eisen aan het vergaren van gegevens. Marketeers mogen alleen persoonsgegevens van betrokkenen (lees: klanten) verwerken die daar expliciet hun goedkeuring voor gegeven hebben. Daarbij moet de ‘standaard’ eigenlijk altijd zijn dat dat NIET het geval is.

Dat heeft een enorme impact op veel marketeers. Veel marketingafdelingen sturen namelijk allerlei e-mails naar adressen die ooit een keer zijn achtergelaten, of zelfs naar adressen die ze ergens op de kop hebben getikt. Onder de GDPR kan dat echt niet meer.

Een goed voorbeeld is het versturen van nieuwsbrieven. Organisaties mogen deze alleen versturen naar personen die daar expliciet toestemming voor gegeven hebben. Daarbij mag het vakje dat zij een nieuwsbrief willen ontvangen niet standaard zijn aangevinkt. Ze moeten daar dus bewust zelf voor kiezen, in plaats van dat ze bewust die keuze ongedaan moeten maken. Dit heet in de GDPR ‘privacy by default’.

Tip 2: Eenvoudig uitschrijven

Onder de GDPR hebben consumenten het ‘recht om vergeten te worden’. In de praktijk houdt dat in dat organisaties op ieder moment de verwerking en opslag van persoonsgegevens moeten kunnen staken, binnen een aantal uur na de aanvraag. Marketeers moeten het bijvoorbeeld erg eenvoudig maken om de inschrijving op een nieuwsbrief ongedaan te maken.

Was het e-mailadres enkel in gebruik voor het versturen van de nieuwsbrief? Dan moet dat mailadres uit alle systemen van de organisatie verwijderd worden. Ook uit de back-ups.

Tip 3: Gemakkelijke toegang tot voorkeuren en andere persoonsgegevens

Marketeers proberen hun boodschappen steeds meer op het individu toe te snijden. Daarvoor hebben ze een fijnmazig inzicht nodig in de voorkeuren van gebruikers. Volgens de GDPR hebben consumenten echter recht op een eenvoudige toegang tot hun gegevens die zij aan organisaties hebben toevertrouwd. Marketeers moeten hun gebruikers dan ook voorzien in de mogelijkheid om voorkeuren eenvoudig aan te passen. Denk bijvoorbeeld aan een account waarbij gebruikers zelf kunnen opgeven in welke onderwerpen hun interesse ligt (bijvoorbeeld voor een nieuwsbrief). Maar ook basale zaken als naam en geslacht moeten zij eenvoudig zelf kunnen aanpassen.

Dit betekent ook dat ‘gesloten’ systemen als Excel niet meer gebruikt kunnen worden als plek waar persoonsgegevens bewaard worden. In een spreadsheet kun je namelijk niet gemakkelijk zaken op afstand wijzigen. Hiervoor is op zijn minst een modern CRM-systeem nodig.

Tip 4: Eenvoudige data-export in gangbaar formaat

Een andere belangrijke wijziging die de GDPR met zich meebrengt is het recht op dataportabiliteit. Dat betekent dat consumenten hun persoonsgegevens altijd gemakkelijk moeten kunnen opvragen. Bovendien in zo’n formaat dat zij hiermee gemakkelijk naar ‘de concurrent’ kunnen stappen om daar de dienstverlening voort te zetten.

Wat betekent dat in de praktijk? Marketeers moeten ervoor waken dat hun oplossingen waarmee ze persoonsgegevens beheren, beschikken over degelijke exportfunctie. Die export moet bovendien mogelijk zijn in een door computers leesbaar formaat, zodat een andere organisatie er snel mee aan de slag kan. In de praktijk leent bijvoorbeeld een XML-formaat zich goed hiervoor.

Tip 5: Google Analytics en plugins voor social media – expliciete toestemming nodig

Veel marketeers maken gebruik van tools voor webanalytics zoals Google Analytics. Hiermee verzamelen zij gegevens over het gebruik van de website door bezoekers. Welke pagina zij bezoeken, hoe lang ze op een pagina blijven ‘hangen’, enzovoorts. Maak je hiervan gebruik, dan moet je dit onder de GDPR duidelijk melden aan je sitebezoekers. Bovendien moeten zij hiervoor akkoord geven.

Op dit moment hoef je bezoekers nog niet actief om toestemming te vragen, mits je in Analytics geen gebruikmaakt van individuele tracking-functies. Onder de AVG / GDPR, vanaf 25 mei, zul je echter in vrijwel alle gevallen om expliciete toestemming voor het gebruik van Analytics moeten vragen.

Een ander aandachtspunt zijn plugins voor social media. Met name het CMS WordPress kent veel kant-en-klare plugins waarmee gebruikers eenvoudig content kunnen delen. Deze plugins maken vrijwel allemaal gebruik van trackingfuncties. Wanneer je van deze plugins gebruikmaakt, moet je onder de AVG / GDPR dit kenbaar maken en hiervoor toestemming vragen.

Overigens wordt er op dit moment onderhandeld over een versoepeling van deze regels. Dit zal van kracht worden via de ePrivacy Regulation. Deze aanvulling op de AVG / GDPR beslaat met name zaken die van belang zijn voor digital marketing.

