Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG is ook wel bekend onder de Engelse naam GDPR. In dit artikel leest u meer over de impact van GDPR én het gemak van onze scan die uw organisatie GDPR proof maakt.

Wat is de GDPR?

GDPR is de Engelse term voor de Algemene Verordening Gegevensbescherming (AVG). Iedereen weet inmiddels dat ze ‘er iets’ mee moeten. Wat ze er precies mee moeten, dat is nog de vraag. Het antwoord daarop is vrij eenvoudig het is de manier om persoonsgegevens, de opslag en de omgang met die gegevens aan banden te leggen, volgens het privacy by design principe. Hoe dat werkt, dat leggen wij graag uit.

Waar gaat de GDPR over?

GDPR gaat over persoonsgegevens; dat zijn mailadressen, namen, adressen, ip-adressen, telefoonnummers en combinaties van deze gegevens. Alle gegevens waardoor u een persoon zou kunnen herleiden.

Klanten van webshops bijvoorbeeld, laten deze gegevens achter wanneer ze producten kopen of interesse hebben in producten en op de hoogte gehouden willen worden. Dat is op zich nog steeds hetzelfde als vóór de invoer van de GDPR. De verandering die na 25 mei plaatsvindt heeft echter te maken met het gebruiken van die gegevens. Voorheen was er namelijk geen duidelijke termijn voor gesteld, zo kon een mailadres, een telefoonnummer of huisadres talloze keren doorverkocht worden aan derde partijen zonder dat de rechthebbende daarvan op de hoogte was. Na 25 mei is dat zonder goedkeuring van de rechthebbende niet langer toegestaan.

Wat veranderd er met de komst van GDPR?

Persoonsgegevens opslaan, verwerken of gebruiken zonder toestemming van de rechthebbende is het belangrijkste aandachtspunt. Hiermee wordt het doorverkopen aan derden niet verboden, maar alleen mogelijk met toestemming van de rechthebbende. Daarnaast heeft de rechthebbende recht van inzage, aanpassing en verwijdering, alsmede dataportabiliteit. De rechthebbende mag de data meenemen naar een andere partij.

GDPR en het cookie-consent

Het cookie-consent zoals we dat kennen van de cookiewet uit 2012 wordt onder de GDPR net wat anders dan we gewend zijn. Het cookie-consent wordt opgesplitst in drie delen, namelijk Functioneel, Analytisch en Adverteren.

  • Onder functionele cookies verstaan we: Cookies die nodig zijn om de weergaven van de website te ondersteunen of mogelijk te maken. Zoals bijvoorbeeld Google Tag Manager.
  • Onder analytische cookies verstaan we cookies die gedrag en bezoekers analyseren zoals Hotjar, Google Analytics, Adobe analytics.
  • Onder advertertentie cookies vallen alle cookies die re-targeting mogelijk maken zoals Facebook advertising Google doubleclick, Google Adwords.

 

Custom audiences na de GDPR

Onder de AVG wordt de verwerking van persoonsgegevens nauwkeuriger gecontroleerd. Een van de oplossingen die sommige bedrijven, zoals Google, als best-practice hanteren is nooit persoonsgegevens opslaan voor marketingdoeleinden. Wanneer dat wél wordt gedaan worden bijvoorbeeld mailadressen zo verwerkt dat u als uploader garant staat voor de toestemming die u heeft verkregen van de rechthebbenden van de mailadressen. Voor het klant-matchen op basis van persoonsgegevens hebben zowel Google als Facebook het beleid vast aangescherpt met het oog op de AVG.

Om die reden wordt er steeds meer gewerkt met segmenten waarin mensen door surf, klik of kijkgedrag hebben aangegeven geïnteresseerd te zijn. Op basis van grote hoeveelheden data is door de grote advertentieplatformen (als Facebook Ads en Google Adwords) nauwkeurig te voorspellen wie, waar exact interesse in heeft.

