2018 is nog maar net van start gegaan en nu is al duidelijk: dit jaar draait álles om data. Want de deadline om te voldoen aan de GDPR komt steeds dichterbij. Deze nieuwe Europese privacywetgeving wordt per 25 mei 2018 actief gehandhaafd. Vanaf die datum gelden er strengere regels voor het verzamelen en verwerken van persoonsgegevens. En dat is nou juist wat tegenwoordig continu wordt gedaan: organisaties verzamelen meer data dan ooit tevoren, zowel bewust als onbewust. De GDPR heeft dan ook grote gevolgen voor vrijwel ieder bedrijf, groot of klein. En daarmee dus ook uw merk of organisatie.

WAT IS HET DOEL VAN DE GDPR?

De afkorting GDPR staat voor General Data Protection Regulation. In Nederland spreken we van de Algemene Verordening Gegevensbescherming, kortweg de AVG. Deze Europese privacywetgeving gaat de Wet Bescherming Persoonsgegevens (Wbp) vervangen. Het doel van de GDPR/AVG is om de privacy van burgers beter te waarborgen én beter in te spelen op technologische ontwikkelingen.

EXPLICIETE TOESTEMMING VAN ELKE GEBRUIKER

Waar nu nog vaak ongevraagd persoonsgegevens worden bewaard en zelfs gedeeld, moeten bedrijven vanaf 25 mei expliciete toestemming van iedere eindgebruiker krijgen, om persoonlijke gegevens over deze persoon te verzamelen. Ook krijgen burgers meer controle over hun gegevens. Onder de GDPR heeft iedere burger het recht om zijn of haar persoonlijke gegevens te bekijken, te laten wijzigen, te laten verplaatsen en te laten verwijderen.

VOORKOM MEGABOETES

Deze strenge privacywet richt zich op álle organisaties die klantgegevens, gebruikersgegevens en overige privacygevoelige data beheren, verzamelen en/of verwerken. Met andere woorden: praktisch iedere organisatie moet vanaf 25 mei aantoonbaar maken dat deze voldoet aan alle verplichtingen van de GDPR. Organisaties die zich hier niet aan houden, lopen het risico op sancties. Deze megaboetes liegen er niet om: een boete kan oplopen tot maximaal 20 miljoen euro, of 4% van de jaaromzet.

DE IMPACT OP DIGITAL MARKETING

De GDPR heeft ook ingrijpende gevolgen voor elke marketingafdeling, marketing manager en marketeer. Het domein ‘digital’ draait immers steeds meer om data, nog specifieker: gebruikersdata en persoonsgegevens. De GDPR zal met name het speelveld van online marketing en advertising drastisch veranderen.

EEN VOORBEELD: Vanaf 25 mei mogen marketingafdelingen alleen nieuwsbrieven versturen naar mensen, die hier expliciet toestemming voor hebben gegeven. Elk individu moet hiervoor zelfs een actieve handeling verrichten, zoals bijvoorbeeld het vakje “ik wil de nieuwsbrief ontvangen” aanvinken. Onder de GDPR is het dus niet meer mogelijk om e-mailadressen te gebruiken, die ooit bij algemene contactaanvragen zijn ingevuld. Zelfs bestaande klanten die al nieuwsbrieven ontvangen, moeten per 25 mei expliciet toestemming geven voor elke afzonderlijke vorm van emailmarketing; of dat nu een nieuwsbrief is, een persbericht, of een gepersonaliseerde aanbieding.

MARKETEERS OPGELET: NIEUWE SPELREGELS VOOR PERSONALISATIE

Ook marketeers benutten voortdurend data, om de online klantreis te personaliseren en marketingcampagnes te optimaliseren. Verschillende tools worden hiervoor ingezet, zoals:

  • Website analytics
  • Social media analytics
  • A/B-testing
  • Eyetracking
  • Mousetracking
  • User feedback tools

Al deze data-driven tools geven de marketeer inzicht in het gedrag en de behoeften van de consument. De verzamelde gebruikersdata is met name waardevol voor personalisatie- en targeting-doeleinden, en bijvoorbeeld ook voor het optimaliseren van de gebruikerservaring.

Niet elke marketeer werkt volledig datagedreven, maar heeft wel toegang tot data – denk bijvoorbeeld aan Google Analytics – en maakt regelmatig beslissingen op basis van de beschikbare data.

IN 3 STAPPEN NAAR GDPR-PROOF MARKETING

De GDPR heeft dus ook grote gevolgen voor het dagelijkse gebruik van uw online marketing tools. Verzamelt u klantgegevens voor het versturen van nieuwsbrieven, of analytische data over het bezoekersgedrag op uw website? Of maakt u gebruik van verschillende tracking tools voor het in kaart brengen van bezoekersgedrag, of voor het personaliseren van advertenties? Lees dan hieronder welke 3 stappen u moet ondernemen, om aan de nieuwe privacyregels te voldoen.

STAP 1: VERZAMEL PERSOONLIJKE DATA MET OPT-IN

Voor het verzamelen en verwerken van persoonsgegevens moet u vooraf expliciete toestemming krijgen (opt-in). Dit geldt ook voor pseudo-anonieme gegevens, zoals versleutelde e-mailadressen en gebruikers-ID’s, die zonder aanvullende informatie niet tot de persoon herleidbaar zijn. Beide vormen van gebruikersdata mogen enkel en alleen worden gebruikt voor het daarvoor bestemde doeleinde.

Daarnaast moet u alle verzamelde persoonsgegevens zo transparant mogelijk verwerken en duidelijk documenteren welke data is verzameld, hoe deze data wordt gebruikt en hoe lang de informatie wordt bewaard. De gebruiker moet ook de mogelijkheid krijgen om de toestemming gemakkelijk weer in te trekken. Dit betekent dat persoonsgegevens direct moeten worden verwijderd, als de betreffende persoon hierom vraagt.

