Ben jij klaar voor de komst van de GDPR?
20 maart 2017Misschien ben je er nog niet mee bezig, of lig je er al een tijdje van wakker: de nieuwe Europese privacy wetgeving treedt in voege in mei 2018. Is jouw strategie klaar voor alle veranderingen? Heb je precies in kaart gebracht aan welke aspecten je moet voldoen? Flexmail begeleidt je in het proces op weg naar compliance met de GDPR.
De wetgeving is beter gekend als de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG). Ondernemingen en organisaties die persoonlijke gegevens van burgers van de Europese Unie verwerken, moeten kunnen aantonen dat ze al de mogelijke technische en organisatorische maatregelen genomen hebben om deze data te beschermen.
Dat betekent ook dat marketeers op een nieuwe manier over data zullen moeten nadenken: tot welke informatie hebben we toegang, en over welke toelatingen beschikken we eigenlijk?
Wat is de impact van de GDPR?
GDPR is van toepassing op elk bedrijf dat persoonlijke data verzamelt van inwoners van de EU. Als je contactgegevens verzamelt, en e-mails verstuurt naar contacten in de EU, dan moet je in lijn zijn met de GDPR – ongeacht waar je hoofdzetel zich bevindt.
Welke veranderingen houdt de GDPR in voor e-mail marketeers?
GDPR is van toepassing op verschillende aspecten van e-mailmarketing, maar voor op de manier waarop marketeers toestemming zoeken, verzamelen en behouden. Dit is wat je als marketeer moet weten:
Striktere regels voor het verzamelen van toestemming
Dankzij de nieuwe GDPR zullen marketeers enkel e-mail kunnen sturen naar contacten die een duidelijke opt-in gegeven hebben om communicatie te ontvangen. Dit was al zo bij de oude wetgeving, maar de GDPR maakt de omstandigheden van die toestemming specifieker. Toestemming moet vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn om wettelijk in orde te zijn.
Vrij gegeven wil zeggen dat je bijvoorbeeld kunt werken met een aan te vinken box op je website (mag dus niet al aangevinkt zijn). Een stilzwijgende toestemming, vooraangeduide hokjes of inactiviteit is dus niet voldoende.
Daarbovenop moet je opt-in proces op je website je contacten precies informeren over hoe, waarom en welke data van hen wordt bijgehouden. Idem trouwens voor je cookie policy. Als je bijvoorbeeld het gedrag van je contacten gaat analyseren om content en advertenties te personaliseren, dan moeten je contacten ook de kans krijgen om hier wel of niet mee in te stemmen.
Dat wil zeggen dat een aantal practices die sommige marketeers tegenwoordig gebruiken om hun database te laten aangroeien en te verrijken dus niet zomaar wettelijk zijn onder de GDPR.
Heeft iemand zijn of haar e-mailadres achtergelaten om een whitepaper te downloaden of om aan een wedstrijd mee te doen? Als je hen niet verteld hebt dat je hun persoonlijke data gaat gebruiken voor marketing berichten – en ze hebben hier niet specifiek mee ingestemd om op die manier hun data te gebruiken – dan zal het niet legaal zijn om die adressen toe te voegen aan je mailinglijst.
Nieuwe eisen voor het bijhouden van toestemming
De GDPR stelt niet alleen de regels voor de manier waarop je toestemming verzamelt, maar vereist ook dat je als bedrijf die toestemmingen gaat registreren en bijhouden.
Binnen de GDPR ligt de bewijslast dus heel duidelijk bij bedrijven. Dit wil zeggen dat je zal moeten kunnen bewijzen en redelijk bewijs tonen dat je in lijn bent met de GDPR wanneer je wordt aangevochten. Je houdt dus best ook screenshots van formulieren bij wanneer je ze vervangt op de website of in je app om je bewijslast aan te vullen.
Wil je in lijn zijn met de GDPR, engagement verhogen en uitschrijvingen verminderen? Dan is een preference center geen overbodige luxe: jij stroomlijnt je communicatie en je contacten kunnen specifiek voor je verschillende typen communicatie in- én uitschrijven. Zo leg je de controle volledig in handen van je doelpubliek.
Bestaande gegevens up to date brengen met de nieuwe standaarden
In de toekomst zal je als bedrijf de manier hoe je informatie verzamelt en bijhoudt moeten veranderen. Mar dat is natuurlijk maar de helft van het verhaal. De GDPR is namelijk ook van toepassing op al je reeds bestaande gegevens.
