GDPR en marketeers: wat moeten we weten?

Waarover gaat het juist?

De General Data Protection Regulation is een Europese wet die dient om de databescherming te uniformiseren en te verstevigen voor individuen in de Europese Unie.  Ook niet-Europese bedrijven die klanten hebben in Europa moeten zich eraan houden. In feite is het een actualisering van de privacywetgeving van 1995, maar toen leefden we in een andere wereld.

De wetgeving dient dus vooral om consumenten te beschermen. Maar tegelijk ben je als bedrijf ook geruster als je weet dat je de nodige voorzorgsmaatregelen hebt genomen. Want als je niet in orde bent en een consument (of een groep consumenten) brengt het tot een rechtszaak, dan kan het tot een monsterboete komen: 4% van de wereldwijde omzet, geplafonneerd tot 20 miljoen euro.

De nieuwe wetgeving gaat in voege vanaf 25 mei 2018, dus je hebt nog wel even de tijd om alles in orde te brengen. Houd er echter rekening mee dat je misschien ook developers en juridisch adviseurs een aantal zaken op orde moeten krijgen, zodat je best nu actie onderneemt.

Hoe worden consumenten beschermd?

Je moet bewust je toestemming verlenen om persoonlijke gegevens te laten gebruiken. Dat betekent dat je bij het achterlaten van je persoonlijke gegevens zelf moet aanvinken (opt-in) dat je gegevens gebruikt worden en dat je ook begrijpt waarvoor.

Onbewust een gebruikersprofiel opbouwen en daar retargeting-technieken op loslaten, wordt daardoor onmogelijk. De klant consument moet het vooraf zelf aangegeven hebben dat hij ervoor open staat. Nieuwe uitdagingen voor online marketeers!

Consumenten hebben bovendien het recht om vergeten te worden. Vraag iemand om uit een database geschrapt te worden, dan moet daaraan voldaan worden.

Wie moet zich voorbereiden?

Ieder bedrijf dat persoonsgegevens verzamelt, moet zich aan de wetgeving houden. Ook het bedrijf dat whitepapers laat downloaden op zijn website, of de winkelier die een klantenkaart aanbiedt en klantgegevens bijhoudt.

De gebruiksvoorwaarden en privacybescherming moeten ondubbelzinnig en begrijpbaar opgesteld worden. Snap je zelf wel wat er allemaal instaat?

Bedrijven die meer dan 250 medewerkers te werk stellen, moeten ook een Data Protection Officer aanstellen. Dit kan ook een externe kracht zijn. Hij moet onder andere door middel van een audit in kaart brengen welke persoonsgegevens bewaard worden, hoelang die bewaard blijven, hoe die beschermd worden en wat ermee gedaan wordt. Ook als het misloopt, moet er een plan van aanpak klaarliggen.

Klaar voor GDPR in 9 stappen

1. Snelste optie: neem een GDPR-consultant onder de arm die het onderstaande voor zijn rekening neemt.
2. Lijst op waar en hoe je persoonsgegevens verzamelt.
3. Leg vast wat je met die persoonsgegevens doet. 
4. Zorg ervoor dat je toestemming hebt om die gegevens te gebruiken. Je moet een opt-in krijgen op al die onderdelen, ook voor bestaande contacten.
5. Herschrijf de privacy statement en gebruiksvoorwaarden in mensentaal.
6. Stel procedures op als iemand zijn gegevens wil inkijken, aanpassen of laten verwijderen.
7. Controleer dat alles nog werkt als je voor bepaalde persoonsgegevens geen goedkeuring meer hebt om die te gebruiken.
8. Zorg voor een goede bescherming van data (firewalls, wachtwoorden, …) 
9. Stel een actieplan op voor als het foutloopt. Je bent sowieso verplicht om een datalek binnen 72 uur te melden.