GDPR is een kans, ga er ook zo mee om!

Vanaf mei 2018 gaat het los: de GDPR wordt ingevoerd. Het gaat om een diepgaande privacywetgeving, die heel wat paniek veroorzaakt. Vooral IT en juridische afdelingen zijn onder de indruk van de hoge boetes tot 20 miljoen euro of 4 procent van de wereldwijde omzet. Maar waar het echt om gaat wordt vaak gemist. Marketeers moeten de nieuw op te bouwen vertrouwensband met hun klanten als kans gaan zien.

Jarenlang hebben we als marketeers misbruik gemaakt van de onwetendheid van de consument. Toch worden consumenten steeds mondiger en zijn ze steeds kritischer op de wijze waarop ze benaderd en gevolgd worden. Het gevaar bestaat dat een consument zich tegen je keert als hij zich niet goed behandeld voelt. De GDPR is dit voor en dwingt nu af dat marketeers hun mindset veranderen.

Onze visie is dat marketeers de nieuw op te bouwen vertrouwensband met hun klanten als kans moeten gaan zien. In dit artikel leggen we je de belangrijkste principes uit om deze kans te benutten.

De basics van de GDPR

Misschien heb je er al iets over gehoord: de GDPR (General Data Protection Regulation) of in het Nederlands de AVG (Algemene Verordening Gegevensbescherming). Deze nieuwe Europese wetgeving is in mei 2016 aangenomen en zal vanaf mei 2018 in werking treden.

De wet heeft als doel de privacy en persoonlijke gegevens van Europese burgers te beschermen en om beter aan te sluiten bij de huidige technologische ontwikkelingen. Ook de e-privacy richtlijn zal worden aangepast in lijn met dezelfde principes als de GDPR.

Consumenten zijn na de invoering volledig in de lead als het gaat om hun persoonlijke gegevens. Met één druk op de knop moeten ze alle gegevens kunnen opvragen die jij als bedrijf van hen verzamelt. Sterker nog: consumenten hebben het recht om aanpassing of verwijdering van hun gegevens te vragen.

Ook profiling en lifestyle marketing gaan drastisch veranderen, omdat de nieuwe privacywetgeving een andere aanpak van het verzamelen en beheren van persoonsgegevens afdwingt.

Is deze wetgeving op jouw organisatie van toepassing?

Zeer waarschijnlijk wel. De wet geldt voor alle organisaties die persoonlijke gegevens verzamelen of beheren van Europese burgers. ‘Persoonlijke gegevens’ omvat volgens de GDPR “alle informatie gerelateerd aan een geïdentificeerde (of te identificeren) natuurlijke persoon (‘data subject’). Een te identificeren persoon is iemand die kan worden geïdentificeerd, direct of indirect, in het bijzonder gerelateerd aan een herkenningspunt zoals een naam, identificatienummer, locatiegegevens, online ID, of op basis van één of meer van de volgende factoren: fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit.”

Kortom: elke marketingafdeling in Nederland zal met de gevolgen te maken krijgen.

Transparantie rond data is voor marketeers de kern van de wetgeving. De rest is hierop gebaseerd, bijvoorbeeld het vragen van toestemming aan consumenten voor gebruik van hun gegevens. Dit heeft weer tot gevolg dat profiling en het verzamelen van voorkeuren en gedrag aan regels gebonden is.

Transparantie rond data is voor marketeers de kern van de wetgeving.

Tot slot zijn er nog bijzondere bepalingen voor het gebruik van ‘gevoelige’ persoonsgegevens, zoals informatie met betrekking tot religie, ras, medische conditie en biometrische gegevens.

De 4 belangrijkste principes voor jouw marketingafdeling

Transparantie, toestemming, wijze van profiling en gevoelige persoonsgegevens zijn dus de belangrijkste topics voor jouw marketingafdeling.

1. Wees transparant

Laten we met het breedste thema beginnen: transparantie. Dit is tweeledig. Aan de ene kant moeten organisaties uitgebreide informatie kunnen verschaffen over de door hen verzamelde persoonlijke data en wat daarmee gedaan is/wordt. Aan de andere kant moeten consumenten de controle krijgen over hun persoonlijke data.

Dit betekent dat Europese consumenten hun data moeten kunnen inzien, laten wijzigen, laten verplaatsen (bijvoorbeeld bij het wisselen van verzekeraar) en laten verwijderen zonder onnodig oponthoud (in de volksmond bekend als ‘the right to be forgotten’).

