Als marketeer heb je GDPR vast al zien voorbijkomen de laatste weken. Wat is GDPR en waarop biedt het een antwoord? Met deze blog wil ik je introduceren in de nieuwe wetgeving en haar context.

Wat is GDPR?

GDPR staat voor General Data Protection Regulation. De Privacycommissie vertaalt dit als Algemene Verordening Gegevensbescherming (AVG).

Het is een Europese wetgeving die een betere bescherming moet bieden bij de verwerking van persoonsgegevens. Ze bestaat sinds 24 mei 2016 en voorziet een overgangsperiode van twee jaar. Vanaf 25 mei 2018 is deze wet van kracht in alle EU-lidstaten en voor niet-Europese ondernemingen die actief zijn in Europa.

Enerzijds is deze wet een zegen voor privépersonen met meer rechten en controle over persoonlijke gegevens. Vooral gegevens die je identificeerbaar maken. Anderzijds zien veel bedrijven deze strengere verplichtingen als een vloek. Voor hen betekent GPDR immers een verregaande nood aan transparantie, documentatie en processen.

Dat privacy voor Europa menens is, merk je aan de sancties: bedrijven die vanaf 25 mei 2018 niet voldoen aan deze wetgeving, riskeren tot 4% van hun wereldwijde jaaromzet of 20 miljoen euro boete. Europa hoopt hierdoor bedrijven bewuster met persoonlijke data te doen omgaan en de privé-omgeving van personen beter te beschermen. Deze wetgeving zou tevens de huidige verschillen binnen de Europese Unie moeten wegwerken.

Wat wordt er van bedrijven verwacht?

Wanneer we de 100 bladzijden herleiden naar de kern van de wetgeving, verwacht Europa 5 pijlers van bedrijven:

  1. Transparantie: als bedrijf moet je transparant en ondubbelzinnig je gebruikers informeren over hoe identificeerbare data over hen verzameld en verwerkt wordt.
  2. Data-overdracht: zorg dat gebruikers hun gegevens makkelijk kunnen opvragen om naar een andere dienstverlener over te schakelen.
  3. Recht om vergeten te worden: deze pijler kreeg al heel wat aandacht in de media, in relatie tot Google. Bedrijven moeten persoonsgegevens op aanvraag kunnen wissen.
  4. Meldplicht: een datalek van persoonsgegevens moet, op straffe van zware boetes, binnen de 72 uur gemeld worden aan het Centraal Meldpunt voor Datalekken.
  5. Internationale data-overdracht: persoonsgegevens van Europese burgers dienen steeds beschermd te worden volgens de GDPR-wetgeving. Ook als de hoofdzetel van een bedrijf buiten de Europese Unie opereert.

Hoewel deze GDPR-wetgeving van toepassing is voor alle Europese ondernemingen, heb ik de indruk dat Europa met de nieuwe regelgeving vooral de gegevensopslag en -verwerking van internationale platformen als Google, Facebook, Instagram en Snapchat aan banden wil leggen.

Uit onderstaande cases merk je dat er vaak licht wordt omgesprongen met persoonsgegevens van onder andere Europese burgers.

Daarnaast verhandelen Google en Facebook data van gebruikers aan adverteerders. In de toekomst zullen ze transparanter moeten communiceren over de data van hun gebruikers.

Hoe word je GDPR-compliant?

Hoewel we nog niet weten hoe de Belgische Privacycommissie de Europese richtlijn concreet zal maken, kan je als bedrijf wel al stappen ondernemen:

  • Start met iedereen in je onderneming bewust te maken van de nieuwe GDPR-regelgeving.
  • Ga op zoek naar welke gegevensverwerking er in jouw bedrijf gebeurt en welke externe partijen gegevens voor je verwerken (CRM, marketing tooling).
  • Vervolledig jouw privacyverklaring met de nieuwe vereisten.
  • Ga na of je voor alle persoonsgegevens die je verzameld hebt, aantoonbare toestemming hebt.
  • Zorg ervoor dat jouw klanten of gebruikers:
    • toegang krijgen tot hun gegevens
    • gegevens kunnen aanpassen of verwijderen
    • gegevensverwerking kunnen beperken
    • verzet tegen direct marketing kenbaar kunnen maken
    • kunnen uitschrijven van profiling
    • persoonsgegevens kunnen exporteren in gangbare formaten
  • Werk een procedure uit voor het opsporen en melden van datalekken.
  • Vraag een security audit aan. En informeer naar een ethical hacking opleiding voor je technische mensen.

Voor een volledig stappenplan verwijzen we naar het GDPR-ebook van Nucleus of het 13 stappenplan van de Privacycommissie.

