Privacywet 2018 en de impact op online marketing

Privacywet 2018 en de impact op online marketing

In 2018 gaat de nieuwe Europese privacywet GDPR, General Data Protection Regulation van kracht. In Nederland spreken we van de Algemene Verordening Gegevensbescherming oftewel AVG. Deze nieuwe privacywetgeving zal de verouderde Wet bescherming persoonsgegevens (Wbp) vervangen. Voor de meeste bedrijven betekent dit dat zij hun beleid en werkwijze rondom het verzamelen en opslaan van persoonsgegevens zullen moeten optimaliseren. Wil je een flinke boete voorkomen, dan zul je vanaf 25 mei 2018 je aan de nieuwe wetgeving moeten houden.

Waarom de nieuwe privacywet

De nieuwe wetgeving is noodzakelijk, omdat de uitwisseling van data overal ter wereld is toegenomen. Tot op heden gold de Wet bescherming persoonsgegevens (Wbp); deze verouderde wet stamt uit 1995 en dekt de lading niet meer. Zo is de wereld sinds 1995 gedigitaliseerd en worden er steeds meer digitale gegevens opgeslagen en uitgewisseld. Het gevaar voor misbruik is zeker ook toegenomen. Een grondige update van de huidige Europese privacyrichtlijn was daarom noodzakelijk.

De AVG is op 4 mei 2016 gepubliceerd in het Publicatieblad van de Europese Unie. Deze nieuwe privacywet is 20 dagen na de publicatie al in werking getreden, maar zal pas vanaf 25 mei 2018 van toepassing zijn.

Bedrijven hadden dus een ruime periode van 2 jaar om zich goed voor te bereiden op de AVG. Als je na 25 mei 2018 niet voldoet aan de AVG dan volgen er sancties. In de inwerkingsperiode geldt in Nederland nog steeds de Wbp.

Wat houdt de nieuwe privacywet (AVG/GDPR) in?

In zijn kern dient de nieuwe privacywet om personen te beschermen tegen misbruik van hun persoonlijke gegevens door bedrijven. Voorbeelden van zulke gegevens zijn: naam, adres, e-mailadres, IP-adres en cookies (als zij een gebruiker uniek identificeerbaar maken).

Daarnaast zijn er ook bijzonder privacygevoelige persoonsgegevens zoals burgerservicenummer, ras, gezondheid, godsdienst, strafrechtelijk verleden en politieke overtuiging.

Organisaties die persoonsgegevens verzamelen dienen dus de privacyrechten van burgers veel beter te beschermen. Doen ze dit niet dan kunnen ze forse boetes van tot wel 20 miljoen Euro opgelegd krijgen.

De AVG heeft twee verplichte uitgangspunten, te weten: ‘privacy by design’ en ‘privacy by default’.

  1. Privacy by design houdt in dat er al bij het ontwerp van producten en diensten voor gezorgd moet worden dat persoonsgegevens goed worden beveiligd.
  2. Privacy by default houdt in dat er maatregelen moeten worden genomen om ervoor te zorgen dat er standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

Hoe kun je als bedrijf voldoen aan de AVG?

Maar wat moet je concreet doen om aan de AVG te voldoen? Goede vraag. In dit artikel komen niet alle punten uit de wet aan de orde. Zie het eerder als een leidraad voor bedrijven en personen die aan online marketing doen. We bespreken daarom de elementen van de AVG die betrekking hebben op je social media, hoe je adverteert, je website en e-mailmarketing. Het wordt nu zaak om klanten te overtuigen dat het afstaan van hun gegevens hen iets zal opleveren. Hoe doe je dit? Lees gerust verder.

Wees transparant
De data waarop de AVG betrekking heeft is van groot belang voor je online marketing. Zo worden persoonsgegevens gebruikt om bijvoorbeeld je aanbod persoonlijker te maken. In de nieuwe situatie is het zaak om heel transparant te zijn over welke gegevens je verzamelt en waarom. Waarschijnlijk zal je privacyverklaring een update moeten krijgen. Zorg ervoor dat die beknopt en begrijpelijk is voor een ieder. Het beste kun je een advocaat inhuren om je privacyverklaring te controleren.

AVG legt een documentatieplicht op. Dit houdt in dat de gegevensverwerking volledig in kaart gebracht dient te worden. Documenteer hoe gegevens worden opgeslagen en met welk doel. Tevens is het zaak aan te geven hoe je aan deze gegevens komt en met wie ze worden gedeeld.

Datalekken dienen gemeld te worden
Een ander belangrijk onderdeel van de AVG is de meldplicht datalekken. De eisen zijn onder de AVG strenger. Alle datalekken dien je te documenteren en met deze documentatie moet de AP kunnen controleren of je aan de meldplicht hebt voldaan.