Een voorbeeld van een uitzondering:

Als een consument zijn of haar persoonsgegevens wil laten verwijderen uit je bestanden, maar je moet de gegevens nog een bepaalde periode bewaren (om te voldoen aan wetgeving). Bijvoorbeeld: het bewaren van administratie voor de belastingdienst.

2. Vraag toestemming

Om transparant te kunnen zijn is het essentieel om toestemming (‘consent’) te vragen voor het gebruik van nieuwe persoonlijke data die je aan je database toevoegt (tenzij het om uitzonderingen gaat). De wetgeving vraagt je alleen data te verzamelen die je echt nodig hebt, ook wel data minimization. Je moet hierbij aangeven waar je deze gegevens voor gaat gebruiken. Dit moet kraakhelder zijn: “voor marketingdoeleinden” is te vaag en dus niet voldoende.

Gebruik daarom formuleringen als: “Mogen wij jouw schoenmaat hebben, zodat we alleen aanbiedingen doen die nog in jouw maat beschikbaar zijn?” en “Mogen we je locatiegegevens gebruiken om je onze dichtstbijzijnde vestiging te laten zien?” Ook moet erbij staan hoe lang je van plan bent deze gegevens te gebruiken voor dit specifieke doel.

De consent moet net zo makkelijk kunnen worden ingetrokken als het was om die te geven. Als organisatie moet je het verkrijgen van de consent kunnen aantonen, dus de datum en de bron moeten opgeslagen worden.

Tip:

Houd een exact overzicht bij met welke vraag je hebt gesteld om consent te krijgen, wanneer je die vraag hebt gesteld. Dus via welke bron en wat het antwoord was.

Een voorbeeld van een uitzondering:

Je hoeft geen consent te vragen voor het gebruik van gegevens die je nodig hebt om contractuele verplichtingen na te kunnen komen. Als online retailer heb je bijvoorbeeld een naam en adres nodig om een pakje te versturen. Je hoeft hier geen consent voor te vragen. Die heb je wel nodig als je het adres gaat gebruiken voor het verzenden van een verjaardagsattentie naar diezelfde persoon. Dit heet extending the cause.

3. Profiling

Voor veel marketeers is het een bittere pil: ben je net zo lekker op weg naar één-op-één gepersonaliseerde customer journeys, steekt de GDPR daar een stokje voor. Want profielen opbouwen, verrijken en gedrag voorspellen op basis van persoonlijke data – zonder dat de argeloze consument het in de gaten heeft – zit er niet meer in.

No-go’s: Aanbiedingen doen naar aanleiding van voorspeld gedrag, op basis van data die je over een persoon hebt. Bijvoorbeeld: een boekingssite mag geen duurdere of luxere hotelkamers aanbieden op basis van de chique buurt waar de potentiële klant woont. En een online retailer mag geen producten voorselecteren en aanbieden op basis van de leeftijd van de consument, als die bij hem bekend is.

Als je wel aan profiling wil doen, is het belangrijk om toestemming te vragen en de consument stap voor stap mee te nemen in het proces.

Een voorbeeld van een uitzondering:

Profiling mag wel als je de persoonlijke gegevens anonimiseert.

4. Bijzondere persoonsgegevens

Voor bijzondere persoonsgegevens gelden striktere regels. Het is in principe niet toegestaan deze gegevens te verwerken of op te slaan, tenzij er sprake is van een uitzonderingsgeval. Wel heb je hier als marketeer weer de optie om toestemming te vragen.

In het geval van bijzondere persoonsgegevens heb je ‘uitdrukkelijke’ toestemming (explicit consent) nodig. Bij ‘gewone’ toestemming is een bevestigende actie voldoende, zoals “Vul hier je e-mailadres is als je onze nieuwsbrief wil ontvangen.” Bij bijzondere persoonsgegevens is een uitdrukkelijk “Ja, ik ga akkoord” vereist.

Wat valt er onder bijzondere persoonsgegevens?

Het gaat hier om gegevens over:

• Etnische achtergrond of ras
• Politieke voorkeuren
• Religieuze of levensbeschouwelijke overtuigingen
• Vakbondslidmaatschap
• Gezondheid
• Seksuele oriëntatie en seksleven
• Genetische en biometrische gegevens

Veel marketeers denken dat ze wel wegblijven bij dit soort informatie. Maar denk aan simpele voorbeelden als een smartphone die je slaapritme bijhoudt, een stappenteller op je smartwatch, een app die je calorieverbruik bijhoudt en op basis daarvan gezondheidsaanbevelingen doet.