Waar moet ‘GDPR’ een antwoord op bieden?

Een interessante vraag is hoe Europa tot deze maatregel kwam. Welke incidenten hebben geleid tot een grotere bescherming van privégegevens? En waarom moeten bedrijven verplicht worden zorgvuldiger met persoonsgegevens om te gaan?

Daar hebben het aantal gegevenslekken zeker iets mee te maken. Sinds 2013 rapporteert Gemalto 7.094.922.061 gestolen gegevens. Dat zijn er zo’n 4.542.204 per dag. Op haveibeenpwned.com ga je zelf na of je gegevens gelekt zijn.

De regering pakt in 2017, onder leiding van Staatssecretaris Philippe De Backer, datalekken stevig aan.

Wat is een gegevenslek?

Een gegevenslek komt voor wanneer persoonsgegevens in handen van derden komen die daar geen toestemming voor hebben. Vaak liggen beveiligingsproblemen, cyberaanvallen (DDOS), gestolen hardware of rondslingerende USB-sticks aan de basis. De meest voorkomende oorzaken van een gegevenslek zijn:

  • Slordigheid, per ongeluk gegevens publiceren
  • Technische fout
  • Hacking
  • Inside Job
  • Hardware-diefstal
  • Slechte beveiliging

Bekende cases van gegevenslekken

bekende-gegevenslekken
Bron: Business Insider

Voorbeelden uit België

  • De Digitale Wachtkamer lekte in juli 660.000 wachtwoorden, e-mailadressen en telefoonnummers.
  • NMBS plaatste in 2012 de gegevens van zo’n 700.000 klanten online. De namen, telefoonnummers en andere persoonlijke gegevens van ministers, medewerkers van de Europese Commissie, het Amerikaanse ministerie van Buitenlandse Zaken en personeel van meerdere ambassades waren maandenlang online beschikbaar.
  • NSA speelt hoofdverdachte in het lek van Belgacom klantengegevens.
  • Het Ministerie van Defensie publiceerde persoonlijke gegevens van 500 medewerkers.
  • Jobat plaatste loongegevens van 15.000 mensen online.
  • Deze verbleken echter bij de internationale datalekken van onder andere Snapchat, waarbij 4,6 miljoen namen en nummers vrijkwamen.

Internationale lekken

Facebook en Google

Niet alleen incidenten plaatsten deze wetgeving op de agenda van de Europese Commissie. Jouw digitale voetafdruk creëert een berg data. En daar moet je voorzichtig mee omspringen. Denk aan Google of sociale media als Facebook of Snapchat die persoonsgegevens (anoniem) verkopen aan adverteerders. De Europese privacycommissie heeft al langer een turbulente relatie met Google en Facebook en wil naar mijn mening een draagvlak creëren om harder op te treden.

Impact op (digitale) marketing

Als marketeer werk je dagelijks met data. Ik verwacht dat databeheer een belangrijke vaardigheid wordt voor elke digitale marketeer, agency of marketingafdeling. Al is het om de duidelijke link met je merkreputatie. Klanten verwachten een goede infrastructuur die zorgzaam omgaat met privacy en gegevens.

Eigenschappen van een goede online marketing infrastructuur:

  • Voorkeuren aanpassen: marketing automation of email marketing software moet de mogelijkheid bieden om je gegevens aan te passen of te verwijderen.
  • Opt-in: of het nu een single of double opt-in is. Gebruik alleen persoonsgegevens waarvan je expliciete toestemming hebt. Zorg dat je de toestemming ook kan aantonen.
  • Closed-loop: marketeers moeten betrokken zijn in de flow van data.
    • Waar en hoe registreer je gegevens?
    • Hoe wordt deze data opgeslagen?
    • Hoe veilig is je infrastructuur?
    • Welke contracten met derde partijen (vaak gegevensverwerkers) heb je? Ken je hun privacybeleid?

Vragen die nog onbeantwoord blijven en wachten op een specifieke uitwerking van de Belgische Privacycommissie:

  • Mag je e-mailadressen delen met agencies of bijvoorbeeld facebook om look-a-like audiences te bouwen?
  • Mag je remarketinglijsten delen met andere partijen?

 

Volg de ontwikkelingen rond GDPR op de voet

Als marketing agency werken we veel met data. Daarom volgen we de ontwikkeling van deze wetgeving op de voet voor onze klanten, leveranciers en onze eigen processen. Meer weten over GDPR en de nieuwste ontwikkelingen? Hou dan zeker onze blog in de gaten. Zit je met een vraag? Stel ze in de comments en wij zoeken het antwoord.

Bericht van

Jacob Eeckhout

Managing Director