Prepare yourself for GDPR

GDPR whut? De General Data Protection Regulation (GDPR) is een verhaal over meer transparantie, over privacy in een digitale wereld, en over bewust omgaan met je gegevens. Een positief gegeven dus. De GDPR zorgt voor extra regels, maar maakt er geen zwart-wit verhaal van met enkel extra verplichtingen.

De GDPR is van toepassing op alle bedrijven die persoonsgegevens van EU-burgers bewaren, verwerken en gebruiken. Concreet is dat dus bijna elk bedrijf, ook de kleinere. De EU ziet ‘persoonsgegevens’ immers erg breed. Ook IP-adressen, niet-functionele cookies en Twitter-handles worden bijvoorbeeld gezien als persoonsgegevens.

In de GDPR staan veel principes uit de Belgische Privacywet, maar er zijn ook een aantal belangrijke nieuwigheden. Nieuwigheden die ook van jou als marketeer actie vragen. We maakten alvast een handig overzicht van wat je moet weten en aanpassen voor 25 mei 2018. Als je onderstaande 8 topics hebt behandeld, heb je al een stap in de goede richting gezet.

Voor wie is
dit van toepassing?

De GDPR geldt voor alle bedrijven, organisaties en overheden die persoonsgegevens van EU-burgers verwerken. Het geldt dus met andere woorden voor instanties die zich zowel binnen als buiten de EU bevinden. Wie is er nu het subject van die wetgeving? De maatregel is van toepassing op alle EU-inwoners, zowel in privé context als in zakelijk verband. Bij min-16-jarigen (binnenkort min-13-jarigen) moeten de ouders in plaats van hun kinderen toestemming geven voor het bewaren van de persoonlijke gegevens. Hiervoor gelden specifieke regels.

Welke gegevens?

GDPR gaat heel specifiek over een geheel aan persoonsgegevens waarmee je uiteindelijk één specifiek persoon kan identificeren. Voor het bewaren, verwerken en gebruiken van die gegevens moet je expliciet toestemming krijgen van de betrokken persoon. Die gegevens kan je op zich nog indelen in twee categorieën: enerzijds zijn er de ‘gewone’ persoonlijke gegevens, zoals IP adres, beroep, telefoonnummer of geboortedatum. Anderzijds heb je extreem gevoelige gegevens die extra beveiliging vragen, zoals rijksregisternummer, sexuele geaardheid, info over etnische herkomst, religie of politieke overtuiging.

De 8 meest prangende vragen voor een marketeer beantwoord

Once and for all, hoe zit het nu precies met die cookie policy? Welke data mag ik wel nog inzetten? Om marketeers op de goede weg te helpen, hebben we de 8 meest gestelde vragen op een rij gezet.

Dit is geen zwart-wit verhaal, en de regels zijn vaak vatbaar voor interpretatie. Het is daarbij erg belangrijk om die interpretatie te documenteren in een ‘inter privacy actieplan’. Zo kan je bij controle steeds aangeven dat je er op voorhand over nagedacht hebt, en toon je aan hoe je alles overwogen hebt.

We zetten alles in het werk om jou als marketeer vooruit te helpen, maar sluitend juridisch advies geven is een vak apart. Bij vragen die specifiek voor je onderneming beantwoord moeten worden, richt je je best tot onze partner in e-wetgeving: De Groote - De Man.

vraag1

Mag ik mijn oude e-mail
database
nog gebruiken?

Mag je de eerder verzamelde gegevens nog gebruiken of moet je expliciet om herbevestiging vragen? In het kort: Je mag ze niet hergebruiken zonder herbevestiging. Maar met een grote kanttekening. De algemene regel is dat je die e-mailadressen enkel mag gebruiken voor het doel waarvoor je ze verkregen hebt op het moment dat je toestemming kreeg. De manier waarop je die toestemming toen verkregen hebt, was actief, vrij, expliciet etc. Het moest toen dus al helemaal voldoen aan de voorwaarden die onder GDPR vanaf 25 mei zullen gelden.

