Maak in 7 stappen uw marketing AVG-proof
Het kan u niet zijn ontgaan: de Algemene Verordening Persoonsgegevens (AVG) wordt 25 mei van kracht. Met nog maar een paar weken te gaan, is het nu echt tijd om uw marketing hiervoor klaar te maken. Vaak is het echter onduidelijk wat u hiervoor moet doen. Om een handje te helpen, geven we u daarom zeven stappen die u kunt zetten om uw marketing AVG-proof te maken.
Het doel van de AVG (ook wel General Data Protection Regulation, GDPR genoemd) is het verbeteren van de privacy en veiligheid van EU-inwoners. De huidige wet uit 1995 houdt namelijk geen rekening met de talloze mogelijkheden van tegenwoordig om op grote schaal persoonsgegevens van internetgebruikers te verzamelen. Logisch dus dat de wet vervangen wordt, maar wat mag u als marketeer nu nog wél en wat mag níet meer? Het antwoord daarop is eigenlijk heel simpel: er mag nog steeds heel veel, mits u toestemming van de gebruiker heeft. Zomaar een e-mail sturen naar een koude database is er daarom niet meer bij, maar daarentegen is de database die u wel kunt gebruiken een stuk relevanter.
Hoe zorgt u ervoor dat uw website klaar is voor de AVG? We zetten zeven stappen op een rij.
1. Zet een privacyverklaring op uw website
Uw websitebezoekers en uw klanten hebben het recht om te weten welke gegevens u van hen verzamelt en hoe deze beveiligd worden. In uw privacyverklaring geeft u aan welke gegevens u verzamelt en wat hiermee gedaan wordt. Ook legt u in deze verklaring uit wat de rechten van bezoekers zijn en hoe bezoekers hun toestemming voor het opslaan en verwerken van gegevens kunnen intrekken.
2. Gebruikt u cookies? Vermeld het!
Wanneer u cookies op uw website verzamelt, bent u verplicht om dit te melden. Dat is nu al zo, maar vaak wordt dit nog vergeten. U kunt de bezoeker op de hoogte stellen door middel van een cookiebanner, een pop-up melding op uw website, of via een cookie wall, een schermvullende pop-up waarbij de website tijdelijk geblokkeerd wordt totdat akkoord wordt gegaan met het verzamelen van cookies. In uw cookiemelding verwijst u naar een uitgebreidere uitleg over de cookies die u verzamelt en waarom. Dit kan opgenomen zijn in uw privacyverklaring, maar ook in een apart cookie statement. Geef ook aan hoe bezoekers cookies kunnen weigeren en verwijderen, of dat nu op uw website of in hun browser is.
3. Verzamel en deel geen gegevens zonder toestemming
Het lijkt misschien een open deur: maar verzamel geen gebruikersgegevens die traceerbaar zijn zonder hiervoor toestemming te vragen. Sla daarom IP-adressen anoniem op en zet automatische gegevensdeling met bijvoorbeeld Google Analytics uit. Hierover kunt u bezoekers informeren in uw privacyverklaring.
4. Sluit verwerkersovereenkomsten met partners
Maakt u gebruik van een extern bureau om u te helpen bij uw marketing en gebruiken zij daarvoor uw klantgegevens? Sluit dan een verwerkersovereenkomst met ze af. Een verwerker is niet eindverantwoordelijk voor de gegevens, maar is wel verplicht deze goed te beveiligen en geheim te houden.
5. Vraag toestemming voor het opslaan van gegevens van formulieren
Heeft u formulieren geplaatst voor bijvoorbeeld e-books, whitepapers en infographics? Vraag dan of u de ingevoerde gegevens mag opslaan wanneer iemand een formulier invult. Het beste kunt u hiervan een verplicht veld maken, zodat bezoekers het formulier alleen in kunnen vullen wanneer zij hiermee akkoord gaan.
6. Vraag toestemming voor het versturen van e-mails
Eigenlijk mocht het al niet meer, maar vanaf 25 mei mag u alleen nog e-mails sturen naar personen die daarvoor actief toestemming hebben gegeven. Dat geldt niet alleen voor nieuwsbrieven, maar ook voor bijvoorbeeld uitnodigingen en opvolgmails via marketing automation. De AVG stelt bovendien dat u redelijkerwijs moet kunnen aantonen dat personen zijn wie ze zeggen wie ze zijn. Via een dubbele opt-in voegt u een extra controle toe en kunt u redelijkerwijs aantonen dat degene die zich heeft aangemeld dat daadwerkelijk wilde. U kunt de opt-ins verkrijgen door onder de formulieren op uw website checkboxes toe te voegen met de verschillende soorten e-mails die u kunt versturen. Houd er wel rekening mee dat u voor iedere soort e-mail een apart vinkje nodig heeft en deze vinkjes niet automatisch aan mogen staan.
7. Vraag naar de data die u nodig heeft
Dat het prettig kan zijn om veel gegevens van iemand te hebben wanneer u een lead aan sales overdraagt, snappen we. Vanaf 25 mei mag u echter alleen nog de gegevens verzamelen die u daadwerkelijk gaat gebruiken. Vragen naar een geboortedatum is bijvoorbeeld alleen noodzakelijk wanneer uw klanten een bepaalde leeftijd moeten hebben om een product te kopen, uw producten hierop zijn afgestemd of u hen op hun verjaardag iets wil toesturen. Verwijder de persoonsgegevens waar u niets mee doet en stuur ook alleen persoonsgegevens naar eventuele verwerkers die relevant zijn. Laat u een bureau een nieuwsbrief opstellen en versturen? Stuur dan alleen een database met de voor die specifieke actie noodzakelijke persoonsgegevens, zoals voornaam, achternaam en e-mailadres.
Natuurlijk omvat de AVG veel meer dan bovengenoemde punten. Zo moet u controleren of u een ‘functionaris persoonsgegevens’ nodig heeft, of het noodzakelijk is om een Privacy Impact Assessment (PIA) uit te voeren en welke technische maatregelen om de rechten van betrokkenen uit te kunnen voeren nodig zijn.
De AVG is bovendien geen vervanging van de Meldplicht Datalekken. Ook na 25 mei bent u verplicht melding te maken van eventuele datalekken in uw organisatie en is een goede beveiliging van persoonsgegevens essentieel. Daarom is het belangrijk dat iedereen in uw organisatie weet hoe zij moeten omgaan met persoonsgegevens en alleen degenen die deze gegevens nodig hebben daar bij kunnen.
Wilt u meer lezen over wat de AVG voor u als marketingprofessional betekent? Download dan onze gratis whitepaper! Kunt u onze hulp gebruiken om uw marketing AVG-proof te maken, neem dan gerust contact op met een van onze experts.
Bronnen:
- https://www.rijksoverheid.nl/documenten/publicaties/2018/01/25/model-verwerkersovereenkomst-avg
- https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/in_10_stappen_voorbereid_op_de_avg.pdf