GDPR en Marketing: zo laat je iedereen zien dat je op een goede manier met gegevens omgaat

2 min shares

De laatste maanden vliegen de blogs, artikelen en social media posts over de GDPR je om de oren. En dat is ook niet zo gek, want de aanstormende Europese privacy-wetgeving gaat per 25 mei 2018 van kracht. De General Data Protection Regulation (GDPR), of in het Nederlands, Algemene Verordening Gegevensbescherming (AVG) heeft effect op alle organisaties die in de EU opereren en persoonsgegevens verwerken. Denk bij persoonsgegevens bijvoorbeeld aan NAW-gegevens, maar óók aan gebruikersnamen (login namen), IP-adressen en locatie-gegevens. Het doel: de privacy van Europese burgers beter waarborgen en zorgen dat organisaties op een adequate manier met persoonsgegevens omgaan.


Is de GDPR van toepassing op mijn organisatie?

De GDPR geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de Europese Unie.

GDPR in het kort

Als burger krijg je meer controle over welke persoonsgegevens waar zijn opgeslagen. Met de GDPR heb jij als burger het recht om je persoonlijke gegevens te bekijken, laten wijzigen, verplaatsen of zelfs verwijderen. Verder heeft de GDPR effect op hoe organisaties met persoonsgegevens omgaan en hoe volledig ze de gebruiker hierover inlichten. Organisaties mogen bijvoorbeeld niet langer ongevraagd persoonsgegevens bewaren of delen met derden. Als marketeer heb je bijvoorbeeld expliciete toestemming van je gebruikers nodig om persoonsgegevens te verzamelen.

Wat kun je als (inbound) marketeer inrichten om te laten zien dat je op een goede manier met persoonsgegevens omgaat?

Compliant zijn aan de GDPR is een organisatie-brede verantwoordelijkheid. Maar als marketeer maak je waarschijnlijk gebruik van verschillende tools om inzicht te krijgen in het gedrag en de interesses van je (potentiële) klanten. Denk aan website en social media analytics, A/B testing, eye- of mouse tracking, of tools die feedback van gebruikers verzamelen. Ook verstuur je vast wel eens E-mails aan mensen in je database (bijvoorbeeld nieuwsbrieven, product-updates of aankomende evenementen). Kortom, je krijgt als marketeer veel te maken met persoonsgegevens.

Met het oog op de GDPR kun je dan in ieder geval letten op de volgende zaken:

Data verzamelen

Als marketeer wil je graag dat potentiële klanten jou online vinden, en vervolgens meer over je producten en diensten willen leren. Het begint dus met het verzamelen van data.

Verzamel persoonlijke data met opt-in

Je hebt dus expliciete toestemming nodig om persoonsgegevens te verwerken of verzamelen. Dit kun je bewerkstelligen met opt-in. De data mag dan alleen gebruikt worden voor het daarvoor bestemde doeleinde (bijvoorbeeld: een nieuwsbrief ontvangen). Daarnaast moet je de verzamelde gegevens zo transparant mogelijk verwerken en documenteren. Ook moet de gebruiker de mogelijkheid krijgen de toestemming weer in te trekken (opt-out).

Let daarbij in ieder geval op de volgende zaken:

  • Verwijzen naar de Privacy Policy (hierover later in dit blog meer)
  • Geen vooraf aangevinkte opties;
  • Wees duidelijk. Gebruik eenvoudig taalgebruik;
  • De gebruiker moet kunnen weigeren (opt-out);
  • Andere marketing-actie? Bied dan een nieuwe opt-in aan;
  • Documenteer waarom en wanneer de opt-in is gedaan door die persoon;
  • Bewaar gegevens niet langer dan noodzakelijk;
  • Beveilig persoonsgegevens goed. Is er toch een datalek? Meld dit binnen 72 uur bij de Autoriteit Persoonsgegevens;
  • Informeer de persoon over zijn of haar rechten onder de GDPR. Denk bijvoorbeeld aan het recht om vergeten te worden.


Vergeet (eventuele) tracking tools niet

Natuurlijk wil je de gebruiker op je website een goede ervaring bieden. Gebruik je tools om het gedrag van bezoekers op je website te analyseren? Dan dien je toestemming te krijgen van de website-bezoeker voor het plaatsen van analytische cookies. Ook zijn er verschillende tools die je vertellen hoe een gebruiker zich gedraagt op een specifieke pagina, waardoor jij die pagina kunt optimaliseren voor een goede online ervaring. Denk bijvoorbeeld aan Hotjar, een tool die onder andere met heatmaps in kaart brengt hoe bezoekers zich over je website bewegen. In dit blog worden tips gegeven waar je op kunt letten als het gaat om dergelijke tools en de GDPR.