Om de opgebouwde informatie terug te mogen gebruiken, stuur je best een mailing uit en vraag je opnieuw om toestemming. Het voordeel hiervan is dat dit bevorderlijk is voor kwaliteit van je gegevens, en je geeft bovendien een goed signaal naar de klanten dat transparant werken belangrijk is voor de organisatie. Het nadeel is natuurlijk dat je bepaalde data dreigt te verliezen. En daar komt de kanttekening bij kijken: Het kan niet de bedoeling zijn dat een organisatie al jarenlang marketinginspanningen doet om dan nu plots het merendeel van zijn data te moeten gaan verwijderen. Een risicoanalyse op basis van het principe ‘vitaal belang’ en ‘recht op ondernemen’ is dan een mogelijke oplossing. Stel dat slechts 5% van je huidige database opnieuw toestemming geeft, en je werking hier 100% van afhangt, dan kan het voortbestaan van je onderneming op de helling komen te staan. Voor dit principe spelen de naam en de grootte van de organisatie ook een rol, zo kan het principe van vitaal belang een andere interpretatie krijgen bij Google dan bij een kleine onderneming. Maar dit vormt een goed voorbeeld van hoe GDPR de focus op verantwoord omgaan met persoonsinformatie wil aanscherpen, maar zonder daarbij organisaties op hun knieën te brengen. Een gefaseerde heropfrissing van de reeds verworven data is onder het recht op ondernemen dus een gezondere en natuurlijke aanpak, dan één mailtje te sturen en daarbij 90% van alle data te moeten verwijderen.

arrowLees meer
vraag2

Moet ik mijn algemene
voorwaarden
dan aanpassen?

Het privacy statement en de disclaimer zijn best twee aparte pagina’s op je website. De privacy policy legt helder uit wat er met je gegevens gebeurt, terwijl de disclaimer vaak meer juridisch van aard is. Die laatste behandelt dan de verantwoordelijkheid en aansprakelijkheid over de dienst of het product.

Welke info moet dan onder je privacy policy gecapteerd worden?

Eén van de expliciete vereisten van GDPR is dat een organisatie haar bezoekers helder en eenvoudig uitlegt:

  • Wat er gebeurt met hun gegevens
  • Hoe lang ze bewaard blijven
  • Aan wie ze doorgegeven worden en of die andere organisatie GDPR compliant is
  • Hoe de bezoeker zijn gegevens kan verwijderen
  • Een goed gestructureerde pagina in eenvoudig taalgebruik maar met een complete inhoud, kan dus al voldoende zijn om te voldoen aan de GDPR. Neem gerust een kijkje in die van ons ter voorbeeld.

arrowLees meer
vraag1

Hoe lang mag je data bewaren en
gebruiken?

Persoonlijke data mag niet langer bewaard en gebruikt worden dan gerechtvaardigd is voor het doel (de zogenaamde "retentieperiode"), al is dit ook voor interpretatie vatbaar. Het is dan vooral een kwestie van wat je kan verantwoorden:

Je koopt bijvoorbeeld een wagen bij BMW, en je gaat ermee akkoord dat ze je gegevens bijhouden. BMW zal die data dan zeker x aantal jaar mogen bijhouden volgens de levenscyclus van de wagen die je gekocht hebt. Bij Coca-Cola zal die periode vanzelfsprekend korter zijn. BMW mag de gegevens dus langer bijhouden omdat zij kunnen verantwoorden dat de aankoopcyclus over meerdere jaren gespreid is. Bij iets als frisdrank is 5 jaar data bijhouden moeilijk te verklaren.

Het belangrijkste is dat er op voorhand over nagedacht wordt, en dat dit beschreven staat in een Data Protection Policy.

arrowLees meer
vraag4

Moet een bezoeker expliciet goedkeuren dat er cookies gebruikt worden?

Dit gaat gepaard met een bepaalde nuance waar je zeker rekening mee moet houden. Je moet enkel aan je lezer te kennen geven dat je cookies gebruikt. Om die cookies te plaatsen moet de bezoeker daarentegen wel expliciet akkoord gaan. Wat betekent expliciet nu?

  • Op een button of link klikken dat je het begrijpt.
  • Banner wegklikken met een kruisje, indien er in de tekst staat dat dit gelijkstaat aan het aanvaarden van de voorwaarden.
  • Verder surfen op de site, als er staat dat deze actie gelijkstaat aan het aanvaarden van de voorwaarden.

De Nederlandse voorbeelden waarbij momenteel de eerste webpagina niet zichtbaar is voor je cookies aanvaard hebt, zijn dan weer te streng. Dit is bovendien in strijd met wat de GDPR zegt, namelijk dat je toestemming ook ‘vrij’ moet zijn.

Het gegeven van cookies bestaat al langer dan GDPR, en de huidige ‘cookiewetgeving’ wordt eind 2018 vervangen door de E-privacy Regulation. Zo’n regulation is iets dat meteen in werking treedt, op Europees niveau, en dat meer belang krijgt dan de GDPR omdat het een ‘specifieke’ richtlijn is en geen ‘algemene’ zoals GPDR.

Binnenkort is het trouwens de bedoeling dat de cookie policy op browserniveau komt te staan. De internetgebruiker moet dan per browser instellen welk type cookies hij aanvaardt, en welke niet. Je kan dus bijvoorbeeld niet zeggen dat je standaard third party cookies niet aanvaardt, maar die op de website van De Morgen wel. Dit zijn instellingen die je doet voor elke browser die je gebruikt, en niet meer website per website.

