Er is het afgelopen jaar al ontzettend veel te doen geweest over de stilaan beruchte GDRP (General Data Protection Regulation). Zeker op het vlak van digitale marketing is er één en ander veranderd. David Vanoppen van Privatum zet de vijf meest voorkomende misverstanden op een rijtje.
Hoeveel van jullie waren verrast toen ze op 25 mei 2018 wakker werden en ontdekten dat de wereld niet was ingestort? De dagen of weken voorafgaand aan de dag dat GDPR van kracht ging, werden gekenmerkt door veel onrust. Het deed me bijna denken – ja, ik ben al zo oud – aan de Y2K-rage van eind december 1999. Toen vreesde iedereen voor een ineenstorting van alle computersystemen omdat de klokken zouden resetten naar het jaar 0 in plaats van 2000.
Een van de dingen die écht veranderde op 25 mei was dat we geen e-mails meer ontvingen om ons alsjeblieft te abonneren. Iets anders is dat je talloze misverstanden begon te zien over wat je onder GDPR mag doen. Hier is onze top vijf:
1. Voor elke direct marketingactie die ik onderneem, heb ik de expliciete toestemming nodig van de mensen die ik contacteer.
Het is een veel voorkomend misverstand dat direct marketing altijd voorafgaande toestemming vereist van de mensen met wie je contact opneemt. Onder drie voorwaarden kun je direct marketing verzenden zonder voorafgaande toestemming:
- De betrokkene is een klant.
- De verstuurde informatie gaat enkel over gelijkaardige producten of diensten die je als bedrijf al hebt aangeboden aan de klant.
- Wanneer je de digitale contactgegevens van de klant verzamelt, bied je een gemakkelijke en gratis manier om het gebruik van deze gegevens te beperken/verbieden (Uitschrijven).
Als je niet aan één van deze voorwaarden voldoet – bijvoorbeeld als je informatie verstuurt die niet over producten of diensten gaat die je zelf verstrekt – heb je voorafgaande toestemming nodig.
2. Direct mailing naar prospecten vereist altijd voorafgaande toestemming.
Een prospect is een potentiële klant. Als deze prospect een duidelijke interesse heeft getoond in de producten of diensten die jij levert, bijvoorbeeld door het contactformulier op je website in te vullen, dan mag je deze betrokkene direct mailen. Je hebt zijn voorafgaande toestemming niet nodig. Advertenties of foto’s op Facebook liken, geldt trouwens ook als interesse tonen.
3. GDPR is ook van toepassing op direct marketing verzonden naar een ‘info@’-adres.
GDPR is van toepassing op persoonlijke gegevens, dus alle informatie over een geïdentificeerde of identificeerbare persoon. Een ‘info@’-e-mailadres of het openbare telefoonnummer van een bedrijf wordt niet als persoonlijk beschouwd. Dat betekent dus dat de GDPR niet van toepassing is op deze gegevens.
4. Als je adressen van een data broker koopt, mag je deze altijd gebruiken voor direct marketing.
Onder GDPR ben je verplicht om persoonsgegevens op een transparante, eerlijke en rechtvaardige manier te verwerken. Dit betekent dat de data broker moet kunnen aantonen dat de gegevens zijn verkregen zoals het hoort: dat duidelijk is gemaakt dat de gegevens zijn verkregen om te worden verkocht voor direct marketinggebruik.
5. Een dubbele opt-in is vereist voor het verkrijgen van een correcte toestemming.
Een dubbele opt-in betekent dat een betrokkene zijn e-mailadres moet bevestigen voordat het aan een mailinglijst wordt toegevoegd. Bijvoorbeeld via een link die automatisch gemaild wordt.
Er zijn 4 criteria waaraan moet worden voldaan voor het verkrijgen van een geldige toestemming:
- Vrije wil: er mogen geen negatieve consequenties zijn wanneer de betrokkene zijn of haar toestemming niet geeft.
- Geïnformeerd: de betrokkene dient duidelijk te weten waarvoor hij of zij toestemming geeft.
- Specifiek doel: wanneer de verkregen gegevens gebruikt worden voor meerdere doeleinden (zoals nieuwsbrieven, evenementen, productlanceringen, ...) moet de betrokkene voor elk doel apart toestemming geven.
- Toestemming dient altijd verkregen te worden door een ondubbelzinnige actieve handeling. Bijvoorbeeld door een opt-in.
Rekening houdend met deze vier criteria, is een dubbele opt-in niet nodig om geldige toestemming te verkrijgen. Het voordeel van zo’n dubbele opt-in is echter dat je er zeker van bent dat er een geldig e-mailadres is ingevoerd.
In april 2019 is de gegevensbeschermingsautoriteit in werking getreden.
Concreet wil dit zeggen dat je kortelings de nodige acties kunt verwachten. Het wat en hoe is voorlopig nog even koffiedik kijken. Verwijzend naar de diverse inbreuken en datalekken die er in de media worden bekendgemaakt, kun je wel afleiden dat informatiebeveiliging en security aan belangrijkheid winnen. Informatiebeveiliging begint met de juiste procedures hanteren en je gedrag aanpassen om het risico te verlagen. En security is meer dan alleen een goede firewall plaatsen.