Nog iets meer dan twee maanden en dan gaat de GDPR-wetgeving van kracht. Dit heeft gevolgen voor alle Europese marketeers, zowel online als offline. De nieuwe wet verscherpt regels uit de huidige Wet Bescherming Persoonsgegevens, maar voegt ook een aantal nieuwe verplichtingen toe. Wat verandert er dan concreet en hoe zorg je dat je GDPR compliant bent?
Een van de belangrijkste veranderingen van de GDPR is het vragen om toestemming van de gebruiker voor het gebruik van zijn of haar data. Dit wordt ook wel consent of opt-in genoemd. Daarnaast speelt transparantie een belangrijke rol. Waarvoor gebruik je de persoonlijke data? Om hier verder op in te gaan is het belangrijk om een duidelijk beeld te hebben over data.
Welke data wordt er bedoeld en wat is er nu anders?
Persoonlijke data speelt de belangrijkste rol binnen de GDPR. Het beschermen van de privacy van individuen is het uitgangspunt. Als we de GDPR richtlijnen goed lezen kunnen we data opdelen in 3 categorieën:
- Persoonsgegevens: alle informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon. Bijvoorbeeld NAW-gegevens, e-mailadres, IP-adres, geboortedatum, huidige locatie, maar ook device-ID’s.
- Psuedoanonieme data: persoonsgegevens dusdanig verwerkt dat de data niet langer herleid kan worden zonder gebruik van aanvullende informatie, maar wel een persoon individualiseerbaar maakt. Bijvoorbeeld versleuteld e-mailadres, gebruikers-ID of een klantnummer dat alleen via een goed beveiligde interne database gelinkt is aan overige data. Dit valt ook binnen de scope van de AVG/GDPR.
- Anonieme data: gegevens waar alle persoons gerelateerde data die het terug herleiden toestaat, verwijderd is. In de praktijk vaak moeilijk haalbaar of lastig aan te tonen, tenzij de persoonsgegevens überhaupt niet weggeschreven worden in eerste instantie. Dit valt buiten de scope van AVG/GDPR.
Voor marketing zijn de volgende AVG/GDPR-bepalingen het meest belangrijk:
- Persoonsgegevens en pseudo-anonieme data mogen vervolgens met expliciete opt-in en opt-out toestemming worden gebruikt voor “gespecificeerde, expliciete en rechtmatige doeleinden” en “niet verder worden verwerkt op manieren die niet verenigbaar zijn met deze doeleinden”. Concreet betekent dit dat je enkel een mails mag sturen naar mensen wanneer zij hebben aangegeven dat zij hiermee akkoord zijn.
- Profilering om geautomatiseerde analyse en/of voorspelling van het gedrag van personen op basis van deze gegevens moet worden benoemd. De consequenties voor de persoon moeten worden benoemd, met de mogelijkheid tot een opt-out voor deze functionaliteit.
- Persoonsgegevens moeten door de gebruiker verwijderd (recht te worden vergeten) of opgevraagd kunnen worden. Ook dien je transparant te zijn over de periode dat je de gegevens bewaard.
De belangrijkste veranderingen voor online marketing
Voor online marketing hebben deze veranderingen een flinke impact. Zo dien je bij e-mail marketing een duidelijke opt-out mogelijkheid aan te bieden. Daarnaast moet een inschrijver zijn voorkeuren ook kunnen aangeven en aanpassen. Dit betekent dat je de mails dient aan te passen. Veel organisaties gebruiken retargeting mechanismes. Dit kan bijvoorbeeld via Facebook of Google Adwords gerealiseerd worden. Ook hiervoor dient expliciet toestemming gevraagd te worden. Waarschijnlijk heb je nu al een privacy & cookie beleid op je website staan, ook deze juridische onderdelen dienen te worden herzien. Nieuwe eisen stellen dat deze documenten uitgebreider en transparanter moeten worden. Vaak kun je gebruik maken van modelteksten voor deze aanpassingen. Naast juridische aanpassingen in de privacy en cookie policy moet er een Data Processing Officer aangesteld worden. Deze persoon is verantwoordelijk voor de verwerking van data en zorgt ervoor dat de organisatie GDPR compliant is en blijft.
Data Processing Agreement
Een bewerkingsovereenkomst (ook wel Data Processing Agreement, hierna afgekort als DPA) is nodig met alle partijen die toegang hebben tot de persoonsgegevens die jij verzamelt. Hoewel het hebben van een DPA al langer verplicht is, wordt er verwacht dat er vanwege de GDPR-wetgeving strenger op gecontroleerd gaat worden. Indien een DPA ontbreekt kan dit resulteren in een boete. Deze boete kan oplopen tot 20 miljoen of 4% van de jaaromzet. Deze bedragen zijn maxima en gericht op grote corporates. Voor MKB-bedrijven zal een boete gegeven worden naar draagkracht en zwaarte van de overtreding.
