Wat je als marketeer echt moet weten over de nieuwe AVG

avg

De datum 25 mei 2018 staat vast in je geheugen gegrift. Toch? Op die dag treedt de nieuwe Europese wet voor databescherming, de General Data Protection Regulation (GDPR), in werking. Oftewel in het Nederlands: de Algemene Verordening Persoonsgegevens (AVG). Als het goed is, ben je als organisatie ook bezig om compliant te worden aan deze nieuwe wetgeving. De aangekondigde boetes geven daar in ieder geval alle reden toe… Toch is het nog best lastig als marketeer om te bepalen wat nu echt de consequenties zijn in de dagelijkse praktijk. Want naast nuttige zaken is er wanneer er over de AVG wordt gesproken soms ook wel sprake van enige bangmakerij.

Bang worden is mijn inziens nergens voor nodig, maar bewust worden wel. Tenslotte hebben we sinds 2001 al te maken met de Wet bescherming persoonsgegevens (Wbp) en de meldplicht datalekken, waar we (als het goed is) al aan voldoen. De Wbp is in mei 2016 vervangen door de AVG, maar organisaties hebben tot 2018 de tijd om hun bedrijfsvoering aan te passen. Veel van wat er binnen de AVG geregeld is, is vandaag de dag al verplicht binnen de huidige wetgeving. Echter ontbreekt de controle op naleving, waardoor het lijkt alsof er nu nog veel meer mag.

Wat is de AVG?

De AVG is natuurlijk groter dan marketing alleen. Deze vernieuwde wetgeving raakt alle data in de organisatieprocessen, maar juist in ons vakgebied is de verandering enorm. Zeker in een tijd waarin data meer dan ooit verzameld en verwerkt wordt. Data geeft veel inzichten en helpt marketeers om processen te verbeteren, beslissingen te nemen en effectiever te werken.

De AVG heeft invloed op iedereen die persoonsgegevens van Europese burgers verwerkt. Denk hierbij aan de naam, geboortedatum, het e-mailadres, maar ook aan alle andere gegevens die te herleiden zijn naar een persoon zoals een IP-adres of klantnummer. Daarnaast stelt de AVG dat iedere Europese burger het recht heeft om te weten hoe zijn of haar gegevens worden gebruikt. Iedere persoon heeft het recht om deze data in te zien en indien gewenst onmiddellijk te laten verwijderen uit de systemen. Bovendien moet worden gedocumenteerd voor welke periode en met welk doel gegevens worden vastgelegd. En het gaat nog een stapje verder, naast het informeren is het ook verplicht om expliciete toestemming voor de vastlegging en verwerking van gegevens te vragen. Hierbij moet je zo duidelijk mogelijk vertellen waarmee de gebruiker akkoord gaat. Voor 25 mei 2018 moet al je klantendata voldoen aan de nieuwe wetgeving. Dit geldt dus niet alleen voor nieuw verzamelde data, maar ook voor je huidige klantdata! Je moet ook kunnen aantonen hoe je een opt-in hebt verkregen in het verleden.

Dit roept direct verschillende vragen op, die je voor de nieuwe AVG moet kunnen beantwoorden:

  • Wat verzamelen wij aan persoonlijke data binnen onze organisatie? Hoe kunnen we die data identificeren?
  • Hebben we inzicht in wie er allemaal toegang hebben tot persoonlijke data?
  • Hebben we gedocumenteerd wat we allemaal doen met deze persoonlijke data?
  • Kunnen we eenvoudig alle data van één persoon verwijderen of dupliceren we data in verschillende systemen?
  • Hebben we een overzicht van alle databronnen waarin zich persoonlijke data bevinden?
  • Hebben we processen waarmee we kunnen aantonen dat we alles onder controle hebben als het gaat om persoonsdata?

 

Verwerkersovereenkomst

Het is van belang te beseffen dat de AVG niet alleen geldt voor de interne organisatie. De wetgeving geldt namelijk ook voor partijen waarmee je persoonsgegevens uitwisselt of die in opdracht van jou gegevens van jouw klanten verwerken. Dit geldt dus voor je hostingpartij, je websitebouwer, de leverancier van je e-mailmarketingpakket, een CRM partner, maar ook voor Google of Microsoft. Met al deze partijen ben je verplicht een verwerkersovereenkomst af te sluiten. Hierin moet onder andere komen te staan dat gegevens voldoende worden beveiligd, dat er toestemming is/wordt gevraagd voor het inschakelen van een subverwerker en dat de verwerker handelt conform instructies van de verantwoordelijke (jij).

Voor een partij als Google en Microsoft zal dit in de praktijk betekenen dat je op een dag een e-mail of pop-up krijgt met vernieuwde voorwaarden die je moet bevestigen, maar uiteindelijk ben jij eindverantwoordelijk dat deze verwerkersovereenkomsten er komen.

Directe consequenties AVG voor je marketingstrategie

Dat de nieuwe AVG veel raakvlakken heeft met je marketingstrategie mag dus duidelijk zijn. Maar welke directe consequenties zijn er? Dit wil ik graag kort bekijken vanuit drie onderdelen in je marketingstrategie die mij als marketinganalist nauw aan het hart liggen: e-mailmarketing, analytics en marketing automation.