PRIVACY BY DEFAULT

De standaardinstellingen van uw online diensten moeten voor de gebruiker de meeste privacy waarborgen. Zorg er daarom voor dat de privacy-instellingen van elke dienst standaard op het hoogste niveau staan.

 CHECKLIST: AVG-PROOF DATA VERZAMELEN

Volg onderstaande checklist, om er zeker van te zijn dat u voldoet aan alle GDPR-eisen voor dataverzameling:

Bied altijd een duidelijke, expliciete opt-in aan, wanneer u toestemming vraagt om persoonsgegevens te verzamelen. De gebruiker moet hiervoor een actieve handeling verrichten, zoals bijvoorbeeld het aanvinken van een vakje.

  1. Maak het de gebruiker zo eenvoudig mogelijk om te weigeren en dus voor een opt-out te kiezen. Let op: laat geen vooraf aangevinkte opties zien.
  2. Gebruik de verzamelde persoonsgegevens alleen voor het specifieke doeleinde, waarvoor de gebruiker toestemming heeft gegeven. Gaat het om een andere marketingactie, dan moet u een nieuwe opt-in aanbieden.
  3. In uw CRM moet duidelijk gedocumenteerd worden wanneer en waarom voor een opt-in is gekozen.
  4. Zorg ervoor dat alle verzamelde persoonsgegevens op een zo transparant mogelijke wijze worden verwerkt.
  5. Bewaar de persoonsgegevens niet langer dan noodzakelijk.
  6. Zorg ervoor dat alle verzamelde data optimaal beveiligd is en meld een datalek binnen 72 uur.
  7. Informeer gebruikers altijd over hun rechten onder de GDPR, zoals het recht om vergeten te worden.

STAP 2: CONTROLEER UW TRACKING TOOLS

De GDPR heeft ook grote impact op het gebruik van tracking tools voor het analyseren en optimaliseren van uw website, de customer journey en conversies. Hieronder wordt uitgelicht hoe u deze tools GDPR-proof kunt maken.

ANALYTICS

Voor het plaatsen van analytische cookies moet u expliciet toestemming krijgen. Heeft een gebruiker geen toestemming gegeven, dan moet u ervoor zorgen dat de database geen gegevens over deze persoon bevat.

TIP: Maak het IP-adres van deze gebruiker anoniem.

OPTIMALISATIE

Optimalisatie tools worden voornamelijk gebruikt, om duidelijk te kunnen zien hoe bezoekers door de website navigeren. Er zijn verschillende tools op de markt, zoals bijvoorbeeld Hotjar, die het gedrag van bezoekers met behulp van heatmaps in kaart brengen. Onder de GDPR is het echter verboden om individuele bezoekers te tracken.

TIP: Wijzig de tracking instellingen van uw optimalisatie tool, zodat al het geregistreerde bezoekersgedrag anoniem wordt verwerkt.

STAP 3: STIMULEER OPT-IN VOOR ADVERTENTIETARGETING

Vanaf 25 mei heeft u expliciete toestemming nodig van elke persoon, voordat u cookie-gebaseerde advertentiefuncties gaat gebruiken. Dit geldt voor alle vormen van adverteren, waarbij gebruik wordt gemaakt van gebruikersgegevens. Remarketing en remarketing lists for search ads (RLSA) zijn hier goede voorbeelden van. Met deze vormen van adverteren worden advertenties aan gebruikers getoond, die uw site eerder hebben bezocht.

Ook moet u expliciete toestemming vragen voor targeting op customer-match (op basis van e-mailadressen) via Google AdWords. In sommige gevallen is juist het advertentieplatform, zoals Google of Facebook, verantwoordelijk voor het verkrijgen van toestemming. Dit geldt bijvoorbeeld voor targeting op custom audiences (aangepaste doelgroepen) en look-a-like audiences (vergelijkbare doelgroepen) via Facebook.

DATA-PROFILING

Diverse advertentietools, zoals remarketing en audience targeting, zijn gebaseerd op dataprofilering. Profilering is het automatisch verwerken van persoonsgegevens, om mensen in specifieke categorieën of profielen in te delen. Er is altijd expliciete toestemming vereist voor het gebruik van dataprofilering, om persoonlijke profielen te maken.

Onder de GDPR moet u duidelijk vermelden welke vormen van profiling u toepast en wat dit betekent voor de gebruiker. En elke gebruiker moet de optie krijgen, om deze functionaliteit te weigeren en dus voor opt-out te kiezen.

TIP: Maak bijvoorbeeld gebruik van een cookie pop-up, om toestemming te krijgen voor het plaatsen van tracking cookies voor profiling, remarketing en audience targeting. Let op: voor elk advertentiedoeleinde heeft u expliciet toestemming nog, dus creëer een  melding voor elke tracking cookie. De toestemming is alleen geldig als de persoon een actieve handeling heeft verricht. Toon daarom geen vooraf aangevinkte vakjes.

WEES TRANSPARANT

Dat de GDPR de marketingwereld op zijn kop gaat zetten staat vast. Maar deze nieuwe privacywet biedt ook kansen om de relatie tussen uw merk en de consument te versterken. Grijp deze kansen: zet de privacy van de consument centraal, ga de dialoog aan en bouw een vertrouwensband op met de gebruiker. Probeer gebruikers écht te overtuigen van de meerwaarde van personalisatie en wees zo transparant mogelijk bij het vragen van toestemming. Zo wint u het vertrouwen van de consument en wordt het ook steeds eenvoudiger om toestemming te krijgen.

Wilt u weten hoe Trees and the Forest uw marketingafdeling hierbij kan helpen? Neem dan contact met ons op!