Wat betekent de AVG voor je communicatie?

 In Strategie

Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG, ook wel bekend onder de Engelse afkorting GDPR, General Data Protection Regulation) van kracht. Het doel: bescherming van persoonsgegevens.

De regels rondom de AVG zijn complex. Ik kan checklists maken met 6, 12 of 25 tips, maar ik ben hierin geen expert. Dat laat ik dan ook graag aan de autoriteiten over. Waar ik je wel mee kan helpen is het in kaart brengen van wat het betekent voor je communicatie. Want vanaf 25 mei is het echt noodzakelijk dat je aan de regels voldoet of in elk geval aan kunt tonen dat je daar je best voor hebt gedaan, wil je boetes voorkomen.

De essentie van de AVG of GDPR

Voordat ik iets zeg over de consequenties voor je communicatiemiddelen, is het goed om de essentie van de wet samen te vatten. Je moet in kaart hebben welke persoonsgegevens worden verwerkt en hoe je dat vastlegt (in een zogenaamd verwerkingsregister). Ook dient iedereen binnen de organisatie van de AVG-regels op de hoogte te zijn en moet je aan kunnen tonen dat je je aan de wet houdt.

Voor je communicatie en marketing is er een aantal specifieke zaken rond de AVG waar je op moet letten.

  1. Check (online) formulieren

Van je (potentiële) klanten wil je liefst zoveel mogelijk weten om in je communicatie en marketing aan te sluiten bij hun wensen en behoeften. We verzinnen slimme call-to-actions (CTA) zodat klanten hun gegevens achterlaten of zich aanmelden voor een nieuwsbrief. De nieuwe wet stelt daar een aantal eisen aan. Relaties moet je expliciet melden:

  • welke gegevens je vastlegt;
  • voor welke periode de gegevens worden vastgelegd;
  • met welk doel je de gegevens vastlegt.

Loop dus de formulieren die je bijvoorbeeld op je website gebruikt na en pas ze daarop aan.

  1. Vraag expliciet toestemming

Voor het versturen van een nieuwsbrief of een mailing was expliciete toestemming van de ontvanger altijd al een vereiste (opt-in). De nieuwe wet gaat hierin nog een stapje verder. Trucjes, zoals het vooraf aanvinken van een hokje waarmee de persoon ‘akkoord gaat’ voor het ontvangen van een nieuwsbrief, mogen niet meer. Ook moet je voortaan expliciet toestemming vragen voor het vastleggen van gegevens. Click-gedrag op je website, het openen van je nieuwsbrief; we leggen allerlei (persoonlijke) gegevens vast. Zorg er dus voor dat je relaties expliciet toestemming geven voor wat je naar hen stuurt en voor de gegevens die je van hen vastlegt.

  1. Wees kritisch op welke marketingdata je verzamelt

We verzamelen op allerlei manieren marketingdata: via formulieren, op basis van persoonlijke gesprekken, via analytics. Denk erover na met welk doel je gegevens verzamelt. De wet schrijft namelijk voor dat je een gerechtvaardigd doel moet hebben voor het opslaan van gegevens. Als iemand het contactformulier invult omdat hij interesse heeft in je bedrijf, dan is het logisch dat je zijn telefoonnummer opslaat. Zijn schoenmaat is niet relevant. Tenzij hij wil weten wanneer de schoenen die jij verkoopt weer op voorraad zijn… Het verwerken van bijzondere persoonsgegevens als ras, geloof en gezondheid vereisen bovendien dat je eerst een risicoanalyse (een zogenaamde Persoonlijke Impact Analyse, PIA) uitvoert over wat er met die gegevens kan misgaan als ze ‘op straat’ komen te liggen bij een ‘datalek’ en dat je ze passend en voldoende beveiligd opslaat.

  1. Maak afspraken met je gegevensverwerkers

Voor je communicatie en marketing maak je vaak gebruik van diensten van andere partijen. Denk hierbij aan partijen als MailChimp voor het versturen van je nieuwsbrief. In dat geval deel je dus gegevens met een derde partij (de verwerker). Verwerkers hebben daarvoor vaak een standaard verwerkersovereenkomst opgesteld. Als verwerkingsverantwoordelijke moet je er wel alert op zijn. Belangrijk dus om goed je verwerkers in kaart te hebben; het zijn er ongemerkt meer dan je denkt. Denk aan een nieuwsbriefpakket als MailChimp, maar ook aan Google Analytics, Exact en Salesforce. Als je gegevens voor je klant verwerkt, zoals in ons geval, zijn wij verwerkers en blijft onze klant verwerkingsverantwoordelijke. Er komt dan nog een dimensie bij. Zo moet de klant ons toestemming geven voor het verwerken van de gegevens van zijn relaties door een subverwerker zoals MailChimp. Bovendien moeten wij helder maken dat de gegevens voldoende beveiligd zijn en dat de verwerker alleen handelt volgens onze instructies. Google heeft in haar analytics-omgeving een verwerkingsovereenkomst klaarstaan en ook MailChimp biedt een verwerkersovereenkomst voor haar gebruikers.

  1. Zorg voor een helder privacystatement

De AVG schrijft voor dat je de bezoekers van je website informeert over de gegevens die je via je website verzamelt, hoe je ze verwerkt en met welk doel je dat doet. Dat kun je op elk individueel moment apart doen, maar handiger is het om dat in je privacystatement op te nemen. In je privacystatement vermeld je ook:

  • hoelang je gegevens bewaart;
  • op welke manier bezoekers zich kunnen aan- en afmelden voor je nieuwsbrief;
  • hoe je omgaat met cookies;
  • hoe gegevens zijn beveiligd en hoe bezoekers inzage in de gegevens kunnen krijgen;
  • op welke manier gegevens gewijzigd en verwijderd worden.

Er bestaat geen ‘standaard’ privacystatement; wat je hierin vastlegt is afhankelijk van de gegevens die je via jouw website verwerkt en is dus altijd specifiek.

Ik hoop dat ik je een klein beetje op weg heb kunnen helpen in de wereld van de AVG. Voor complete en overzichtelijke informatie over de AVG/GDPR verwijs ik je graag naar de website van de Autoriteit Persoonsgegevens. Zij hebben een dossier aangelegd over dit complexe onderwerp, waarin alle informatie is gebundeld. Mocht je specifiek vragen hebben rond de consequenties voor je marketing en communicatie, laat het me dan weten. Je kunt contact met me opnemen via de mail petra@nota-bene.net.

Aanbevolen berichten

Start met typen en druk op enter om te zoeken

visieStart with the why