AVG: waar moet ik als marketingdirecteur rekening mee houden?

De nieuwe wetgeving beschermt de persoonsgegevens en daarmee de privacy van consumenten nog beter en geeft toezichthoudende autoriteiten meer ruimte om op te treden tegen overtredingen. De wet eist van organisaties dat zij een goede administratie bijhouden om aan de verantwoordingsplicht naar de toezichthouder te voldoen. De Algemene Verordening Gegevensbescherming (de AVG, internationaal ook bekend als General Data Protection Regulation, of GDPR) regelt in de kern hoe we als samenleving omgaan met persoonsgegevens. Het is daarom iets waar vrijwel alle marketingteams mee te maken hebben, want veel marketingactiviteiten maken gebruik van of verzamelen persoonlijke gegevens. Denk daarbij aan de registratie voor nieuwsbrieven, events en webinars en andere leadgeneratie. De naleving van de nieuwe wetgeving door organisaties – en daarmee het voorkomen van boetes – is daarom ook een verantwoordelijkheid van marketingteams.

Bovendien is de AVG vooral ook iets wat we moeten willen; privacy is immers een vertrouwenskwestie en daar verantwoord mee omgaan is fundamenteel voor een duurzame relatie met je doelgroepen. Wat ik als groot voordeel zie, is dat het ook tal van kansen biedt om productiever en effectiever te werken. Pas je genoeg actuele marketinginzichten en -technologie toe om doelgroepen te bereiken? Met andere woorden: grijp jij deze kans aan om als team nog beter te presteren en slimmer gebruik te maken van de data die je hebt?

AVG als leidraad voor marketing
In mijn rol als directeur Marketing & Operations bij Microsoft Nederland liep ik vooral tegen vragen op omtrent de AVG. Wat betekent het voor ons team en werk, wat is voor ons het belangrijkst aan de AVG, waar moet ik beginnen en wat kan ik bijdragen aan de compliancy van de gehele organisatie? Als internationale organisatie hebben we ervoor gekozen om de AVG-vereisten voor de wereldwijde Microsoft-organisatie te laten gelden. Dat helpt mij en mijn team natuurlijk enorm. Maar ook zonder internationale organisatie achter je, kun je die naleving heel goed organiseren en in je voordeel laten werken. Bedenk wel dat het een organisatiebrede verantwoordelijkheid is en je het daarom het best samen kunt aanpakken. Ga daarom met je directie en medewerkers aan de slag met een stappenplan. Hoe? Onderstaande punten kunnen je helpen het gesprek aan te gaan.

1. Inventariseer
Als onderdeel van de AVG hebben mensen meer rechten om al hun persoonlijke gegevens op te vragen, aan te passen, te verwijderen en te verplaatsen. Aangezien je er altijd wilt zijn voor je doelgroep is het belangrijk om te weten waar zich welke gegevens bevinden, zodat je aan deze verzoeken kunt voldoen. Inventariseer persoonsgegevens op alle opslagsystemen binnen de organisatie en breng ze overzichtelijk in kaart.

Denk daarbij aan het CRM-systeem, servermappen, e-mails, en lokale mappen op computers, tablets en smartphones die door medewerkers worden gebruikt. Vergeet daarbij niet de ouderwetse papieren uitdraaien in de archiefkast. Digitaliseer en centraliseer deze gegevens waar mogelijk of gebruik dit moment om schoon schip te maken, en de papieren en gedecentraliseerde informatie die je niet meer gaat centraliseren te vernietigen.

2. Beheer
Als blijkt dat de gegevens over veel verschillende systemen verspreid staan, is het aan te raden om die digitaal te centraliseren. Dat kan bijvoorbeeld door het samenbrengen van verschillende opslagsystemen, CRM-systemen en andere marketingtools in de cloud.

Daarnaast is actief gegevens- en autorisatiebeheer een heel belangrijk element van de AVG. Het verschilt bijvoorbeeld per gegevenssoort hoe lang je deze mag bewaren en hoe je deze mag gebruiken en bewaren. Aangezien dit niet een taak voor (alleen) het marketingteam is, doe je er goed aan om met de rest van de organisatie te overleggen over beleid. Spreek heldere rollen en verantwoordelijkheden af voor beheer, toegang en gebruik van persoonsgegevens. Benadruk de voordelen van het verkregen overzicht, de inzichten en controle. Zo neem je als organisatie je verantwoordelijkheid en tegelijkertijd verbeter je interne processen. Want als je onder de AVG controle hebt verkregen over persoonsgegevens, kun je ze onder de juiste voorwaarden ook beter en slimmer gebruiken.

Beveilig
Beveiliging tegen cyberaanvallen en datalekken vormt een steeds grotere prioriteit voor organisaties en is een hot topic in de media. De AVG legt de lat op dit gebied hoger dan voorheen. Organisaties zijn verplicht om passende technische en organisatorische maatregelen te nemen, zodat persoonsgegevens beveiligd zijn tegen verlies en ongewenste toegang of openbaarmaking. Er zijn veel risico's: fysieke inbraak, frauduleuze of onoplettende werknemers en hackers. Laat je goed informeren op dit gebied en bespreek hoe je dit planmatig aanpakt. Denk ook aan risicobeperkende maatregelen zoals wachtwoordbeveiliging, auditlogs en versleuteling. Het voorkomen van beveiligingslekken en de communicatie hierover draagt bij aan vertrouwen.

Technologie voor je laten werken
Voor sommige organisaties zal naleving eenvoudiger zijn, andere hebben er meer werk aan. In alle gevallen kan ik niet genoeg benadrukken dat het erkennen van de kansen wonderen doet. Inspireer medewerkers om nog klantgerichter te werken en faciliteer daarin middels technologie, bijvoorbeeld door over te gaan op een slimmer CRM-systeem. Met moderne technologische oplossingen in de cloud kunnen medewerkers hun werk veiliger en beter organiseren, gemakkelijker samenwerken en klanten beter helpen. Dat heeft, net als de AVG, een positieve impact op de hele organisatie.

Informeer
Bovenstaande stappen maken je nog niet helemaal compliant. Onderzoek daarom goed wat er op basis van jouw organisatie en het soort gegevens in jullie beheer nodig is om volledig te voldoen aan de AVG. Lees hierover meer op bijvoorbeeld de website van de Autoriteit Persoonsgegevens of lees ons whitebook ‘Jouw stappenplan voor de AVG’.

Auteur: Cara Antoine, Directeur M&O (Marketing & Operations) bij Microsoft Nederland