Key take-aways voor de marketeer?

  • Tot eind 2018 kan je beter niet zwaar investeren in cookiebanner functionaliteiten, maar kan je beter wachten tot de inhoud van die nieuwe regelgeving helder is.
  • In tussentijd kan je een niet-verplichte cookiebanner voorzien waarin de tekst meedeelt dat je cookies gebruikt en verwijst naar meer info, en dat die banner dan bijvoorbeeld na 10 seconden weer verdwijnt.
arrowLees meer
vraag5

Wanneer heb je het recht om gegevens te verzamelen, te bewaren, en te gebruiken?

Er zijn een aantal principes die je kan volgen om het verzamelen van persoonlijke gegevens te rechtvaardigen. Hier is het belangrijk te onthouden dat je bewijs moet kunnen voorleggen van dat consent.

  1. 1 Toestemming
  2. Dit is de simpelste manier: je vraagt de bezoeker gewoon of je de gegevens mag bewaren. Als de persoon duidelijk aangeeft dat hij toestemming geeft, is het geen probleem zolang je helder aangeeft wat je doet met de gegevens, en wat de bezoeker er precies van kan verwachten.

  3. 2 Contract
  4. In een klant-leverancier relatie is er meestal een contract. In dit contract kan je laten opnemen dat je gegevens verzamelt voor de goede werking en uitvoering van het contract. Hierdoor mag je dus het rekeningnummer van je klant bewaren, zonder dat je expliciet zegt dat je een rekeningnummer zal bewaren. Voor prospecten moet je het dus op een andere manier doen.

  5. 3 Vitaal belang
  6. Als bedrijf heb je het “recht op ondernemen”, wat tegenover het recht op privacy van personen staat. Uit het recht op ondernemen volgt ook dat je bepaalde gegevens nodig hebt om te kunnen blijven bestaan. En blijven bestaan als bedrijf, is een vitaal belang. GDPR dient voor transparantie, maar voor sommige bedrijven en in bepaalde situaties is het onmogelijk om die toestemming alsnog te verkrijgen voor de bestaande database. Op zo’n moment kan je het recht op ondernemen gebruiken om op een verstandige - en niet overdreven - manier die data toch te gebruiken, zodat jij als bedrijf kan overleven. Je kan dat dan als reden opgeven om die mensen (zonder hun expliciete goedkeuring) toch boodschappen te sturen. Het achterliggende principe daar is dat je als bedrijf zonder die communicaties je inkomsten drastisch zou zien dalen als je die niet opstuurt. Let wel: dit valt niet te gebruiken als achterpoortje om GDPR te omzeilen. Je kan dus bijvoorbeeld af en toe toch een reclamemail sturen, maar omschrijft tegelijkertijd in je interne policy best dat je de data van de klant verwijdert zodra hij na 5 mails nog geen enkele geopend heeft.

Dit is dus een interpretatie op basis van dit principe indien je niet kan voldoen aan de eis dat je eigenlijk expliciete toestemming moest hebben. Als je dus wat creatief omgaat met die regelgeving van expliciete toestemming, dan moet je wél meteen ingaan op de vraag om de communicatie met die persoon te stoppen. Afwegen en balans zijn hier de kernwoorden. Het is in orde zolang je deze afweging maar documenteert in je intern actieplan.

arrowLees meer
vraag6

Mag ik mijn e-maildatabase uploaden in Facebook om gericht te adverteren?

Dit is geen evidente vraag omdat het opnieuw erg afhankelijk is van de situatie:

  • Als je al actief bezig was met Facebook marketing op het moment dat je toestemming kreeg om de gegevens te gebruiken, is er geen probleem. Maar dit is helaas niet altijd zo simpel.
  • Als je Facebook advertising interpreteert als direct marketing en dus kan zien als een gerechtvaardigd belang zonder dewelke het functioneren van je bedrijf niet mogelijk is, dan kan je dit ook als ‘ok’ beschouwen.
  • Om helemaal zeker te zijn vraag je best opnieuw toestemming om de verzamelde gegevens nu ook voor advertising te gebruiken. Verpak dit op een leuke manier, en je hebt gegarandeerd een hoge response rate.

Vergeet hier zeker niet te controleren of het platform dat je gebruikt (Facebook in dit geval) zélf wel GDPR-compliant is.

Maar wat doe je nu in het geval dat een andere partij in jouw naam instaat voor je online marketing en advertising? Dan bepaal jij als data controller welke data van je e-maildatabase gebruikt mag worden voor welke reden. Nadien verwerkt de data processor (jouw online marketing bureau) deze gegevens volgens die principes. Die samenwerking kan je voor de duur van jullie samenwerking of contract vastleggen in een ‘data processing agreement’. En ook daar geldt ook: check zeker even of jouw online marketing bureau (de data processor dus) zelf wel volledig GDPR-compliant is. Wanneer dit niet het geval is, mag je die partij je database niet toevertrouwen.

arrowLees meer
vraag7

Wat met anonieme guest checkouts?

