Het belang van GDPR voor jouw organisatie

Het belang van GDPR voor jouw organisatie

Een Belgische burgemeester moet 2.000 euro boete betalen voor het versturen van gepersonaliseerde e-mails zonder consent. Een bekende Belgische verzekeraar krijgt een boete van 50.000 euro voor een gebrek aan transparantie in de privacy policy. De Ierse privacytoezichthouder legt Instagram een boete op van maar liefst 405 miljoen euro, omdat het onzorgvuldig is omgesprongen met data van kinderen.

Het zijn maar enkele recente voorbeelden waarbij het niet naleven van de GDPR effectief tot een sanctie leidde. Dat de GDPR geen loze letter is en er steeds meer belang gehecht wordt aan het beschermen van data, mag duidelijk zijn. Het kan dus zeker geen kwaad om de regelgeving er opnieuw bij te nemen en na te gaan of jouw organisatie compliant is.

GDPR: wat is het ook weer?

GDPR: je hebt er ongetwijfeld al veel over gehoord, want deze Europese regelgeving dateert al van 2018. GDPR staat voor General Data Protection Regulation. Het centrale uitgangspunt is het beschermen van de Europese burger en zijn data. Elke organisatie die persoonsgegevens verzamelt en verwerkt, is gehouden aan de wetgeving. Wie de regels overtreedt, loopt kans op hoge boetes en sancties: tot 4% van de wereldwijde jaaromzet.

Enerzijds kent de regelgeving een aantal rechten toe aan burgers. Anderzijds legt ze een aantal verplichtingen op aan organisaties en bedrijven. Kort gezegd zijn er vier belangrijke uitgangspunten: 

  1. Als organisatie moet je personen informeren over hoe hun data verzameld en verwerkt worden.
  2. Je moet verantwoording kunnen afleggen voor de verwerking van die gegevens.
  3. Personen hebben een aantal rechten, zoals ‘het recht om vergeten te worden’.
  4. Als organisatie ben je verplicht een datalek te melden binnen de 72 uur.

GDPR staat voor General Data Protection Regulation

GDPR: ook voor jouw organisatie?

Hoe weet je of ook jouw bedrijf gebonden is aan de GDPR? Heel eenvoudig: elke organisatie die persoonsgegevens verzamelt en verwerkt, moet kunnen aantonen hoe ze die data gebruiken en beveiligen. En is dus gehouden aan de GDPR. Persoonsgegevens mag je daarbij trouwens heel ruim interpreteren. Het gaat over alle gegevens die kunnen terugleiden naar ‘natuurlijke personen’, denk onder meer aan identificatiegegevens, medische gegevens, contactgegevens zoals e-mailadressen of financiële informatie. 

Enkele voorbeelden uit de praktijk waarbij de regelgeving van toepassing is:

  • Op je website staat een invulformulier om de nieuwsbrief te ontvangen.
  • Je verstuurt op regelmatige basis nieuwsbrieven naar je contacten.
  • Je website maakt gebruikt van cookies.
  • Je houdt gegevens bij van klanten en prospects in een CRM platform zoals HubSpot. 
  • Je gebruikt tools als Phantombuster voor data scraping.

GDPR: welke gevolgen heeft het voor marketing?

Dat GDPR een grote impact heeft op je bedrijf én je marketing inspanningen, is wel duidelijk. Maar dat het je marketingactiviteiten noodgedwongen op een lager pitje zet, is fel overdreven. De gouden regel: hou je strikt aan een aantal basisregels en zorg voor het nodige bewustzijn hieromtrent binnen je organisatie. 

  • Privacy Policy

De privacy policy is ongetwijfeld het belangrijkste GDPR document aan de buitenkant van je website. Het moet de eerste ‘to do’ zijn van elk bedrijf bij de lancering van een website. De policy moet eenvoudig vindbaar en beschikbaar zijn, bij voorkeur in de footer. Naast het vermelden van de rechten, is het ook verplicht aan te geven wie er achter de website zit en hoe men contact met je kan opnemen. 

  • Cookie policy en cookie banner

Ook cookies zijn onderhevig aan de GDPR. Een cookie is een klein tekstbestand dat gebruikt wordt voor profiling, een manier om websitebezoekers te gaan identificeren op basis van de websites die ze bezoeken. Ook hier moet de policy eenvoudig toegankelijk zijn voor bezoekers. Maakt je website gebruik van cookies? Dan ben je verplicht websitebezoekers hiervan op de hoogte te brengen én hun toestemming te vragen via een cookie banner. Daarin geef je mee welke cookies op de site staan (functioneel, statistisch, marketing,…), waarvoor je ze gebruikt en wanneer ze verlopen.

  • (Double) opt-in

Wil je de e-mailadressen van mensen die hun gegevens achterlaten op je website gebruiken voor marketingdoeleinden? Dan moet je hiervoor expliciet toestemming vragen aan de gebruiker. Die toestemming moet “vrij gegeven, specifiek en transparant” zijn. Hij/zij moet met andere woorden weten waarvoor zijn gegevens gebruikt worden. Bovendien moet elke gebruiker de kans krijgen om zijn akkoord ook weer in te trekken. En als bedrijf moet je de bewijslast hiervoor bijhouden. 

  • Gerechtvaardigd belang

Mag je dan niemand nog mailen, zonder voorafgaande toestemming? Toch wel. Een belangrijk begrip binnen de GDPR is ‘gerechtvaardigd belang’. Dit is de afweging dat jouw belang als organisatie zwaarder doorweegt dan de fundamentele rechten en vrijheden van de betrokkene. Zo mag je als bedrijf je bestaande klanten na een aankoop informeren over soortgelijke, eigen producten of diensten. Zelfs ex-klanten, voor een redelijke termijn en voor zover ze hiervoor geïnformeerd zijn, kun je dergelijke informatie toesturen. Hen zomaar een maandelijkse nieuwsbrief sturen, is dan weer een brug te ver.

Wat bij overtredingen?

De Privacycommissie of Gegevensbeschermingsautoriteit van elk land zorgt ervoor dat de grondbeginselen van gegevensbescherming correct nageleefd worden. Iedereen die vermoedt dat zijn persoonsgegevens zijn verwerkt op een manier die in strijd is met de regelgeving, kan een klacht indienen bij de privacycommissie. Dat kan dus ook een klant, prospect of zelfs werknemer zijn.

De toekomst van dataprotectie

En het laatste is nog niet gezegd over dataprotectie. Zo oordeelde de Oostenrijkse gegevensbeschermingsautoriteit DSB recent dat websites die gebruik maken van Google Analytics in strijd zijn met de GDPR. Google ontwikkelde daarop een nieuwe versie van GA – Google Analytics 4 -, die rekening houdt met deze privacy issues.

Niet alleen overheden zijn steeds bezorgder om de protectie van persoonsgegevens. Ook grote IT spelers nemen dataprotectie steeds meer au sérieux. Google kondigde aan dat het third party cookies niet meer zal toelaten op zijn Chrome-browser en dit vanaf 2024. Hiermee wil Google tegemoet komen aan de “grotere eis van users omtrent transparantie, keuze en controle over hoe hun data gebruikt wordt”. 

To be continued…

 

Graag op de hoogte blijven van all things marketing? Schrijf je dan via onderstaand formulier in voor onze maandelijkse nieuwsbrief 👇