Tip 6: Kijk uit met gekoppelde databases

Marketingafdelingen maken vaak gebruik van diverse databases. Bijvoorbeeld het CRM-systeem, gekoppeld aan de webshop, voor het vastleggen van klantgegevens en een verkoopgeschiedenis. Daarnaast kunnen ze echter ook gebruikmaken van een aparte database voor onder andere het tonen van online advertenties. Voor marketeers zou het natuurlijk het allermooist zijn wanneer deze databases zijn gekoppeld. Je weet dan immers precies wie jouw pagina bezoekt, en wat hij/zij in het verleden al gekocht heeft.

Dergelijke vergaande profiling door het direct koppelen van databases is echter onder de GDPR in veel gevallen niet toegestaan. Organisaties maken daarmee een te grote inbreuk op de privacy van betrokkenen.

Tip 7: Hotjar – geen tracking van individuele bezoekers

Hotjar is een zeer populaire tool onder veel webmarketeers. Het houdt bij waar mensen op je site klikken, hoe lang ze naar een bepaald deel van de pagina kijken, en hoe ze zich door je site bewegen. Deze tool kan zelfs opnames maken van het gedrag van individuele bezoekers. Zelfs ‘key logging’ is mogelijk, waarbij de tool precies bijhoudt wat bezoekers precies in invoervelden invullen. Zelfs tot creditcardgegevens aan toe. Die individuele tracking is niet toegestaan onder de GDPR. Dit moet je dus uitschakelen in de Hotjar-instellingen.

Tip 8: Versleutel webformulieren

Het was al een goede gewoonte, maar onder de GDPR is het nog eens wetmatig bekrachtigd: webformulieren bied je enkel en alleen aan via een versleutelde (HTTPS) verbinding. De GDPR vereist immers voldoende technische beveiligingsmaatregelen voor de bescherming van persoonsgegevens. Persoonsgegevens ingevuld in een niet-versleuteld webformulier zijn kinderlijk eenvoudig te onderscheppen. Niet doen, dus. Je riskeert niet alleen een datalek, maar ook een forse boete.

Tip 9: Let op met e-mailadressen voor advertentieplatformen

Advertentieplatformen als Facebook, AdWords en LinkedIn laten je vaak lijsten met e-mailadressen inladen. Zo kun je eigen remarketing-campagnes en ‘look a like’-doelgroepen maken. Echter: eenmaal ingevoerd kun je individuele adressen niet meer uit deze lijsten verwijderen. Dat is onder de GDPR echter wel noodzakelijk. Tot deze mogelijkheid is toegevoegd kun je dus het beste geen gebruikmaken van deze mogelijkheid. Bovendien heb je altijd – ook hier – expliciete toestemming nodig van de consumenten om zijn/haar mailadres voor dergelijke doeleinden te mogen gebruiken.

Tip 10: Aanpassen van privacystatements

Veel marketeers verklaren in privacystatements hoe zij omgaan met de privacy van betrokkenen. Met de komst van de GDPR moeten deze uiteraard worden gewijzigd, omdat ook de marketingactiviteiten aan nieuwe spelregels moeten voldoen. Je kunt hierbij gebruikmaken van modelteksten, maar zorg er wel voor dat deze voor de volle 100% van toepassing zijn op jouw organisatie en jouw activiteiten.

GDPR: Maak het jezelf gemakkelijk(er)

Je zult begrijpen: de GDPR is van enorme invloed op de marketingafdeling. Wil je weten hoe YourSafetynet jouw hierbij kan helpen? Neem dan contact met ons op.

YourPrivacy - Dit moet u weten over de Privacywetgeving

YourPrivacy

YourSafetynet heeft onlangs het magazine YourPrivacy uitgegeven. Deze editie richt zich geheel op privacyproblematiek rondom datalekken en compliance-issues met de AVG/GDPR. Het magazine is kosteloos en zonder enige verplichting te downloaden.

Privacymaatregelen? Vergeet het papier niet

Met de deadline voor de AVG / GDPR in het vooruitzicht zijn veel bedrijven druk doende met de noodzakelijke voorbereidingen. Daarbij focussen velen enkel op de digitale datahuishouding en is papier een ondergeschoven kindje. Dat kan allerlei vervelende gevolgen hebben en leidt in ieder geval niet tot volledige compliance.

Is de accountant verwerkingsverantwoordelijke of verwerker?

Accountants krijgen vanaf 25 mei zonder uitzondering te maken met de nieuwe Europese privacywetgeving (AVG/GDPR). Wat dat precies betekent voor de dagelijkse praktijk, hangt voor een groot deel af van een belangrijke factor: of de accountant tijdens een opdracht de rol van externe verwerker of die van verwerkingsverantwoordelijke aanneemt.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

De nieuwe privacywetgeving nadert nu snel. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

Whitepaper GDPR

Download de Whitepaper GDPR

Wilt u meer weten over de Privacywetgeving, de AVG/GDPR en de concequenties voor uw organisatie? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een download-link.

Bedankt voor het aanvragen van de Whitepaper. Check uw e-mail... ook uw SPAM-box.