Extra toestemming bij het opvragen en opslaan van persoonsgegevens
De AVG stelt strengere eisen aan toestemming. Als bedrijf moet je kunnen aantonen dat je toestemming hebt van de betrokkenen om hun persoonsgegevens te gebruiken. De manier waarop je toestemming vraagt speelt daarom een belangrijke rol. Tevens moet het mogelijk zijn voor de betrokkenen om hun toestemming in te trekken als zij dat willen. Zo moeten lezers zich bijvoorbeeld ten alle tijden kunnen uitschrijven voor je commerciële e-mails.

Update je e-mailmarketing systeem
De privacywet zal meteen van invloed zijn op je e-mailmarketing systeem. Het zal niet langer toegestaan zijn om e-mails met een commerciële strekking te verzenden naar personen zonder dat zij expliciet daartoe toestemming hebben gegeven. Daarnaast wordt de inhoud van deze commerciële mails ook onder de loep genomen. Je mag e-mails versturen die betrekking hebben op de dienst die is afgenomen of het product dat is verkocht. Daarnaast dien je ook aan te geven hoe vaak zulke mailings zullen worden verzonden.

Een goed voorbeeld van de aanpassing is dat het niet meer is toegestaan om bij formulieren standaard het vinkje aan te zetten voor het inschrijven voor een nieuwsbrief. Dit is geen expliciete toestemming. De betrokkene moet het zelf aanvinken.

Personen mogen dus niet meer zonder toestemming worden opgenomen in je nieuwsbrieflijst. Ook al hebben ze hun e-mailadres opgegeven voor bijvoorbeeld het downloaden van een weggever. Ja, ook dit valt niet onder expliciete toestemming.

Let wel dat de wet niet alleen betrekking heeft op e-mailadressen die je nu verzamelt, maar ook op de gegevens die je al hebt opgeslagen. Bevat je klantenlijst op dit moment e-mailadressen van personen die geen expliciete toestemming hiervoor hebben gegeven? Dan zul je die moeten verwijderen.

Klantenbestanden importeren in Facebook
Wat marketeers ook vaker doen en binnenkort niet meer mag, is het gebruik van klantenlijsten om op Facebook te adverteren. In Facebook kun je namelijk je e-mailbestand(bijvoorbeeld je nieuwsbrieflijst) importeren en aan die personen advertenties tonen. Ook dit is tegen de nieuwe AVG wetgeving. Dus ook hier moet je expliciet toestemming voor vragen.

Retargeting/remarketing
Hetzelfde is van toepassing bij retargeting (remarketing voor zij die Google AdWords gebruiken). Hiermee benader je een groep gebruikers nogmaals met een aanbieding. Het opslaan van cookies voor het inzetten van retargeting eist ook expliciete toestemming van de betrokkenen. Een opt-in is prima hiervoor. Deze opt-in moet goed te begrijpen zijn. Wees transparant over waarvoor de betrokkene toestemming geeft. Ook hier mag er geen vooraf aangevinkt vakje worden gebruikt.

Conversiemeting
Conversiemeting is van essentieel belang voor het optimaliseren en beheren van advertentiecampagnes. Conversiemeting kun je op verschillende manieren doen en de meest gebruikte manier is cookie-based. Met behulp van een cookie wordt dan bepaald of een specifieke gebruiker een gewenste handeling (zoals een aankoop doen) heeft gepleegd. Dit valt dus ook onder het meten van bezoekersdata en hiervoor zul je toestemming moeten vragen bij de betrokkene.

Websiteverkeer meten
Marketeers gebruiken krachtige tools als Google Analytics en Hotjar om de volledige klantreis meetbaar te maken. Deze tools werken veelal cookie-based. Dus een opt-in wordt in dit geval ook noodzakelijk. Let wel dat een cookiewall (verplicht accepteren om de content van de website te bezichtigen) niet mag volgens de nieuwe privacywet. Het liefst kun je een cookie-melding inzetten.

Beveiliging van websitedata
Bedrijven die persoonsgegevens verzamelen zullen dit ook moeten beveiligen. Als eigenaar van een website kun je ervoor zorgen dat persoonsgegevens op een veilige manier worden verwerkt door de SSL-techniek in te zetten. SSL is herkenbaar aan de https:// voor de url. Veel websites zijn al overgestapt naar https en binnenkort zal het verboden zijn om gegevens op te vragen zonder https.

Tot slot

Het is een mooie uitdaging voor marketeers om aan de nieuwe wet te voldoen. Voor de meeste marketeers is Google een belangrijke partner voor de opslag van data. Google heeft aangegeven dat ze alles in het werk stelt om met haar services volledig te voldoen aan de vereisten van de nieuwe privacywet. Ja, ook zij dienen zich te houden aan de nieuwe wetgeving. Je data is dus veilig bij Google. Let wel dat dit (je data opslaan bij Google) niet betekent dat je automatisch voldoet aan de eisen van de Privacywet. Je zult je eigen bedrijfsvoering en processen ook onder de loep moeten nemen.

SmartRankers

SAMEN MEER BEREIKEN?

Wij drinken graag een warme of koude (én na 4 uur een alcoholische) versnapering met jou! Laat je contactgegevens achter en we bellen je terug om een afspraak in te plannen.