Buzzwords zijn populair in elke sector. Als marketeer heb je ‘GDPR’ vast al zien voorbijkomen de laatste weken. Wat is GDPR en waarop biedt het een antwoord? Met deze blog wil ik je introduceren in de nieuwe wetgeving en haar context.

Wat is GDPR?

GDPR staat voor General Data Protection Regulation. Het is een Europese wetgeving die een betere bescherming moet bieden bij de verwerking van persoonsgegevens. Ze wordt van kracht vanaf 25 mei 2018 in alle EU-lidstaten en voor niet-Europese ondernemingen die actief zijn in Europa.

Enerzijds is deze wet een zegen voor privépersonen om meer rechten en controle te krijgen over hun persoonlijke gegevens. Vooral die gegevens die je identificeerbaar maken.

Anderzijds zien veel bedrijven deze strengere verplichtingen als een vloek. Voor hen betekent GPDR immers een verregaande nood aan transparantie, documentatie en processen.

Dat privacy voor Europa menens is, merk je aan de sancties: bedrijven die vanaf 25 mei 2018 niet voldoen aan deze wetgeving, riskeren tot 4% van hun wereldwijde jaaromzet of 20 miljoen euro te verliezen.

Europa hoopt hierdoor bedrijven bewuster met persoonlijke data te doen omgaan en de privé-omgeving van personen beter te beschermen. Deze wetgeving zou tevens de huidige verschillen binnen de Europese Unie moeten wegwerken.

Wat wordt er van bedrijven verwacht?

Wanneer we de 100 bladzijden herleiden naar de kern van de wetgeving, verwacht Europa 5 pijlers van bedrijven:

  1. Transparantie: als bedrijf moet je transparant en ondubbelzinnig je gebruikers informeren over hoe identificeerbare data over hen verzameld en verwerkt wordt.
  2. Data-overdracht: zorg dat gebruikers hun gegevens makkelijk kunnen opvragen om naar een andere dienstverlener over te schakelen.
  3. Recht om vergeten te worden: deze pijler kreeg al heel wat aandacht in de media, in relatie tot Google. Bedrijven moeten persoonsgegevens op aanvraag kunnen wissen.
  4. Meldplicht: een datalek van persoonsgegevens moet, op straffe van zware boetes, binnen de 72 uur gemeld worden.
  5. Internationale data-overdracht: persoonsgegevens van Europese burgers dienen steeds beschermd te worden volgens de GDPR-wetgeving. Ook als de hoofdzetel van een bedrijf buiten de Europese Unie opereert.

Hoewel deze GDPR-wetgeving van toepassing is voor alle Europese ondernemingen, heb ik de indruk dat Europa met de nieuwe regelgeving vooral de gegevensopslag en -verwerking van internationale platformen als Google, Facebook, Instagram en Snapchat aan banden wil leggen. Zij verhandelen immers data van gebruikers aan adverteerders. In de toekomst zullen ze transparanter moeten communiceren over de data van gebruikers die ze verzamelen.

Hoe word je GDPR-compliant?

Hoewel we nog niet weten hoe de Belgische privacycommissie de Europese richtlijn concreet zal maken, kan je als bedrijf wel al verschillende stappen ondernemen:

  • Start met iedereen in je onderneming bewust te maken van de nieuwe GDPR-regelgeving.
  • Ga op zoek naar welke gegevensverwerking er in jouw bedrijf gebeurt en welke externe partijen gegevens voor je verwerken (CRM, marketing tooling).
  • Vervolledig jouw privacyverklaring met de nieuwe vereisten.
  • Ga na of je voor alle persoonsgegevens die je verzameld hebt, aantoonbare toestemming hebt.
  • Zorg ervoor dat jouw klanten of gebruikers:
    • toegang krijgen tot hun gegevens
    • gegevens kunnen aanpassen of verwijderen
    • gegevensverwerking kunnen beperken
    • verzet tegen direct marketing kenbaar kunnen maken
    • kunnen uitschrijven van profiling
    • persoonsgegevens kunnen exporteren in gangbare formaten
  • Werk een procedure uit voor het opsporen en melden van datalekken.
  • Vraag een security audit aan. En informeer naar een ethical hacking opleiding voor je technische mensen.

Voor een volledig stappenplan verwijzen we naar het GDPR-ebook van Nucleus.

Waarop moet ‘GDPR’ een antwoord bieden?

Een interessante vraag is hoe Europa tot deze maatregel is gekomen. Welke incidenten hebben geleid tot een grotere bescherming van privégegevens? En waarom moeten bedrijven verplicht worden zorgvuldiger met persoonsgegevens om te gaan?

Daar hebben het aantal gegevenslekken zeker iets mee te maken. Sinds 2013 rapporteert Gemalto 7.094.922.061 gestolen gegevens. Dat zijn er zo’n 4.542.204 per dag.

Op haveibeenpwned.com kan je zelf nagaan of je gegevens gehackt zijn.

Wat is een gegevenslek?

Een gegevenslek komt voor wanneer persoonsgegevens in handen van derden komen die daar geen toestemming voor hebben. Vaak liggen beveiligingsproblemen, cyberaanvallen (DDOS), gestolen hardware of rondslingerende USB-sticks aan de basis.

De meest voorkomende oorzaken van een gegevenslek zijn:

  • Slordigheid, per ongeluk gegevens publiceren
  • Technische fout
  • Hacking
  • Inside Job
  • Hardware-diefstal
  • Slechte beveiliging

Bekende cases van gegevenslekken

Een voorbeeld van bij ons: de NMBS plaatste in 2012 de gegevens van zo’n 700.000 klanten online. Maandenlang waren de namen, telefoonnummers en andere persoonlijke gegevens van ministers, medewerkers van de Europese Commissie, het Amerikaanse ministerie van Buitenlandse Zaken en personeel van meerdere ambassades vrij beschikbaar.

Maar de NMBS is niet alleen. Belgacom, het Ministerie van Defensie en Jobat volgden. Deze verbleken echter bij de internationale datalekken van onder andere Snapchat, waarbij 4,6 miljoen namen en nummers vrijkwamen. Of wat dacht je van 1 miljard gelekte user accounts van Yahoo? Of misschien ben je wel één van de 50 miljoen gehackte Evernote-gebruikers.

gdpr security breaches
Informationisbeautiful.net toont de meest bekende cases op een leuke visuele manier.

Customer profiling

Niet alleen incidenten plaatsten deze wetgeving op de agenda van de Europese Commissie. Jouw digitale voetafdruk creëert een berg data. En daar moet je voorzichtig mee omspringen.

Denk aan Google of sociale media als Facebook of Snapchat die persoonsgegevens (anoniem) verkopen aan adverteerders. De Europese privacycommissie heeft al langer een turbulente relatie met Google en Facebook. Het is vandaag nog onduidelijk wat de strategie van Google, Facebook en andere platformen zal zijn.

Maar ook e-mail marketing, automation en customer profiling tools gebruiken persoonlijke data om berichten te personaliseren.

Ze hebben nog één jaar om dit te uit te werken.

Volg de ontwikkelingen rond GDPR op de voet

Als marketing agency werken we veel met data. Daarom volgen we de ontwikkeling van deze wetgeving op de voet voor onze klanten, leveranciers en onze eigen processen. Meer weten over GDPR en de nieuwste ontwikkelingen? Hou dan zeker onze blog in de gaten.

Bericht van

Jacob Eeckhout

Managing Director