Teken dus met alle tools en services waar data heen gaat een DPA. Bijvoorbeeld Google Analytics, Hotjar, Hubspot, je website hoster enzovoorts. Deze contracten zijn tussen jou en de data verwerker. Verwerk jij zelf data van derden? Dan zullen derde partijen een DPA met jouw organisatie willen tekenen. Overigens gelden DPA’s niet alleen voor online tools en services, ook als je veel excels met persoonlijke data verwerkt dient er een DPA getekend te worden.
Een DPA is voor elke organisatie uniek. Op internet zijn voorbeelden te vinden van een DPA, echter voldoen die vaak niet aan jouw specifieke eisen of data verwerking activiteiten. Win dus professionele kennis in bij een advocaten kantoor. Een DPA is belangrijk om GDPR compliant te worden.
Legitimate interest of toch Consent
Momenteel wordt er veel data geregistreerd en opgeslagen zodat het later nog eens geanalyseerd kan worden. Met de ingang van de GDPR-wetgeving is dit niet meer toegestaan en wenselijk. Track en registreer enkel wat nodig is en wat je kunt uitleggen. Transparantie hierin speelt een belangrijke rol. Het feit dat het opslaan van data niet meer zomaar mag heeft gevolgen voor Big Data en AI oplossingen die bijvoorbeeld op basis van website gedrag voorspellingen doen.
Binnen de GDPR zijn er 6 legale redenen wanneer je persoonlijke data mag gebruiken
- Consent; de gebruiker geeft expliciet toestemming voor het gebruik van zijn/haar persoonsgegevens of het plaatsen van cookies
- Rechtvaardig belang (ook wel legitimate interest); verwerking van persoonlijke data is noodzakelijk met het oog op de legitieme belangen van de voor de verwerking verantwoordelijke of een derde partij. Balans is hierin belangrijk, het mag de datasubject niet schenden in persoonlijke vrijheden
- Contractuele verplichtingen; bij het aangaan van een contract dienen persoonsgegevens verwerkt te worden. Ook bij het uitoefenen van een contract mogen persoonsgegevens gebruikt worden.
- Wettelijke verplichtingen; persoonlijke gegevens dienen volgens de wet te worden verwerkt
- Vitale interesses; data mag verwerkt worden wanneer er situaties van leven of dood ontstaan
- Publieke interesses; deze heeft met name te maken met overheden en lokale overheden
In de meeste gevallen zullen reden 1 (consent) en reden 2 (rechtvaardig belang) de belangrijkste reden zijn dat je persoonsgegevens mag verwerken. Een voorbeeld van rechtvaardig belang is bijvoorbeeld het plaatsen van een cookie bij de gebruiker om zo de producten in de winkelkar van de webshop te houden. Hoewel dat toegestaan is, zijn er talloze andere scenario’s waar rechtvaardig belang niet van toepassing is. Je zult dan consent moeten uitvragen. Het uitvragen van consent kan grote nadelige gevolgen hebben voor het vergaren van data. Er zullen immers weinig mensen actief toestemming geven om hun e-mail adres te gebruiken voor e-mail marketing of remarketing advertenties toe te laten op Facebook.
Het uitvragen van Cookie Consent
Helaas is het niet mogelijk om alles onder rechtvaardig belang te scharen. Het plaatsen van een remarketing cookie voor bijvoorbeeld Facebook of Google Adwords valt niet te rechtvaardigen met rechtvaardig belang. De balans is namelijk niet in orde (jij hebt er meer baat bij dan de bezoeker). Hiervoor zul je dus consent moeten uitvragen. Hoe cookie consent uitgevraagd kan worden is discutabel. Er zijn partijen die cookies gegroepeerd uitvragen. Dat wil zeggen dat cookies in groepen gestopt worden zoals functional cookies, statistic cookies en marketing cookies. Een andere manier om consent uit te vragen is per cookie. Echter wordt het voor de gebruiker dan vrijwel onmogelijk, zeker wanneer er 50+ cookies op een site actief zijn (wat al snel het geval is).
