Samenvatting artikel:
-
Wat is GDPR en wat betekent dit? De nieuwe EU wetgeving heeft invloed op de manier waarop wij wereldwijd werken. In dit artikel leggen wij uit, wat, het hoe en waarom van de nieuwe EU privacywetgeving.
-
Wat zijn de gevolgen van GDPR? Hoe kan je bedrijf, al dan niet gevestigd in de EU, voldoen aan deze nieuwe regelgeving. GDPR beïnvloedt het contact met klanten, maar hoe?
-
De manier waarop je met persoonlijke gegevens omgaat, is nu veranderd en dit geldt voor zowel prospect- als klantgegevens.
Dan hebben we het over bankgegevens, contacten, adressen, alles wat je op de sociale media zet, zelfs je IP-adres en de websites die je bezoekt zijn digitaal opgeslagen.
Bedrijven zeggen dat ze dit soort informatie verzamelen om je beter van dienst te kunnen zijn, je meer gerichte en relevante berichten te kunnen sturen, allemaal om je een betere klantervaring te bieden.
Maar gebruiken ze die gegevens wel echt daarvoor?
Dit is de vraag die door de EU is gesteld en beantwoord en waarom in mei 2018 een nieuwe Europese privacyregeling genaamd GDPR in werking is getreden. Deze verandert de manier waarop je als bedrijf klantgegevens verzamelt, opslaat en gebruikt.
In een onderzoek onder meer dan 800 IT- en zakelijke professionals die verantwoordelijk zijn voor de privacy van gegevens bij bedrijven met Europese klanten, hebben Dell en Dimension Research vastgesteld dat 80% van de bedrijven weinig details of niets over GDPR weten.
Onlangs ontdekte TrustArc dat slechts 20% van de bedrijven denkt dat ze nu voldoen aan de GDPR wetgeving.
Meer dan 1 op de 4 bedrijven (27%) moet nog beginnen om te zorgen dat hun organisatie voldoet aan de GDPR regelgeving - en dat terwijl 25 mei al enkele maanden is verstreken!
In dit artikel willen we duidelijk maken wat GDPR is en wat dit betekent voor je bedrijf en geven we praktische tips om je voor te bereiden op GDPR.
Wat is GDPR?
Sinds 25 mei 2018 is de nieuwe Europese privacyregeling van kracht, de General Data Protection Regulation (GDPR).
Deze regeling wordt geïmplementeerd in alle plaatselijke privacywetten in alle EU- en EER-landen. De regeling is van toepassing op alle bedrijven die verkopen aan personen in Europa en persoonlijke informatie over deze personen opslaan, ook bedrijven in andere werelddelen. Hierdoor hebben burgers in EU- en EEA-landen meer controle op hun persoonsgegevens en zijn ze ervan verzekerd dat hun informatie overal in Europa beschermd wordt.
Volgens GDPR richtlijn is de definitie van persoonsgegevens alle informatie die betrekking heeft op een persoon, zoals namen, foto’s, e-mailadressen, bankgegevens, posts op sociale netwerken, locatiegegevens, medische informatie en IP-adressen.
Er wordt geen onderscheid gemaakt tussen persoonsgegevens van privépersonen, personen bij bedrijven of publieke personen – de persoon is de persoon. Ook bij zakelijk verkeer tussen bedrijven onderling gaat het om interactie tussen individuen, die informatie uitwisselen met en over elkaar. Klanten in een B2B-markt zijn uiteraard bedrijven, maar de bedrijfscontacten worden onderhouden door personen.
Volgens GDPR, hebben personen:
1. Er is toestemming nodig
Bedrijven mogen geen persoonlijke informatie over personen verwerken, behalve als ze een vrijwillige, specifieke, op informatie berustende en ondubbelzinnige wilsuiting van toestemming hebben, in de vorm van een verklaring of door middel van een ‘actieve handeling’.
2. Recht op inzage
Personen hebben recht op toegang tot hun persoonsgegevens en het recht om te weten hoe de over hen verzamelde gegevens door het bedrijf worden gebruikt. Het bedrijf moet gratis een kopie van de persoonsgegevens in elektronisch formaat verschaffen indien de persoon daarom verzoekt.
3. Het recht om verwijderd te worden
Als een persoon geen klant meer is of niet langer toestemming geeft om zijn persoonsgegevens te gebruiken, moeten zijn gegevens worden verwijderd.
4. Het recht om gegevens over te dragen
Personen hebben het recht om hun gegevens aan een andere dienstverlener over te dragen. Dit moet gebeuren in een algemeen gebruikt en voor een computer leesbaar formaat.
5. Het recht om geïnformeerd te worden
Dit heeft betrekking op alle soorten gegevensverzameling door bedrijven, de persoon moet worden geïnformeerd voordat de gegevens worden verzameld. Klanten moeten uitdrukkelijk toestemming geven voor het verzamelen van hun gegevens. Deze toestemming moet vrijwillig worden gegeven; er mag niet stilzwijgend van worden uitgegaan.
6. Het recht op correctie van informatie
Hierdoor is een persoon ervan verzekerd dat hij zijn gegevens kan laten aanpassen indien deze verouderd, onvolledig of onjuist zijn.
7. Het recht op beperken van gegevensbewerking
Personen kunnen eisen dat hun gegevens niet worden bewerkt. Hun dossier wordt dan gehandhaafd, maar mag niet worden gebruikt.
8. Het recht op bezwaar
Het recht om te verhinderen dat de gegevens worden bewerkt voor direct marketing. Op deze regel zijn geen uitzonderingen mogelijk; eventuele bewerking moet gestaakt worden zodra het verzoek daartoe is ontvangen. De persoon moet bij het begin van de communicatie van dit recht op de hoogte worden gesteld.
9. Het recht om in kennis te worden gesteld
Indien de veiligheid van de persoonsgegevens mogelijk in gevaar is door een data-lek, heeft de persoon het recht om binnen 72 uur nadat het lek geconstateerd is in kennis te worden gesteld.
Met GDPR wil de EU meer macht geven aan personen, prospects, klanten, tijdelijke en vaste werknemers over hun gegevens en minder macht aan de organisaties die dergelijke gegevens verzamelen en gebruiken voor geldelijk gewin.
Het is geen poging om het bedrijven moeilijk te maken of hen het werk onmogelijk te maken, maar de manier waarop persoonlijke informatie wordt opgeslagen en gebruikt, moet transparant worden.
Wat betekent GDPR voor bedrijven?
Deze nieuwe wet voor gegevensbescherming geeft de klant de touwtjes in handen; het is aan bedrijven en organisaties om te voldoen aan deze wet.
Kortom: GDPR geldt voor alle bedrijven en organisaties die gevestigd zijn in de EU, of het bewerken van de gegevens nu plaatsvindt in de EU of daarbuiten. Ook organisaties die buiten de EU gevestigd zijn, vallen onder GDPR. Als je bedrijf goederen en/of diensten levert aan personen in de EU, valt het onder GDPR.
Tevens moeten alle organisaties en bedrijven die werken met persoonsgegevens, een functionaris voor gegevensbescherming of een gegevensbeheerder aanstellen, die verantwoordelijk is voor het naleven van de GDPR.
Bedrijven en organisaties die zich niet aan GDPR houden, krijgen hoge boetes opgelegd: maximaal 4% van de jaarinkomsten of 20 miljoen euro (het hoogste bedrag hiervan).
Je zou kunnen denken dat GDPR iets is voor IT’ers, maar niets is minder waar. Het heeft verstrekkende gevolgen voor het hele bedrijf en voor de manier waarop het omgaat met marketing- en verkoopactiviteiten.
Wat betekent GDPR voor klantencontact
De voorwaarden voor het verkrijgen van toestemming worden strenger met de invoering van GDPR. Personen hebben het recht om hun toestemming op elk moment in te trekken en er is geen sprake van toestemming tenzij er afzonderlijk toestemming wordt verkregen voor verschillende bewerkingen.
Dat betekent dat je moet kunnen bewijzen dat een persoon akkoord gaat met een bepaalde actie, bijvoorbeeld het ontvangen van een nieuwsbrief. Stilzwijgend uitgaan van goedkeuring of het toevoegen van een disclaimer is niet toegestaan en alleen het bieden van een opt-out mogelijkheid is niet voldoende.
Hierdoor verandert er veel voor bedrijven, zoals de manier waarop marketing- en verkoopactiviteiten worden uitgevoerd. Bedrijven moeten hun bedrijfsprocessen, applicaties en formulieren herzien om te voldoen aan de wet, bijvoorbeeld met dubbele toestemmingsregels en best practices voor e-mailmarketing. Om toestemming te geven voor het ontvangen van berichten, zullen prospects een formulier moeten invullen of een vakje aankruisen en daarna hun toestemming nogmaals per e-mail moeten bevestigen.
Als een persoon bezwaar maakt tegen het ontvangen van een bericht, moet de organisatie bewijzen dat hij daarvoor toestemming had gegeven. Dit betekent dat er een controle traject met tijdsaanduiding moet zijn voor alle opgeslagen gegevens, waaruit blijkt waarvoor de contactpersoon toestemming heeft gegeven en hoe.
Als je marketinglijsten koopt, ben je nog steeds verantwoordelijk voor het verkrijgen van de juiste informatie over de gegeven toestemming, zelfs als het verzamelen van de gegevens is gebeurd door de verkopende partij of is uitbesteed aan een partner.