Data opslaan en verwerken

Gebruik de data alleen voor het bestemde doel

Organisaties mogen de data alleen gebruiken voor het doel waarvoor de data verzameld is, dus waarvoor toestemming is gegeven. Als je de gegevens bijvoorbeeld aan derden wil doorgeven is dit een ander doel, en dien je hier apart toestemming voor te vragen van deze persoon.

Laat zien dat de gegevens goed beveiligd zijn

Wanneer je persoonsgegevens hebt verzameld, dien je te laten weten aan de gebruiker dat de data veilig is opgeslagen (lees: volgens de eisen van de GDPR). Voor sommige organisatie zou dat kunnen betekenen dat encryptie een geschikte oplossing is. Hier kun je meer lezen over de beveiliging van persoonsgegevens


Houd data accuraat

Gebruikers hebben het recht om hun persoonsgegevens door jou aan te laten passen of up-to-date te brengen als deze informatie niet langer klopt.


Houd rekening met data-profiling

Het automatisch indelen van gebruikers in categorieën of profielen heet profilering. Je maakt als het ware persoonlijke profielen op basis van gedrag of kenmerken van je gebruikers. Hiermee kun je in de toekomst bijvoorbeeld relevante content aanbieden, omdat je denkt dat bepaalde informatie interessant zou kunnen zijn voor de ontvanger. Onder de GDPR dien je duidelijk te vermelden welke vormen van profilering worden toegepast, en wat dat precies betekent voor de gebruiker. De gebruiker moet voor opt-out kunnen kiezen (lees: hij of zij geeft aan dat profilering bij hem of haar niet mag worden toegepast).


Tot slot: wees transparant

Dit kun je doen door een Privacy Policy in te richten op je website, of je bestaande Privacy Policy te verrijken met nieuwe informatie. Wanneer een bezoeker iets wil downloaden op je website door gegevens achter te laten op een formulier, kun je verwijzen naar deze Privacy Policy. De Privacy Policy dient beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk te zijn en bevat in ieder geval:

  • Identiteit en contactinformatie van de verwerkingsverantwoordelijke: bijvoorbeeld de naam van je organisatie (zoals die is ingeschreven bij de KvK) en de contactgegevens.
  • Het doel en de wettelijke basis voor de verwerking.
  • Gevolgen als persoonsgegevens niet worden verstrekt: als de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of noodzakelijke voorwaarde is, moet je ook de gevolgen van het niet verstrekken van de persoonsgegevens vermelden.
  • De bewaartermijn van persoonsgegevens: je bent verplicht aan te geven hoe lang de gegevens bewaard worden, of anders: welke criteria bepalen hoe lang het opgeslagen zal worden.
  • Vermeld hoe men zijn of haar eigen persoonsgegevens kan inzien, laten rectificeren of wissen. Vermeld hierbij ook hoe de betrokkene dat verzoek kan indienen.
  • Wijs de betrokkene op het recht om een klacht in te dienen bij de toezichthouder. De toezichthouder is de Autoriteit Persoonsgegevens.

Indien van toepassing:

  • Toon de contactgegevens van de Functionaris Gegevensbescherming (indien van toepassing).
  • Categorieën van ontvangers van de persoonsgegevens. Je bent verplicht te vermelden aan wie de gegevens worden doorgegeven.
  • Verstrekken van gegevens aan een ‘derde land’. Worden de gegevens aan een ‘derde land’ verstrekt, bijvoorbeeld omdat de servers in een ander land staan, dan ben je verplicht dat te vermelden. Lees hier meer over doorgifte binnen en buiten de EU.
  • Als gegevens met toestemming zijn verkregen, moet je vermelden dat de toestemming ook weer ingetrokken mag worden (opt-out).
  • Indien er gebruik wordt gemaakt van geautomatiseerde besluitvorming of profiling, dan moet je vermelden waarom dit gedaan wordt en wat de verwachte gevolgen daarvan zijn.

 

Je bent vast heel druk bezig met GDPR. Nu nog de laatste doorvertaling naar je technische omgeving. Als officiële HubSpot Diamond partner bieden wij hulp bij het GDPR-proof maken van je HubSpot omgeving. Volgens een helder en compleet stappenplan.

Maak mijn HubSpot GDPR-proof

 

Disclaimer: dit is geen wettelijk document of adviesdocument. Het biedt achtergrondinformatie welke je helpt de AVG/GDPR beter te begrijpen.

shares

Gerelateerd