De ‘Data Handling guide’ voor marketeers na de invoering van de AVG

De AVG heeft voor vrijwel iedere sector ingrijpende gevolgen. Veel marketeers staan er niet bij stil, maar ook voor hen gaat er het nodige veranderen. Marketing draait immers sinds enkele jaren steeds meer om data, en die data zijn steeds vaker persoonsgegevens. Waar moeten marketeers rekening mee houden?

Verloren vertrouwen

De vraag naar data brengt echter ook de nodige risico’s en privacy-issues met zich mee. Veel consumenten hebben het vertrouwen in commerciële organisaties verloren als het gaat om respect voor hun privacy. Ze zijn er allerminst van overtuigd dat bedrijven genoeg doen om hun kostbare gegevens goed te beschermen. Dat wantrouwen wordt nog eens gevoed door grote datalekken die in het verleden breed zijn uitgemeten in de media. Facebook met Cambridge Analytica is daar een voorbeeld van

Juist die vraag naar data van bedrijven en het dalende consumentenvertrouwen in privacybeleid waren belangrijke redenen voor de EU om paal en perk te stellen aan de verwerking van persoonsgegevens, en de wetgeving hieromtrent aan te scherpen.   

Gevolgen voor de marketing en marketeers

Veel data die marketeers verwerken zijn herleidbaar naar personen, en dus persoonsgegevens. Dat betekent dat zij onherroepelijk te maken hebben met de AVG. Dat heeft een aantal gevolgen voor de dagelijkse praktijk van hun beroepsuitoefening. Ik zet een aantal belangrijke gevolgen voor marketeers op een rij:

Opt-in voor nieuwsbrieven

De AVG stelt strenge eisen aan het vergaren van gegevens. Marketeers mogen alleen persoonsgegevens van betrokkenen verwerken die daar expliciet hun goedkeuring voor gegeven hebben. Daarbij moet de ‘standaard’ eigenlijk altijd zijn dat dat ‘niet’ het geval is.

Dat heeft een enorme impact op veel marketeers. Veel marketingafdelingen sturen namelijk allerlei e-mails naar adressen die ooit een keer zijn achtergelaten, of zelfs naar adressen die ze ergens op de kop hebben getikt. Onder de AVG kan dat echt niet meer.

Een goed voorbeeld is het versturen van nieuwsbrieven. Organisaties mogen deze alleen versturen naar personen die daar expliciet toestemming voor gegeven hebben. Daarbij mag het vakje dat zij een nieuwsbrief willen ontvangen niet standaard zijn aangevinkt. Ze moeten daar dus bewust zelf voor kiezen, in plaats van dat ze bewust die keuze ongedaan moeten maken. Dit heet in de AVG ‘privacy by default’.

Eenvoudig uitschrijven

Onder de AVG hebben consumenten het ‘recht om vergeten te worden’. In de praktijk houdt dat in dat organisaties op ieder moment de verwerking en opslag van persoonsgegevens moeten kunnen staken, binnen een aantal uur na de aanvraag. Marketeers moeten het bijvoorbeeld erg eenvoudig maken om de inschrijving op een nieuwsbrief ongedaan te maken.

Was het e-mailadres enkel in gebruik voor het versturen van de nieuwsbrief? Dan moet dat mailadres uit alle systemen van de organisatie verwijderd worden. Ook uit de back-ups.               

Gemakkelijke toegang tot voorkeuren en andere persoonsgegevens

Marketeers proberen hun boodschappen steeds meer op het individu toe te snijden. Daarvoor hebben ze een fijnmazig inzicht nodig in de voorkeuren van gebruikers. Volgens de AVG hebben consumenten echter recht op een eenvoudige toegang tot hun gegevens die zij aan organisaties hebben toevertrouwd. Marketeers moeten hun gebruikers dan ook voorzien in de mogelijkheid om voorkeuren eenvoudig aan te passen. Denk bijvoorbeeld aan een account waarbij gebruikers zelf kunnen opgeven in welke onderwerpen hun interesse ligt (bijvoorbeeld voor een nieuwsbrief). Maar ook basale zaken als naam en geslacht moeten zij eenvoudig zelf kunnen aanpassen.

Dit betekent ook dat ‘gesloten’ systemen als Excel niet meer gebruikt kunnen worden als plek waar persoonsgegevens bewaard worden. In een spreadsheet kun je namelijk niet gemakkelijk zaken op afstand wijzigen. Hiervoor is op zijn minst een modern CRM-systeem nodig.           

Eenvoudige data-export in gangbaar formaat

Een andere belangrijke wijziging die de AVG met zich meebrengt is het recht op dataportabiliteit. Dat betekent dat consumenten hun persoonsgegevens altijd gemakkelijk moeten kunnen opvragen. Bovendien in zo’n formaat dat zij hiermee gemakkelijk naar ‘de concurrent’ kunnen stappen om daar de dienstverlening voort te zetten.

Wat betekent dat in de praktijk? Marketeers moeten ervoor waken dat hun oplossingen waarmee ze persoonsgegevens beheren, beschikken over degelijke exportfunctie. Die export moet bovendien mogelijk zijn in een door computers leesbaar formaat, zodat een andere organisatie er snel mee aan de slag kan. In de praktijk leent bijvoorbeeld een XML-formaat zich goed hiervoor.           

Kijk uit met gekoppelde databases

Marketingafdelingen maken vaak gebruik van diverse databases. Bijvoorbeeld het CRM-systeem, gekoppeld aan de webshop, voor het vastleggen van klantgegevens en een verkoopgeschiedenis. Daarnaast kunnen ze echter ook gebruikmaken van een aparte database voor onder andere het tonen van online advertenties. Voor marketeers zou het natuurlijk het allermooist zijn wanneer deze databases zijn gekoppeld. Je weet dan immers precies wie jouw pagina bezoekt, en wat hij/zij in het verleden al gekocht heeft.

Dergelijke vergaande profiling door het direct koppelen van databases is echter onder de AVG breuk op de privacy van betrokkenen waardoor een boete geriskeerd wordt.

Hotjar – geen tracking van individuele bezoekers

Hotjar is een zeer populaire tool onder veel webmarketeers. Het houdt bij waar mensen op je site klikken, hoe lang ze naar een bepaald deel van de pagina kijken, en hoe ze zich door je site bewegen. Deze tool kan zelfs opnames maken van het gedrag van individuele bezoekers. Zelfs ‘keylogging’ is mogelijk, waarbij de tool precies bijhoudt wat bezoekers precies in invoervelden invullen. Zelfs tot creditcardgegevens aan toe. Die individuele tracking is niet toegestaan onder de AVG. Dit moet je dus uitschakelen in de Hotjar-instellingen.

Versleutel webformulieren

Het was al een goede gewoonte, maar onder de AVG is het nog eens wetmatig bekrachtigd: webformulieren bied je enkel en alleen aan via een versleutelde (HTTPS) verbinding. De AVG vereist immers voldoende technische beveiligingsmaatregelen voor de bescherming van persoonsgegevens. Persoonsgegevens ingevuld in een niet-versleuteld webformulier zijn kinderlijk eenvoudig te onderscheppen. Niet doen, dus. Je riskeert niet alleen een datalek, maar ook een forse boete.

Kortom, maak het makkelijk voor de betrokken (bijvoorbeeld klanten) makkelijk om bij hun data te komen. Maak het voor uzelf als merk/bedrijf ook makkelijk om data te beschermen en daarmee voorzichtig om te gaan.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *