GDPR: wat moet je er als communicatieprofessional over weten?

Op 25 mei 2018 treedt de nieuwe Europese privacywetgeving in werking. Die General Data Protection Regulation, kortweg GDPR, wil consumenten beschermen tegen allerhande praktijken die misbruik maken van persoonlijke data zoals, spamming of phishing. GDPR heeft gevolgen voor alle bedrijven die persoonsgebonden data van EU-burgers in huis hebben, of het nu gaat om klanten/prospecten, leveranciers, de eigen medewerkers, enz. Zowat élke onderneming dus, groot en klein. En het is de EU menens, want bedrijven die niet conform zijn, riskeren een fikse boete. We kunnen er dus maar beter werk van maken…

10 tips voor communicatieverantwoordelijken en marketeers

  1. Documenteer hoe je met data omgaat, ook voor de data die je verzameld hebt in het verleden. Breng in kaart welke persoonsgebonden data er in jouw organisatie circuleren, wie er toegang toe heeft, waar ze vandaan komen, wat je ermee doet en hoe je ze eventueel uitwisselt met derde partijen.
  2. Zorg voor een goede privacy policy, geschreven op maat van het bedrijf en in heldere taal. Vermeld welke cookies en andere manieren om data te verzamelen je gebruikt en leg uit waarom je die data verzamelt. Ga ook na of je algemene voorwaarden, contracten, enz. nog up-to-date zijn en conform de nieuwe regelgeving.
  3. Stuur enkel marketingmails naar mensen die – via een (dubbele) opt-in – expliciet hebben aangegeven dat ze die willen krijgen. En weet dat je hiervoor niet langer een vooraf aangevinkte selectiebox op een formulier kunt gebruiken.
  4. Die opt-in vereiste is retroactief. Als dit in het verleden niet gebeurde, zorg er dan voor dat je van iedereen die in je databases is opgenomen, alsnog de toestemming krijgt.
  5. Krijg je persoonsgegevens in handen via een derde, dan moet je de betrokkenen hierover binnen de 30 dagen informeren en hen ook laten weten waarvoor je die gegevens zult gebruiken. Als je dit op een commercieel aanvaardbare manier wil doen, kun je maar beter creatief zijn!
  6. Geef iedereen ook altijd de mogelijkheid om zijn of haar voorkeuren aan te passen. En als iemand vragen heeft over zijn of haar gegevens, moet je binnen de 30 dagen reageren.
  7. Individuen kunnen op elk moment ook vragen om ‘vergeten’ te worden. Je moet hen dan verwijderen uit je databases. Indien je hun data hebt doorgegeven aan derden ben je er ook verantwoordelijk voor dat deze gegevens uit die databases verdwijnen.
  8. Maak je gebruik van externe diensten en oplossingen? Ga dan na of de leveranciers ervan ook GDPR-compliant zijn. Sluit een schriftelijke overeenkomst (met de nodige veiligheidsclausules) met elk bedrijf of individuele consultant waarmee je samenwerkt, bv. een onderaannemer die je digitale nieuwsbrieven verstuurt.
  9. Ben je ondanks al je voorzorgen toch het slachtoffer van een datalek? Dan ben je verplicht om dit binnen de 72 uur te melden bij de Privacycommissie. Indien het gaat over belangrijke gegevens (bv. in e-commerce) moet je ook de gebruikers op de hoogte brengen. Werk in elk geval een procedure uit om datalekken zo snel mogelijk op te sporen, te onderzoeken en te rapporteren.
  10. En tot slot: om ervoor te zorgen dat de regels rond het gebruik van persoonsgegevens goed worden nageleefd, kan je overwegen om een verantwoordelijke – een data protection officer (DPO) – aan te stellen. Voor een aantal bedrijven, bv. overheidsinstanties, is dit verplicht.

Nieuwe kansen

GDPR zal elk bedrijf tijd en geld kosten. Maar tegelijk bieden de strengere spelregels ook nieuwe kansen. Je kan GDPR-compliance als een marketingtroef uitspelen en duidelijk maken dat je de privacy van je klanten serieus neemt. Zo vergroot je het vertrouwen van je klanten in jouw onderneming.

Een ander voordeel, toch zeker voor bedrijven die internationaal actief zijn, is dat GDPR een internationale uniformiteit brengt. En daar waar Europa vroeger weleens achterop hinkte op bv. de Amerikaanse wetgeving, zie je nu dat andere continenten zich aan Europa spiegelen.

Meer weten?