GDPR is vooral een zaak van marketeers

De GDPR (General Data Protection Regulation) dwingt organisaties om persoonsgegevens goed te beschermen. Dat geldt niet alleen voor gegevens die zij zelf beheren, maar ook voor de gegevens die partnerorganisaties als cloudproviders en callcenters beheren. Maar wat de GDPR vooral doet, is degenen van wie gegevens worden vastgelegd (‘betrokkenen’) de regie over hun gegevens geven. Betrokkenen moeten weten wat er met hun gegevens gebeurt, organisaties moeten kunnen aantonen dat zij een geldige grondslag hebben voor verwerking van de persoonsgegevens en betrokkenen hebben het recht om hun gegevens te laten verwijderen.

Acties van morgen, om overmorgen op voorsprong te staan
Het is een verstrekkende wet met een indrukwekkend boetestelsel – oplopend tot 20 miljoen euro of 4 procent van de jaaromzet, het hoogste bedrag telt. En behalve boetes kan non-compliance ook een enorme imagoschade opleveren. Wie wil zaken doen met een bedrijf waar aantoonbaar onzorgvuldig met persoonsgegevens wordt omgegaan? Daarmee wordt AVG/GDPR ook en misschien wel vooral een zaak van marketing en zien we marketeers ook een steeds actievere rol pakken in AVG/GDPR-programma´s.

Start als marketeer dan ook morgen met AVG-acties, om overmorgen op voorsprong te staan. Waar moet je op letten?
* Klantmarketing moet confirmed opt-in zijn. Gegevens mogen alleen gebruikt worden voor het doel waarvoor toestemming is gegeven.
* Privacy by default: privacyinstellingen staan bij de start altijd op het hoogste niveau, waarbij de privacy het meest wordt gerespecteerd. Dit heeft gevolgen voor zaken als analytics en tracking.
* Binnen de nieuwe regelgeving moet je organisatie inbreuk op gegevens binnen 72 uur melden nadat dit plaatsvond, of je kunt een grote boete verwachten.
* Als er 24 maanden geen contact is geweest met de betrokkene, vervalt de eerder gegeven toestemming. Betrokkene moet de opt-in vernieuwen om gegevens te mogen gebruiken.
* Voor externe partijen die leads voor jou genereren of met jouw data werken, gelden de regels ook. Jij moet aan kunnen tonen dat die processen AVG-proof zijn.
* Voldoe je niet aan de regels, dan loop je het risico dat je na 25 mei 2018 grote boetes voor je kiezen krijgt.

Pak die voorsprong!
Met een goed en ruimhartig privacybeleid – dat niet de mazen van de wet opzoekt – laat je zien dat je als organisatie gegevensveiligheid zeer serieus neemt. Transparanter omgaan met klantgegevens – klanten weten precies wat waarvoor is vastgelegd - leidt bovendien tot een betere kwaliteit van de gegevens, wat bijdraagt aan hogere conversieratio’s en klanttevredenheidsscores. Voldoen aan de regels is de basis, daarna begint pas de echte strijd. GDPR is eten of wachten tot je opgegeten wordt. De keuze ligt nu op tafel. Pak jij die voorsprong?

Door Ruud Brink, management consultant PA Consulting Group