Gegroepeerd uitvragen van Cookies
Wij van Klue volgen de eerste route, de route van gegroepeerd uitvragen. Het is namelijk praktisch onhaalbaar om per cookie consent te vragen aan de gebruiker. Het voordeel van gegroepeerd uitvragen van consent is namelijk het feit dat je de checkboxes aangevinkt kunt aanbieden. Men klikt dan enkel op de grote OK button (uiteraard wel met verwijzing naar je privacy policy). Het uitvragen kan gemakkelijk gerealiseerd worden met oplossingen zoals Cookiebot en Trustarc. Wanneer je je aanmeldt voor deze services dien je een account te maken, vervolgens scannen zij jouw website en generen een lijst van alle actieve tools, cookies en services. Deze worden automatisch in groepen (Necessary, Preferences, Statistics, Marketing) gestopt. Hoewel zij dit uit handen nemen is het goed om dit zelf nog eens goed te checken.Vervolgens plaats je een kleine tag op de website, deze zorgt ervoor dat er een professionele cookie melding zichtbaar is zodra bezoeker je website bezoeken. Binnen deze melding wordt ook uitleg gegeven over de specifieke cookies en waarvoor ze gebruikt worden. Kortom, erg transparant.
Toestemming en Cookies
Om helemaal GDPR compliant te worden is het belangrijk om de cookies en scripts daadwerkelijk pas actief te maken nadat er door de gebruiker toestemming is gegeven. Dit betekent dat tools zoals Google Analytics en Hotjar pas inladen nadat er toestemming is gegeven door de gebruiker. Het aanpassen van Google Analytics en andere services zodat dit daadwerkelijke het geval is vergt technische kennis. Dit kan je webdeveloper realiseren. Mocht dat niet lukken kunnen wij jou ook helpen met het aanpassen van de tools en services – laat dan even een mailtje achter.
Consent voor e-mail marketing
De GDPR heeft ook grote invloed op e-mail marketing. Veel organisaties gebruiken whitepapers of e-books om e-mail adressen te verzamelen. Deze e-mail adressen worden vervolgens gebruikt voor e-mail marketing. Onder de nieuwe GDPR richtlijnen is dit niet meer toegestaan mits er door de gebruiker duidelijk toestemming is gegeven voor e-mail marketing. Het is dus van belang om duidelijk consent te vragen voor e-mail marketing. Door formulieren zo aan te passen dat hier duidelijk consent voor gegeven kan worden is de eerste stap. Het binnen halen van de consent is de tweede stap. Onderzoek laat zien dat het gebruik van radiobuttons (ronde keuze bolletjes) met een duidelijk ja/nee vraag voor de hoogste conversie zorgt. Let wel: het vooraf invullen van consent is niet toegestaan. Daarnaast dien je, zoals nu al het geval is met de telecom wet, een duidelijk opt-out optie aan te bieden in iedere mailing.
De manier van consent vragen kan veranderen zodra de ePrivacy wet klaar is. Initieel zou deze tegelijkertijd met de GDPR klaar zijn, echter is deze vertraagd naar eind 2018. Wanneer de ePrivacy wet van kracht zullen wij daar ook meer informatie over delen. Tot die tijd lijkt de bovenstaande route de beste en snelste manier om GDPR compliant te worden, zeker op het gebied van de tools en services die je gebruikt voor je website.
Kortom, het valt mee met de GDPR
De GDPR brengt uitdagingen met zich mee. Het is voor elke organisatie van toepassing en dient ook serieus genomen te worden. De boetes kunnen namelijk flink oplopen, ook voor kleine organisaties of hobbyisten. Het is de uitgelezen kans om eens schoon schip te maken op de website, prospect database en opzet van datastructuren. Ben jij bezig met de GDPR en heb je vragen? Neem contact op, we denken graag met je mee.
Wat een bijzonder verhaal. Hiermee ben je zeker niet (van A tot Z) compliant. En sinds wanneer zou een marketingbureau ‘mee willen denken’ over GDPR/AVG compliance? Dat omvat zowel complexe technische, organisatorische als juridische afwegingen. Succes met goed advies geven!
Hi Arnoud,
Bedankt voor je reactie op het artikel. Je geeft aan dat je het bijzonder vindt dat wij mee willen denken over de GDPR/AVG compliance, vanwaar deze vraag? Met de punten in het artikel dek je een groot deel (en voor sommige bedrijven) alle GDPR eisen af. Tuurlijk verschilt dit per organisatie, een grote organisatie met meerdere complexe processen waarin persoonsgegevens worden verwerkt is anders dan een ZZP-er. Besef bij mensen dat de GDPR daadwerkelijk er aan komt én veel impact heeft is erg belangrijk. De volledige compliancy is per organisatie anders. Ik neem aan dat de punten die wij noemen jij ook herkent als eisen van GDPR?