De nieuwe millenniumbug is gevonden: GDPR, of de General Data Protection Regulation. Het heeft niets te maken met een bug, en ook niet met de overgang naar een millennium, maar het is wel een tikkende tijdbom waar iedereen zich tegen moet beschermen. Ook marketeers.
De General Data Protection Regulation is een Europese wet die dient om de databescherming te uniformiseren en te verstevigen voor individuen in de Europese Unie. Ook niet-Europese bedrijven die klanten hebben in Europa moeten zich eraan houden. In feite is het een actualisering van de privacywetgeving van 1995, maar toen leefden we in een andere wereld.
De wetgeving dient dus vooral om consumenten te beschermen. Maar tegelijk ben je als bedrijf ook geruster als je weet dat je de nodige voorzorgsmaatregelen hebt genomen. Want als je niet in orde bent en een consument (of een groep consumenten) brengt het tot een rechtszaak, dan kan het tot een monsterboete komen: 4% van de wereldwijde omzet, geplafonneerd tot 20 miljoen euro.
De nieuwe wetgeving gaat in voege vanaf 25 mei 2018, dus je hebt nog wel even de tijd om alles in orde te brengen. Houd er echter rekening mee dat je misschien ook developers en juridisch adviseurs een aantal zaken op orde moeten krijgen, zodat je best nu actie onderneemt.
Je moet bewust je toestemming verlenen om persoonlijke gegevens te laten gebruiken. Dat betekent dat je bij het achterlaten van je persoonlijke gegevens zelf moet aanvinken (opt-in) dat je gegevens gebruikt worden en dat je ook begrijpt waarvoor.
Onbewust een gebruikersprofiel opbouwen en daar retargeting-technieken op loslaten, wordt daardoor onmogelijk. De klant consument moet het vooraf zelf aangegeven hebben dat hij ervoor open staat. Nieuwe uitdagingen voor online marketeers!
Consumenten hebben bovendien het recht om vergeten te worden. Vraag iemand om uit een database geschrapt te worden, dan moet daaraan voldaan worden.
Ieder bedrijf dat persoonsgegevens verzamelt, moet zich aan de wetgeving houden. Ook het bedrijf dat whitepapers laat downloaden op zijn website, of de winkelier die een klantenkaart aanbiedt en klantgegevens bijhoudt.
De gebruiksvoorwaarden en privacybescherming moeten ondubbelzinnig en begrijpbaar opgesteld worden. Snap je zelf wel wat er allemaal instaat?
Bedrijven die meer dan 250 medewerkers te werk stellen, moeten ook een Data Protection Officer aanstellen. Dit kan ook een externe kracht zijn. Hij moet onder andere door middel van een audit in kaart brengen welke persoonsgegevens bewaard worden, hoelang die bewaard blijven, hoe die beschermd worden en wat ermee gedaan wordt. Ook als het misloopt, moet er een plan van aanpak klaarliggen.