Op 25 mei a.s. wordt een nieuwe Europese regelgeving van kracht, de General Data Protection Regulation (GDPR). Er komen nieuwe, strengere eisen voor privacy en compliance. Het duurt nog even maar de komende maanden hebben we hard nodig om te onderzoeken wat de GDPR voor jouw bedrijf betekent en passende voorbereidingen te treffen. Op 25 mei wordt de wet van kracht en er is geen overgangsperiode, dus we moeten zorgen dat we op tijd ‘GDPR proof’ zijn.
Wat is de GDPR?
De General Data Protection Regulation is een Europese wet, die in 2016 is aangenomen door de Europese Commissie. De wet vervangt de eerdere European Union Privacy Directive ook wel bekend als Directive 95/46/EC (the “Directive”), die sinds 1995 van kracht was.
In heel Europa is de nieuwe GDPR straks van kracht. Met de nieuwe wet wil men de regels strenger maken, harmoniseren en moderniseren en de individuele rechten en vrijheden uitbreiden in lijn met de Europese invulling van privacy als fundamenteel mensenrecht. De GDPR regelt o.a. hoe individuen en organisaties persoonlijke gegevens verkrijgen, gebruiken, bewaren en vernietigen.
De GDPR heeft betrekking op alle bedrijven in de EU en alle bedrijven die persoonlijke data van inwoners van de EU gebruiken of bewerken.
Wat kun je als je GDPR proof bent?
Hierna wat tips:
- Onderzoek hoe data privacy en security in jouw organisatie geregeld zijn. Hoe bewaar je persoonlijke gegevens? Wie heeft er toegang tot de data? Hoe gebruik en hoe deel je de data?
- Het kan zijn dat subscribers van je database bijvoorbeeld gaan vragen of jij in lijn omgaat met de GDPR en hun persoonlijke gegevens. Zorg bijvoorbeeld dat je privacy statement op orde is (en handel ernaar).
- Ze mogen vragen hoe en welke informatie je over hen in je database hebt
- Je contacten kunnen zich beroepen op hun ‘Right to be forgotten’ wat betekent dat je hun gegevens direct moet verwijderen op hun verzoek. Let daarbij op dat contactgegevens op meerdere lijsten / in meerdere systemen kunnen zijn opgenomen.
- Je moet een opt-out mogelijkheid bieden.
- En nog beter een goede, liefst dubbele opt-in mogelijkheid.
- Op verzoek moet je contactinformatie aan kunnen passen in je bestanden naar de wensen van je contact.
- Er gelden speciale compliance regels over hoe je databases exporteert en overzet.
- Als je aanmeldformulieren e.d. gebruikt moet je zorgen dat die in lijn zijn met de compliance regels en voorzien van voldoende waarschuwingen en informatie over waar de data voor gebruikt wordt. Een lijst van iemand anders gebruiken mag niet zomaar meer. Je moet zelf de contactinformatie (volgens de regels) verzamelen. En bij voorkeur een dubbele opt-in.
- Het moet gemakkelijk zijn voor je abonnees om af te melden van jouw mailing of hun gegevens aan te passen. Een ‘unsubscribe’ moet in je mailing zijn opgenomen.
- Gebruik je plugins of add-ons voor je online mailingtool, website of social media? Kijk dan of deze compliant zijn met de GDPR wetgeving.
- Wees alert met het gebruik van cookies en pixels (voor retargeting). Zorg dat je je website bezoekers goed informeert over hun rechten en jouw bedoelingen.
Grote emailmarketing partijen zoals MailChimp treffen grondige voorbereidingen en geven veel informatie over wat je wel en niet mag en moet. Wij adviseren je om dit heel serieus te nemen. Niet voldoen aan de nieuwe wetgeving kan sancties opleveren tot maar liefst 20 miljoen euro of 4% van de jaaromzet, welk van de twee hoger is. Dat wil jij niet.
In dit artikel hebben we lang niet alles over de gevolgen van de invoering van GDPR kunnen vertellen. In de komende maanden houden we je op de hoogte.