Het eerste deel van dit dossier vertelde u al hoe u dankzij uw marktonderzoek de basis kunt leggen voor een uitstekende direct marketing strategie, en welke online en offline wegen u kunt bewandelen op weg naar uw Ideale Klant.
In dit tweede hoofdstuk ligt de focus op de AVG en haar rol in uw marketingplannen: waarmee moet u rekening houden om ervoor te zorgen dat bijv. uw e-mailcampagnes volledig legaal zijn? Welke klantgegevens mag u zomaar opslaan en verwerken en waar heeft u toestemming nodig? En wat kunnen die beperkingen u leren over uw gebruikers? U leest het hier.
1. Wat is de Algemene verordening gegevensbescherming (AVG)
De AVG, staat voor Algemene Verordening inzake Gegevensbescherming (Engels: GDPR of General Data Protection Regulation), is een privacywet omtrent de verwerking van persoonsgegevens die sinds 25 mei 2018 de persoonlijke gegevens beschermt van alle internetgebruikers in de EU-lidstaten.
Iedereen laat op het web een digitale voetafdruk achter, die informatie bevat over uw interesses en koopgedrag: welke pagina’s u bezoekt, welke bestellingen u plaatst, etc. Die gegevens zijn uiterst waardevol voor bedrijven, die op basis daarvan hun online marketing strategie en bijbehorende advertenties aanpassen en personaliseren. Als u bijv. op het internet een jas koopt, zal u wellicht kort daarna in uw browser reclame te zien krijgen voor andere kledingstukken van dat merk.
Deze online identiteit is letterlijk goud waard en kan dus ten prooi vallen aan diefstal of misbruik. Met de AVG wil de Europese Unie ervoor zorgen dat organisaties die persoonsgegevens verwerken, hier op een ethisch verantwoorde manier mee omgaan, en dat gebruikers meer controle en zekerheid hebben over welke specifieke data ondernemingen verwerken voor hun dienstverlening. Ondernemingen hebben een grote verantwoordelijkheid wanneer het gaat om de gegevensbescherming van haar gebruikers.
De AVG is van toepassing op alle bedrijven en organisaties die persoonsgegevens verwerken in de EU, en is vooral belangrijk voor firma’s die omgaan met gevoelige informatie. Wie niet voldoet aan de AVG regelgeving, kan rekenen op zware boetes tot €20 miljoen of 4% van de jaarlijkse omzet.
Mensen maken gebruik van uw product of dienst omdat ze u vertrouwen, dus wees transparant, eerlijk en duidelijk over welke data u verwerkt. Verzeker uw klanten dat u die gegevens veilig en respectvol zult behandelen om zo hun privacy optimaal te beschermen.
2. Welke gegevens mag u (niet) bewaren?
U mag alleen persoonlijke gegevens van klanten, zakelijke partners, werknemers e.d. bijhouden als u voldoet aan enkele strikte voorwaarden. De AVG omschrijft dit als de “plichten van de verwerkingsverantwoordelijke”:
Rechtmatigheid, behoorlijkheid en transparantie | Bedrijven moeten persoonsgegevens naar behoren verwerken, zonder rechtmatigheid en transparantie uit het oog te verliezen. |
Doelbinding | Er moet een specifiek doel zijn voor de verwerking van de persoonsgegevens. |
Minimale gegevensverwerking | Een bedrijf mag alleen de persoonsgegevens verwerken die noodzakelijk zijn voor de levering van haar product of service. De hoeveelheid informatie is dus tot een minimum beperkt. |
Juistheid | Alle data moeten feitelijk correct zijn. |
Opslagbeperking | Bedrijven mogen de gegevens niet langer bewaren dan nodig. |
Integriteit en vertrouwelijkheid | Ondernemingen moeten alle informatie grondig beveiligen. |
Bron: Autoriteit Persoonsgegevens
U moet de zakelijke relatie tussen u en de partij van wie u de gegevens verwerkt kunnen aantonen en bewijzen aan de hand van bijv. facturen.
2.1. Persoonsgegevens en bijzondere persoonsgegevens
De AVG maakt een onderscheid tussen “persoonsgegevens” en “bijzondere persoonsgegevens”.
Persoonsgegevens omvatten namen, adressen, huisnummers, postcodes, etc. Zoals eerder vermeld, mag u persoonsgegevens verwerken als u voldoet aan de bovenstaande voorwaarden. Sommige instellingen zijn wettelijk verplicht om bepaalde persoonsgegevens te bewaren en te verwerken. Zo kan de Belastingdienst zonder adresinformatie de belastingen niet correct uitbetalen.