Als je database abonnees bevat waarbij je de toestemming niet kan aantonen volgens de standaarden van de GDPR, of als je voor een aantal contacten niet het nodige bewijs kan aantonen, dan zou het niet meer toegestaan zijn om naar deze contacten te mailen. Zorg dus dat je op tijd al je verzamelde data in lijn brengt met de nieuwe standaard. Waarschijnlijk zullen we veel bedrijven zien die reactiveringscampagnes gaan sturen om opnieuw toestemming te vragen alvorens de nieuwe GDPR volledig in werking treedt.
Moet je wijzigen aanbrengen in je volledige e-mailprogramma?
Striktere privacy en opt-in regels zorgen ervoor dat marketeers bang zijn dat ze hun database niet meer zo snel kunnen doen aangroeien als vroeger. Daarnaast vergt het nakijken, en indien nodig, aanpassen van bestaande opt-in processen tijd en effort.
Sommige internationale merken overwegen om voor Europese bezoekers en contacten aparte processen te voorzien, maar het vergt veel tijd en resources om beide processen up to date te houden. Beter gaan dergelijke bedrijven dus over op een algemene toepassing van de GDPR op al hun contacten.
Natuurlijk is het minder snel aangroeien van de database misschien een rechtstreeks kort termijn gevolg, maar het zorgt er ook voor dat je enkel communicatie stuurt naar contacten die dit echt willen ontvangen, om zo de algemene kwaliteit van je lijsten alleen maar te verbeteren. En een actieve contactenlijst zorgt voor een betere afleverbaarheid, en meer engagement.
Pluspunt van het doortrekken van de GDPR in je beleid: de nieuwe EU privacy wetgeving is een van de striktste wereldwijd, dus als je hiermee in lijn bent, is het waarschijnlijk dat je ook in lijn bent met andere internationale wetgevingen.
Nieuwe eisen rond dataprotectie
Online informatie- en kennisdeling kan je tegenwoordig niet meer wegdenken. Een privacy- en cybersecurity beleid is dus geen overbodige luxe, maar dit vraagt wel veel expertise en inzicht in een complexe materie.
Het is een groot misverstand dat slechts het versleutelen van data al voldoende is voor de GDPR. Data encryption moet eerder gezien worden als de minimale standaard waarbij extra maatregelen bijna onmisbaar zijn. Ondernemingen moeten extra mogelijkheden bieden om persoonlijke data te beschermen, zoals het gebruiken van tweestapsverificatie en het permanent verwijderen van data die niet meer worden gebruikt.
Een ander veel voorkomend misverstand: het is niet omdat je data in de cloud wordt bewaard, dat de verantwoordelijkheid voor databeveiliging volledig bij je cloud en/of security provider ligt!
De GDPR is niet alleen van toepassing op bedrijven die data opslaan, maar ook op de ondernemingen die deze data verwerken. Dat betekent dat de GDPR ook van toepassing is op de onderneming zelf, zelfs als die gebruikmaakt van externe providers voor gegevensopslag bij het verwerken van data.
Wat als je je niet aan de regels houdt?
Naast striktere regels rond toestemmingen en het gebruiken van persoonlijke data, brengt de GDPR ook nieuwe boetes mee die hoger zijn dan ooit voor bedrijven die zich niet aan de regels houden. Niet in lijn zijn met de wetgeving kan leiden tot boetes tot €20 miljoen of 4% van de totale wereldwijde jaaromzet van het voorafgaande boekjaar (afhankelijk welk bedrag hoger ligt).
En dan heb je het natuurlijk nog niet gehad over eventuele bijkomende dalende verkoop door verloren klantenvertrouwen, merk- en reputatieschade en mogelijke rechtszaken.
Hoewel het natuurlijk nu nog onduidelijk is welke boetes in praktijk zullen gelden, is het duidelijk dat autoriteiten niet in de mogelijkheid zijn om achter elk merk aan te gaan dat niet volledig in lijn is met de GDPR. Ze zullen hevig vertrouwen op consumenten die misbruiken melden, en zullen daarbij waarschijnlijk prioriteit geven aan de meest serieuze schendingen.
Je zag hetzelfde na het invoeren van de CASL, de wetgeving in Canada. Zware cases zoals die van Compu-Finder, een Canadese training aanbieder die een boete kreeg van 1.1 miljoen Canadese dollars in 2015. Volgen de autoriteiten had Compu-Finder emails zonder toestemming verstuurd, en ook berichten waarin de uitschrijfmogelijkheid niet goed werkte. Om dit te kaderen: klachten over Compu-Finder vertegenwoordigden 26% van alle CASL klachten in hun sector.
Flexmail begeleidt je in het proces op weg naar compliance met de GDPR: Schrijf je in voor de GDPR communicatie!