Of je je bezoeker een guest account aanbiedt, of hem verplicht om een account aan te maken, is eigenlijk een pure bedrijfskeuze. Op vlak van GDPR kan je deze vraag bekijken als een ‘contract’.

Voor de goede uitvoering van wat jouw klant je vraagt, zoals de aankoop en levering van een product, heb jij als bedrijf een aantal gegevens van je klant nodig. Een facturatieadres, een leveringsadres, een telefoonnummer om je te contacteren indien er problemen zijn bij de levering,... Een guest account aanbieden wordt dus niet gelijkgesteld met het niet bewaren van een aantal gegevens. Wel staat het meestal gelijk met het bewaren van iets minder gegevens.

De wettelijke verplichting om facturen voor een bepaalde periode bij te houden, zorgt er voor dat je sowieso bepaalde data voor een zekere periode bijhoudt. Maar dat wil niet zeggen dat je gedurende die periode die data ook zomaar mag gebruiken voor marketing-doeleinden. Het is net daar dat GDPR duidelijkheid over wil scheppen door de gebruiker te informeren over de toestemming die hij verleent.

Ook interessant: GDPR staat wél toe dat je tijdelijk een aantal gegevens van je bezoeker bewaart. Stel dat je bezoeker zijn e-mailadres al heeft ingegeven in het check-out proces, maar dat hij daarna om de één of andere reden afhaakt, dan mag je de ingevulde gegevens wel tijdelijk bewaren. Zo kan je die bezoeker een reminder e-mail sturen, met bijvoorbeeld de vraag om de bestelling af te ronden, of om feedback te ontvangen waarom hij op zijn beslissing teruggekomen is. Je kan dit zien als een vorm van vitaal belang voor de onderneming, en precontractuele werking. Belangrijk om hier te onthouden is dat je die gegevens slechts voor een zéér beperkte periode mag bewaren, en dat ze nadien volledig verwijdert. Dit moet je ook motiveren in je interne Privacy Actieplan.

arrowLees meer
vraag8

Is een dubbele opt-in verplicht?
(bij nieuwsbrieven)

Nieuwsbrieven zijn een handige en populaire manier om in contact te blijven met je publiek. Het is zowel het toonbeeld van digitale etiquette, als een verplichting onder GDPR, om je bezoeker net voor de inschrijving te laten weten wat er met zijn persoonlijke gegevens zal gebeuren, en vooral ook waarvoor je hem precies zal contacteren. Er zijn veel creatieve en visueel aangename manieren om dit te doen. Je hoeft op zich ook geen mail te sturen om de inschrijving te bevestigen, maar ook daar is het wél het ideale moment om je te profileren en de toon voor het vervolg van de conversatie te zetten.

Een dubbele opt-in is daarbij zeker geen verplichting bij de inschrijving. Het is daarentegen wél een erg handige manier om de kwaliteit van je data te verhogen.

arrowLees meer

Conclusie

Is er reden tot paniek? Neen, absoluut niet. Het kan nu inderdaad veel werk lijken om alles GDPR-compliant te maken, maar zie dit zeker als een positief verhaal. Het werd tijd dat data privacy wat aandacht kreeg en onder de loep genomen werd. Bovendien kan je organisatie weer met een schone lei beginnen, onder andere omdat de gegevens-database netjes opgekuist zal zijn.

Dit moet overigens een basisreflex worden bij iedereen in het bedrijf, in die zin dat iedereen automatisch de bedenking maakt of je handelingen wel kloppen met GDPR. De maatregel mag dus niet enkel een ‘verantwoordelijkheid’ of een taak zijn van een bepaalde persoon of departement. Het is idealiter iets dat in het hele bedrijf leeft, bij iedereen en bij elke stap in een project. Dit zal het naleven van de regels ook veel vlotter maken.

Aantonen dat je mee bent met GDPR en dat je eraan werkt, geven een duidelijk signaal dat je als bedrijf intern efficiënt en transparant met je data omgaat, en dat er een snelle organisatie achter zit. Het is belangrijk om met een goed plan te starten, om de basisaspecten af te dekken, en om werk te maken van de interne structuur. Alles met andere woorden stap voor stap bekijken, en ervoor zorgen dat alles goed gedocumenteerd wordt. Dan kom je er wel.

Hoog tijd voor GDPR advies? Maak eens een afspraak.

Ineke van Dam
UX Architect

Lees meer