Bijzondere persoonsgegevens zijn gevoeliger en hebben extra bescherming nodig. Het gaat hierbij om data met betrekking tot ras of etnische afkomst, gezondheid, politieke opvattingen, seksuele geaardheid, biometrische gegevens, genetische gegevens over gezondheid, biometrische gegevens met het oog, lidmaatschap van een vakbond en religieuze of levensbeschouwelijke opvattingen. Verwerking van bijzondere persoonsgegevens is ten strengste verboden, tenzij in uitzonderlijke gevallen. Zo mogen bijv. ziekenhuizen medische informatie over hun patiënten bewaren om zo de best mogelijke behandeling te kunnen geven.
2.2. Registerplicht
Ieder bedrijf dat persoonsgegevens verwerkt moet een overzicht van die activiteiten noteren en bewaren in een register. Hierin noemt u alle verschillende categorieën van informatie die u verzamelt (bijv. adressen), de verschillende soorten betrokkenen (bijv. klanten) en de partijen aan wie u die data zult verstrekken (bijv. internationale instellingen).
Indien mogelijk vermeldt u ook hoe lang u deze gegevens zult bijhouden voordat u ze wist, en welke bescherming van persoonsgegeven u hanteert. Het register moet dus aantonen dat uw gegevensverzameling en -verwerking op een verantwoorde manier gebeurt.
De AVG legt geen specifieke vormvereisten op. Bedrijven mogen hun register bijhouden in een spreadsheet, een tekstverwerkingsbestand of via andere software.
Zodra u wijzigingen aanbrengt in uw verwerkingsbeleid, moet u die aanpassingen noteren in uw register. Ook is het belangrijk om alle veranderingen en stopgezette verwerkingsactiviteiten te bewaren; misschien heeft u dat ooit nog nodig als bewijsstuk.
Als de Autoriteit Persoonsgegevens vraagt om uw register in te kijken, dan moet u hen toegang verlenen. Is er een datalek? Geef dat dan onmiddellijk aan hen door.
Belangrijk! Uw register bevat een beschrijving van uw verwerkingsactiviteiten, NIET de persoonsgegevens zelf. |
3. Marketing: aandachtspunten
Vroeger kwam u bij online bestellingen of inschrijvingen gegarandeerd een dialoogvenster tegen waarin, onder de "Bevestigen"-knop, enkele kleine lettertjes het volgende meldden: “Door gebruik te maken van onze service, gaat u akkoord met onze algemene voorwaarden en stemt u ermee in dat wij u e-mails sturen voor promotionele doeleinden”. Sinds de invoering van de AVG is dat verboden: de EU-internetgebruiker heeft tegenwoordig veel meer controle over de verwerking van zijn of haar data.
U mag dus niet zomaar de persoonsgegevens van uw klanten gebruiken om hen reclame te sturen. Bij het opstellen en bijsturen van uw marketingstrategie moet u steeds rekening houden met twee belangrijke factoren: toestemming en toegankelijkheid.
3.1. Toestemming
U mag iemand alleen maar commerciële berichten sturen als hij of zij daar expliciet toestemming voor geeft. Als iemand online zijn of haar persoonlijke informatie aan uw bedrijf doorgeeft - bijv. door zich in te schrijven op uw nieuwsbrief, een offerte aan te vragen, uw product te bestellen, etc. - , dan moet u de klant een duidelijke keuze aanbieden.
Hoe doet u dat? Gebruik in uw dialoogvensters aanvinkvakjes die opties geven als “Ik ga akkoord met de algemene voorwaarden” en “Ja, ik wil graag via e-mail op de hoogte blijven van acties en nieuwsberichten” (e-mail opt-in).
Vergeet niet om daarbij te linken naar uw algemene voorwaarden en uw privacy beleid. Vermeld ook duidelijk welke privacyrechten u hanteert, welke gegevens u verzamelt en verwerkt, waarom u dat doet, en of u die data (geanonimiseerd) verstrekt aan eventuele derde partijen. Deze informatie moet helder en ondubbelzinnig zijn om misverstanden te vermijden.
Tip Eventueel kunt u de mogelijkheden nog verder opsplitsen en meerdere opties opsommen. Wil de klant bijv. alleen nieuwsbrieven ontvangen? Of liever alleen dringende berichten of updates? De keuzes van uw klanten kunnen u namelijk interessante informatie opleveren in verband met hun behoeften. Willen opvallend veel mensen bijv. bedrijfsupdates ontvangen? En blijken bijv. nieuwsbrieven minder populair te zijn? Dan kunt u uw marketingstrategie daaraan aanpassen en vooral focussen op de content die meer in trek is. |
U mag nooit zomaar veronderstellen dat iemand uw e-mails, promotiemateriaal en/of nieuwsbrieven wilt ontvangen. Ook is het verboden om lijsten met e-mailadressen te kopen of te kopiëren van andere sites voor uw promotionele doelen.
Eveneens illegaal: iemand automatisch toevoegen aan uw adressenlijst en dan wachten tot hij of zij zich uiteindelijk uitschrijft. Voeg dus nooit iemands e-mailadres toe aan uw mailing list als u daar geen uitdrukkelijke toestemming voor heeft gekregen.