1. E-mailmarketing
Dat je alleen mensen mag mailen die daadwerkelijk toestemming (opt-in) hebben gegeven voor het ontvangen van bepaalde e-mails is niets nieuws. Ook zal het geen verrassing voor je zijn dat je verplicht bent aan te geven hoe vaak een mailing verstuurd wordt, dat een ontvanger zich altijd moet kunnen afmelden en dat duidelijk moet zijn wie de afzender van de mailing is. De grootste verandering wat betreft e-mailmarketing zien we in de informatie omtrent de opt-in. Onder de nieuwe AVG ben je verplicht op te slaan wanneer de opt-in is verkregen en waar exact toestemming voor is gegeven. Dit geldt zoals eerder gezegd niet alleen voor nieuwe data, maar ook voor je huidige data. Voor elk doel moet er ook apart toestemming worden gegeven. Dat betekent dus een apart vinkje voor de opt-in én een apart vinkje dat de persoonsgegevens met derden worden gedeeld. Wat betreft de opt-out zul je ook meer dan alleen een uitschrijflink moeten bieden. De ontvanger moet namelijk ook aan kunnen geven zijn of haar data in te willen zien of te willen verwijderen.

2. Analytics
Persoonsgegevens zijn te verdelen in drie categorieën. Naast de eerder genoemde persoonsgegevens zoals NAW-gegevens maakt de wetgeving namelijk ook een onderscheid in pseudo-anonieme data en anonieme data. Bij tracking scripts die we gebruiken om bijvoorbeeld websitegedrag te kunnen analyseren gaat het vaak om pseudo-anonimisering. Oftewel “persoonsgegevens die dusdanig verwerkt worden dat ze niet langer herleid kunnen worden zonder gebruik van aanvullende informatie, maar wel een persoon individueel maken”. Zoals een contactpersoonsnummer, een versleuteld e-mailadres of een gebruikers-ID. Ook deze pseudo-anonieme data mogen alleen met expliciete opt-in en opt-out worden gebruikt voor “gespecificeerde, expliciete en rechtmatige doeleinden” en “niet verder worden verwerkt op manieren die niet verenigbaar zijn met deze doeleinden”.

De AVG wetgeving volgend, mag je dus niet meer standaard tracking gebruiken op je website en moet je duidelijk zijn welke data worden verzameld en voor welke doeleinden. Een cookiewall met slechts een impliciete opt-in waarmee je akkoord gaat bij het gebruik van een website zal dus niet meer voldoen. Zorg er dus voor dat je trackingscripts en cookies goed naloopt en de nieuwe richtlijnen verwerkt in je cookiemelding.

3. Marketing automation
Marketing automation is ontwikkeld om persoonsgegevens te verwerken om zo een persoonlijke dialoog te kunnen voeren. Dat de AVG hier invloed op heeft, spreekt dus eigenlijk voor zichzelf. Het verwerken en interpreteren van data en gedrag is namelijk de basis. Vaak slaan we nu nog zo veel en zo lang mogelijk data op, zonder ons af te vragen of wij deze wel nodig hebben. Hier zullen we dus beter over moeten gaan nadenken.

Onder de nieuwe AVG zal ook voor marketing-automationsystemen expliciet bij moeten worden gehouden wanneer en waarvoor een opt-in is gegeven. Doorgaans heeft een marketing-automationpakket ook een websitescript dat de lead verder volgt op persoonsniveau en een score bijhoudt voor verdere sales/opvolging. Denk bijvoorbeeld aan het aanvragen van een whitepaper, waaraan vervolgens een automatische mail flow gekoppeld is en vaak zelfs nog uiteindelijk telefonisch contact wordt opgenomen. Dit dien je als organisatie expliciet bij de opt-in aan te geven, inclusief het eerder besproken tracking verhaal.

Win het vertrouwen van je klant!

Oké, het is dus belangrijk om te weten wat je wel en niet mag onder de AVG. Maar de AVG roept ons als marketeer ook wel vragen op die minstens zo relevant zijn. Het is misschien wettelijk toegestaan, maar wíl ik deze gegevens wel verzamelen? Heb ik ze echt nodig om de klantervaring te verbeteren?

Consumenten worden steeds privacybewuster en willen meer controle over hoe hun gegevens gebruikt worden. Dit wil niet zeggen dat zij hun data niet willen afstaan, maar er moet wel een duidelijke ‘what’s in it for me’ zijn. Hier liggen dus kansen! Marketing draait om het creëren van toegevoegde waarde voor klanten, dus waarom zou je als het gaat om gegevensverwerking ook niet slim op de behoefte van je klant inspelen? Wees open, wees transparant en win het vertrouwen van je klant. Het laatste wat je wil, is je klant het ‘Big Brother is watching you’ gevoel te geven. Toch?


Over de auteur: Carola Heijden

Na de Bachelor Bedrijfseconomie, heeft Carola de master Marketing Management met succes afgerond aan de Universiteit van Tilburg. Sinds 2014 is zij werkzaam als Marketinganalist bij BouwKennis. Naast dat Carola zich bezig houdt met de commerciële uitingen, is zij verantwoordelijk voor het beheren van de databases van BouwKennis. Dagelijks houdt ze zich bezig met het maken van analyses en rapportages voor sales- en marketingdoeleinden. Daarnaast is Carola binnen BouwKennis medeverantwoordelijk voor het reilen en zeilen van het BouwKennisBlog.

Geef een reactie