In het zakelijk verkeer tussen bedrijven onderling ontmoeten, verkopers prospects op beurzen en worden er visitekaartjes uitgewisseld. Terug op kantoor worden de contacten toegevoegd aan de mailinglijst van het bedrijf. Vanaf 2018 is dat niet meer mogelijk. Bedrijven moeten nieuwe manieren zoeken om klantinformatie te verzamelen.
Voorbereidingen
Een belangrijk onderdeel van GDPR is privacy by design.
Voor Privacy by design moeten alle afdelingen van een bedrijf nauwkeurig uitzoeken welke gegevens ze opgeslagen hebben en hoe ze daarmee omgaan. Bedrijven zullen veel moeten doen om aan de GDPR te voldoen. We noemen enkele stappen om je op weg te helpen:
1. Breng de gegevens van je bedrijf in kaart
Breng alle persoonsgegevens die in je bedrijf bewaard worden in kaart en documenteer waar ze vandaan komen en wat je ermee doet. Zoek uit waar de gegevens zich bevinden, wie er toegang toe heeft en of er risico’s aan verbonden zijn.
2. Stel vast welke gegevens je moet bewaren
Bewaar niet méér informatie dan nodig en verwijder alle gegevens die niet gebruikt worden. Misschien verzamelt je bedrijf veel gegevens waar je niet echt iets aan hebt; dat zal niet meer mogelijk zijn als GDPR van kracht wordt. Het doel van GDPR is organisaties te stimuleren om op een meer gedisciplineerde wijze om te gaan met persoonsgegevens.
Stel jezelf bij het opschonen de volgende vragen:
- Waarom archiveren we deze gegevens eigenlijk, in plaats van ze te verwijderen?
- Waarom bewaren we al deze gegevens?
- Wat willen we bereiken met het verzamelen van al deze persoonlijke gegevens?
- Wat levert meer financiële winst op; het verwijderen of het versleutelen van deze informatie?
3. Tref veiligheidsmaatregelen
Voer veiligheidsmaatregelen in en waarborg en implementeer die overal in de infrastructuur ter voorkoming van data-lekken. Dat betekent ook dat je snel actie onderneemt om individuen en autoriteiten op de hoogte te stellen indien er toch een data-lek optreedt.
Informeer ook bij je leveranciers. Uitbesteden ontslaat je niet van aansprakelijkheid. Verzeker je ervan dat ook zij de juiste veiligheidsmaatregelen hebben getroffen.
4. Beoordeel je documentatie
GDPR schrijft voor dat personen uitdrukkelijk toestemming moeten geven voor het verwerven en bewerken van hun gegevens. Vakjes die al zijn aangekruist en stilzwijgend uitgaan van toestemming zijn niet meer acceptabel. Je moet al je privacy verklaringen en disclaimers herzien en zo nodig aanpassen.
5. Voer proceres in voor het omgaan met persoonsgegevens
Zoals eerder vermeld, geeft de GDPR personen acht basisrechten.
Je moet beleidsmaatregelen en procedures invoeren voor het omgaan met al die situaties.
Bijvoorbeeld:
- Hoe kan een persoon legaal toestemming geven?
- Welke processen worden gevolgd als een persoon wil dat zijn gegevens verwijderd worden?
- Hoe zorg je ervoor dat dit in alle databases gebeurt en dat de gegevens ook daadwerkelijk verwijderd worden?
- Als iemand zijn gegevens wil overdragen, wat is dan de procedure daarvoor?
- Hoe ben je er zeker van dat de persoon die zijn gegevens wil overdragen werkelijk is wie hij zegt te zijn?
- Hoe verloopt de communicatie in het geval van een data-lek?
Conclusie
Data is waardevolle informatie in het digitale tijdperk.
GDPR stelt ons als bedrijven voor uitdagingen maar biedt ook kansen.
Bedrijven die laten zien dat ze de privacy van mensen belangrijk vinden, niet alleen maar “omdat het moet”, die transparant zijn over hun gebruik van gegevens, die nieuwe en betere manieren bedenken en invoeren voor het omgaan met klantgegevens, krijgen meer vertrouwen en loyale klanten.
Toen de nieuwe wetgeving voor het eerst werd aangekondigd in 2016, leek het alsof er voldoende tijd was voor bedrijven om de benodige stappen te nemen. Maar deze tijd is voorbij gevlogen en veel bedrijven worstelen nog steeds, zelfs nadat de deadline is verstreken. Dus, als je nog niet aan de slag bent gegaan met deze nieuwe privacywetgeving, raden wij je aan om nu te beginnen.
Wil je weten wat GDPR betekent voor je klantgegevens, neem dan contact met ons op!
Download hier onze white paper over hoe GDPR de klantrelaties verandert.
Disclaimer: de inhoud van dit artikel dient enkel ter informatie en niet als juridisch advies.