Voor de marketeers onder ons geldt helaas wel dat de opgebouwde custom audiences zoals die voor 25 mei 2018 bestonden niet meer gehanteerd mogen worden na de ingang van de AVG. Het consent wat is gegeven door de bezoeker is op basis van de oude cookiemelding. Dat is na 26 mei dus niet meer geldig. Toestemming gegeven na de 25ste mei blijft geldig zolang dit is vermeld in uw privacybeleid op de site en de gebruiker daarmee akkoord gaat.

GDPR is een kans voor marketeers

De AVG is niet heel erg populair bij it’ers en marketeers. Dit is begrijpelijk aangezien de nieuwe wetgeving een beperkt kader geeft waarin persoonsgegevens mogen worden verwerkt. De restricties die de overheid oplegt hebben telkens te maken met het belang van de bezoeker of klant, niet zozeer het belang van het bedrijf. Over de handelingen die met persoonsgegevens worden verricht dient dan ook verantwoording te worden afgelegd.

Toch doen al een groot aantal mythes en verhalen de ronde over de AVG. Dit terwijl de wetswijziging meer gezien moet worden als een kans. Om de data die op dit moment verzameld wordt eens goed onder de loep te nemen. “Waarom slaan we wat op? Waar slaan we het op? Wat doen we allemaal met de data die we verwerken op dit moment?”. Maar nog wezenlijker is de vraag: Wat kunnen we allemaal met die data doen?

Wanneer u als onderneming of instelling dit proces toch in moet gaan, dan is de AVG de uitgelezen kans om de datastromen in kaart te brengen. Hierdoor creëert u kansen om tot inzichten te komen over het gedrag van uw (potentiële) klanten. Ook al lijkt het een hoop werk aan dit alles te voldoen, na een keer flink aanpakken kunt u nu compliant worden aan niet alleen deze wet, maar ook de wet op datalekken en de gewijzigde wet telecommunicatie.

Waarom is de GDPR belangrijk voor u?

Uw database met klantgegevens is misschien niet ingericht op verschaffen van inzage aan klanten, het verwijderen of het wijzigen van gegevens. Daarnaast bent u er straks verantwoordelijk voor dat de data op de juiste manier wordt behandeld, namelijk zoals de rechthebbende dat heeft aangegeven.

Met al de partijen waar u mee werkt, zoals derden die de server beheren, partijen die tools die u gebruikt onderhouden, moet u tevens bewerkingsovereenkomsten afsluiten. In deze overeenkomsten dient u te waarborgen dat de privacy van uw klanten voorop staat in het behandelen en verwerken van persoonsgegevens.

Op 25 mei moet u GDPR proof zijn

Mocht u nog helemaal aan het begin staan van dit proces, de wetgeving gaat echt op 25 mei van kracht, dus enige spoed is geboden. Maar het is ook een voordeel wanneer het hele proces nog niet in beton is gegoten. De dataflow met betrekking tot persoonsgegevens kunt u dan nog helemaal in kaart brengen, optimaliseren waar nodig en duidelijk documenteren dat uw databases voldoen aan het privacy by design principe. Dat werk kan bekroond worden met een ISO certificering, maar de echte winst zit in het exact weten wat er waar wordt opgeslagen én hoe het wordt behandeld. Hiermee kunnen processen efficiënter worden gemaakt, dat is dan de winst.

Vraag de GDPR Scan aan

OrangeValley heeft een GDPR Scan ontwikkeld voor bedrijven die met persoonsgegevens werken op basis van role based acces control. Zo bepaalt u wie er wanneer bij welke data kan. Daarnaast is data-hygiëne een belangrijk onderdeel van de Scan. Dit zorgt ervoor dat u niet langer meer alle data hoeft te bewaren, alleen de relevante queries, waarvan vooraf duidelijk is hoe lang en waar de data bewaard mag worden. Voor een database-specialist zijn dit eenvoudige specificaties, voor een leek lijkt het een hele klus.

Op basis van een simpele intake kunnen wij kijken waar advies en begeleiding nodig is, zodat u 25 mei met een gerust hart tegemoet kunt zien.

GDPR Scan aanvragen