Uitzondering Heeft u ooit al na een aankoop de vraag gekregen om het product of de service door te verwijzen naar een vriend(in), in ruil voor een extra korting of bonus? Bij dergelijke acties geeft persoon A (de initiële koper) het e-mailadres door van persoon B (de vriend, vriendin, vader, moeder, etc.). Vervolgens mag u een e-mail sturen naar persoon B zonder dat die daar expliciete toestemming voor verleent (“A raadt ons product aan!”), maar in dit geval gaat het eerder om een melding dan om reclamemateriaal. U mag persoon B alleen bijkomend promotiemateriaal versturen als hij of zij u daarvoor toestemming geeft. |
3.2. Toegankelijkheid
Uw klanten, zakelijke partners, werknemers, etc. moeten altijd en overal de mogelijkheid hebben om hun toestemming weer in te trekken. Vertel uw gebruikers bij hun aankoop of inschrijving dus duidelijk hoe en waar ze hun voorkeuren en instellingen kunnen wijzigen. Zoals het eerste deel van deze gids al opmerkte, moet u daarom uw e-mails steeds voorzien van links waarmee klanten zich eenvoudig kunnen uitschrijven of hun gegevens kunnen aanpassen.
Dankzij de AVG kan iedereen zich bovendien beroepen op het recht om vergeten te worden. Als uw database verouderde of foutieve gegevens bevat over iemand, dan mag die persoon vragen of u al die informatie wilt verwijderen - zodat uw systeem hem of haar “vergeet”. Ook dit kadert weer in de sterkere controle die gebruikers uitoefenen over hun data.
Als iemand vraagt om vergeten te worden, dan moet u dus alle gegevens verwijderen die uw onderneming over die persoon bezit. U kunt dat proces aanzienlijk vergemakkelijken door al die kennis te verzamelen op een gecentraliseerd CRM-platform (Customer-Relationship Management), dat netjes alle informatie sorteert per persoon. Zo kunt u dankzij enkele simpele muisklikken iemand “vergeten”.
Ook maakt een dergelijke centralisatie het eenvoudiger om uw klanten te segmenteren, zodat u een beter inzicht verkrijgt in hun interesses.
4. Kunt u persoonsgegevens verwerken?
Allereerst is het aanbevolen om te controleren welke persoonsgegevens u verzamelt, en of u die keuze kunt verantwoorden. Kunt u alle “plichten van de verwerkingsverantwoordelijke” aankruisen (zie boven)? U moet namelijk kunnen uitleggen waarom u die specifieke informatie nodig heeft om uw product of dienstverlening te leveren. Alle data die niet strikt noodzakelijk zijn om dat doel te bereiken mag u niet vragen, opslaan of verwerken.
Evalueer uw bestaande procedures voor gegevensverzameling dus grondig: hoe vraagt u uw gebruikers om toestemming? Hoe en waarom verwerkt u alle gegevens? Verwijder vervolgens alle data die u niet meer nodig heeft. Vergeet ook niet om na te gaan welke richtlijnen u momenteel volgt in het geval van een datalek.
Ook moet u ervoor zorgen dat uw lijst met e-mailadressen volledig en bijgewerkt is, zodat u alleen berichten verstuurt naar mensen die u daar expliciete toestemming voor hebben verleend. Trekt er iemand zijn of haar toestemming in? Dan moet uw systeem die aanpassing automatisch verwerken.
Daarnaast moet u ook uw privacy beleid integraal updaten. Maak er een eenvoudige en gemakkelijk leesbare tekst van: vermijd ingewikkelde vaktermen en wees ondubbelzinnig in uw bewoordingen, zodat er geen misverstanden kunnen ontstaan.
Bij hardnekkige twijfels kunt u uw marketingstrategie altijd bespreken met een advocaat.
Opmerking: push notifications Bij het surfen heeft u wellicht al eens de volgende pop-up zien verschijnen in de linkerbovenhoek van een webpagina: “Deze website wilt u graag meldingen sturen”. Vervolgens kunt u dat toestaan of blokkeren. Als een gebruiker instemt, dan kan de website hem of haar korte berichten (push notifications) verzenden. Zodra gebruikers op “Toestaan” klikken, geven zij geen e-mailadres door, maar wel een IP-adres - en dat beschouwt de AVG als persoonsgegevens. Bij het instellen van uw push notifications moet u er dus voor zorgen dat u de IP-adressen (deels) anoniem opslaat om de AVG te respecteren. Als uw bedrijf extra marketingcommunicatie wilt versturen naar de gebruikers die instemmen met uw push notifications, dan moeten die personen daarvoor toestemming geven. |
Heeft u hulp nodig bij uw boekhouding?
De snelste manier om een nieuwe boekhouder te vinden. We maken kennis, en binnen 5 minuten weten wij welke accountant het meest geschikt is voor u.