GDPR for dummies - The School of Marketing KdG

GDPR. General Data Protection Regulation. Je hoort het als marketeer bijna elke dag passeren. Maar… wat is dat juist voor een beest? Kort gezegd gaat het om hoe bedrijven moeten omgaan met persoonlijke gegevens die ze verzamelen en hoe ze deze beveiligen. Tegen mei 2018 moeten alle bedrijven in Europa voldoen aan de vooropgestelde maatregelen. Bij deze dus enkele tips zodat je zeker niets vergeet.

Wat is persoonlijke data?

Een definitie van persoonlijke data, daar moeten eigenlijk niet te veel woorden vuil aan gemaakt worden. Persoonlijke data is alle data die tot identificatie van de persoon kunnen leiden. Dit gaat van het meest concrete: een naam en een adres tot de meest technische (bv IP-adres) gegevens. Voor al die gegevens zal er binnenkort dus een nieuwe wetgeving gelden. De privacy en de bewaking daarvan wordt hierbij vooropgesteld.

Lang leve de opt-in en de opt-out

Een belangrijk basisbeginsel van de GDPR is transparantie. De mensen moeten weten dat hun data verzameld wordt, wat ermee gedaan wordt en ze moeten daar ook hun toestemming voor geven. Veronderstelde toestemming volstaat niet meer (denk maar aan berichten zoals: door deze site te gebruiken, gaat u ermee akkoord dat er cookies aanwezig zijn).

Voor cookies zal je dus toestemming moeten vragen. Pop-up berichten zoals op de site van Sporza (zie hieronder) volstaan dan niet meer. De wet maakt echter een uitzondering voor cookies die puur dienen om de performance van je site in Analytics te volgen.

Net zoals in een goede e-mail moet een bezoeker van je site dus zowel de optie tot toestemming als de optie tot uitschrijving hebben. De opt-in en opt-out zullen een belangrijke plek innemen. Want iedereen heeft het recht om vergeten te worden. En in dat geval zit Sporza wel op het goede spoor, zoals we hier kunnen zien:

Niet gulzig zijn

Gulzigheid is een hoofdzonde. Ook de GDPR is daarmee akkoord. Als je persoonlijke gegevens van mensen verzamelt, moet alles wat je verzamelt een doel hebben. Heb je geen persoonlijk adres nodig van iemand? Dan heb je het recht niet om dat te vragen. Dit is voornamelijk om foutief gebruik te voorkomen.

Stel dat je jouw adres doorgeeft om via het contactformulier op een site meer info te vragen over een zaal waarin je een feest wilt geven. Je ontvangt de info via mail en twee weken later ontvang je reclame van het bedrijf in kwestie in je brievenbus. Dat kan en mag de bedoeling niet zijn.

Er is 1 uitzondering waarbij je de data voor andere doeleinden kan en mag gebruiken. Enkel als die nieuwe doeleinden verenigbaar zijn met de oorspronkelijke doeleinden, heb je het recht om dat te doen.

Houdbaarheidsdata

Hoe (lang) bewaar je de data die je online ontvangt? Dat hangt van de doeleinden af waarvoor je het gebruikt. Is het voor statistische doeleinden, openbaar belang of onderzoek? Dan kunnen de gegevens best lang bewaard worden. Maar als het gaat om een promotionele actie ben je veel beperkter in de tijd.

SecurITy

Het is ondertussen duidelijk dat met deze wetgeving er veel voorzichtiger wordt omgesprongen met persoonlijke data. Je verschiet er dan ook niet van dat de beveiliging van die data ook op en top moet zijn. Kortom moet je bij een inbreuk binnen de 72 uur melding kunnen doen (tenzij er een goede verklaring voor is). De veiligheid van alle IT binnen het bedrijf is dan ook prioriteit.

De klok tikt

Op dit moment zijn er nog veel bedrijven niet 100% in orde wat de GDPR betreft. En ze moeten gaan voortmaken, want over dik 100 dagen gaat de wet in werking. Zij die niet in orde zijn, worden hard aangepakt. De boetes bedragen tot 20 miljoen € of tot 4% van de totale omzet.

Dus, wat hebben we geleerd vandaag?