Dit zijn allemaal bijzondere persoonlijke gegevens. Ga dus altijd goed na welke gegevens je beheert en of onderdelen daarvan vallen onder deze subcategorie.

Voorbeelden van uitzonderingen:

• Het gebruiken van gevoelige gegevens mag wel als iemand het zelf publiek maakt. Bijvoorbeeld: een duidelijk politiek statement op Facebook.
• Als het nodig is in het kader van een arbeidsrelatie of sociale zekerheid. Bijvoorbeeld: het bijhouden van het ziekteverzuim van een werknemer.
• Als je lid wil worden of deel uitmaakt van een politieke of religieuze organisatie. Bijvoorbeeld: als je lid bent van een politieke partij. Deze partij mag dan jouw contactgegevens bewaren.
• Als er sprake is van een levensbedreigende situatie. Bijvoorbeeld: als je bloed nodig hebt na een ongeluk kan je arts de benodigde bloedgroep doorgeven.

Benut je kansen met deze 5 tips & tricks

1. Ga de interactie aan met je klant

De consument is in charge: een Identity Management Systeem met een MyPage/persoonlijke pagina waar consumenten zelf hun gegevens kunnen beheren, is een waardevolle aanvulling. Een laagdrempelige manier om interactie te hebben met je klant en stapsgewijs data te verzamelen.

2. Heb je consent nodig: ja of nee?

Check als je persoonlijke gegevens gebruikt altijd of je toestemming (consent) nodig hebt – zie de consent-chart verderop in het artikel – en of je die toestemming hebt gevraagd en opgeslagen. Je verkleint hiermee de kans dat je de klant voor het hoofd stoot.

3. Registreer je toestemming

Het nieuwe buzzwoord is Consent Lifecycle Management. Zorg dat je een CRM of Identity systeem hebt waarin je de toestemming kunt registreren. Het is daarbij belangrijk dat je per element kan zien wanneer je toestemming hebt gekregen: via welke bron en voor welk doeleinde. En eventueel wanneer de toestemming is ingetrokken of voor hoelang je de toestemming hebt.

In de nabije toekomst is kennis en intelligentie omtrent consent goud waard, omdat je je eigen processen hierop kan sturen.

4. Denk na over je profiling-proces

Neem de tijd om goed na te denken over hoe je je profiling-proces invult. Welke data heb je wanneer nodig? Vraag alleen om toestemming als je ook daadwerkelijk een toegevoegde waarde kunt aantonen en bouw zo stap voor stap een profiel op. Je zult uiteindelijk wellicht minder data hebben, maar wel data met een veel hogere kwaliteit en daardoor grotere waarde.

5. Onderzoek de mogelijkheden van social registration & social login

Naast de mogelijkheden is het ook aan te raden om de valkuilen van social registration en social login te onderzoeken. Bedrijven als Facebook zullen gedrag van consumenten willen blijven registreren, ook op de website van jouw organisatie. Ook hiervoor moet extra toestemming worden gevraagd, evenals voor de uitwisseling van de Facebook-gegevens met jouw organisatie.

De verwachting is dat de grote jongens zullen proberen zich er makkelijk vanaf te maken en de verantwoordelijkheid voor de uitwisseling van data bij jou als organisatie neer zullen leggen. Het grote voordeel is uiteraard het gemak voor je klant.

Bonustip

Bewaar de informatie over de toestemming altijd langer dan strikt noodzakelijk, ook als het is ingetrokken. Zo kun je altijd aantonen dat je legaal hebt gehandeld.

Chart: heb ik consent nodig?

Een nieuwe standaard voor marketing

We worden als marketeers door de GDPR met twee voeten op de grond gezet. We hadden niet meer het belang van onze consumenten voor ogen. In plaats daarvan werden snelle conversie en oneindige retargeting en remarketing steeds belangrijker, waarbij de toegevoegde waarde voor de consument soms ver te zoeken was.

Onder de GDPR kun je nog steeds marketing bedrijven op een op datagebaseerde manier. De uitdaging is om voortdurend te zorgen voor een win-winsituatie. Klanten moeten begrijpen waarom bepaalde (op persoonlijke data gebaseerde) diensten voor hen nuttig zijn. Door bij elke stap transparant te zijn en consent te vragen, zorg je ervoor dat je vertrouwensband opbouwt met je klanten. En als een klant je leert kennen en vertrouwen, wordt het steeds makkelijker om toestemming te krijgen en een profiel op te bouwen waar een klant achter staat.

Een vriend aan je eettafel vertel je per slot van rekening ook meer dan een huis-aan-huis-verkoper voor je deur!