Staat 25 mei 2018 al in de agenda omcirkeld? Vanaf dan wordt het voor organisaties namelijk een stuk gecompliceerder om persoonsgegevens te benutten voor marketingactiviteiten. Op deze datum gaat de General Data Protection Regulation (GDPR) in. De GDPR-wet heeft invloed op elk bedrijf dat gebruikmaakt van persoonlijke data – feitelijk gezien op élk bedrijf dus. Met name voor e-mailmarketing heeft dit nogal wat voeten in de aarde.
Op dit moment hebben organisaties zich te houden aan de Wet Bescherming Persoonsgegevens, maar de GDPR trekt de teugels heel wat strakker aan. Aan de verplichte e-mail opt-in worden strengere eisen gesteld. Zo moet een opt-in:
Bovenstaande zaken vormen de ruggengraat van de nieuwe wetgeving. De belangrijkste verandering zit hem wellicht in de opslag en het beheer van de gegevens. De e-mailmarketeer is namelijk verplicht om te kunnen aantonen dat op elk vlak is voldaan aan de vereisten ten aanzien van de e-mail opt-in. “In de database dient te zijn vastgelegd hoe en wanneer de opt-in is verkregen,” vertelt Annemieke Boidin, communicatiespecialist bij BOOM. “De letterlijke tekst die aan de gebruiker getoond wordt, vormt daar ook een onderdeel van.”
Dit alles vraagt nogal wat aan de achterkant van de organisatie, zowel op het vlak van techniek als proces. Verwerkt de organisatie jaarlijks data van meer dan 5.000 personen, dan dient de organisatie verplicht te beschikken over een onafhankelijke Data Protection Officer. Boidin: “Dat moet een persoon zijn die op dit gebied van de hoed en de rand weet en die het thema binnen de hele organisatie kan beleggen”.
Simpel gesteld verbiedt de GDPR-wet het targeten van niet-klanten. Tenzij zij zelf nadrukkelijk hebben aangegeven hierin interesse te hebben, door middel van een opt-in. Dat geldt voor e-mailmarketing, maar ook voor online advertising in de breedste zin van het woord. Bannercampagnes worden bijvoorbeeld ook een stuk ingewikkelder.
Annemieke Boidin (BOOM)
De GDPR-wet heeft flinke impact. Voldoet een organisatie niet aan de verplichtingen, dan is een forse boete een mogelijke consequentie. Die boete kan oplopen tot maar liefst 20 miljoen euro of 4% van de totale bedrijfsomzet. En dit nog los bezien van mogelijke imagoschade. De zaken wél goed op orde krijgen, heeft echter ook gevolgen voor de organisatie. Volledig ‘compliant’ worden vergt aandacht, mankracht en kennis. Door de terugwerkende kracht van de GDPR dienen alle bestaande gegevens per 25 mei aan de wetgeving te voldoen. In veel gevallen vraagt dat om het verkrijgen van herbevestiging of nieuwe gegevens. Lukt dat niet? Dan moeten de gegevens simpelweg worden verwijderd uit de database.
De GDPR raakt het hart van e-mailmarketing, maar heeft ook een bredere impact, zo legt Boidin uit: “Simpel gesteld verbiedt de GDPR-wet het targeten van niet-klanten. Tenzij zij zelf nadrukkelijk hebben aangegeven hierin interesse te hebben, door middel van een opt-in. Dat geldt voor e-mailmarketing, maar ook voor online advertising in de breedste zin van het woord. Bannercampagnes worden bijvoorbeeld ook een stuk ingewikkelder.”
Gelukkig is er ook volgens de nieuwe wet geen aanvullende opt-in nodig als er sprake is van een relevante factuurrelatie. “Klanten die een aankoop doen of een dienst afnemen, mogen dus worden aangesproken via bijvoorbeeld e-mail- en bannercampagnes,” legt Boidin uit. “Dit is een van de weinige uitzonderingen in de verder strenge GDPR-wetgeving. Dat betekent dus ook dat het verzamelen van deze gegevens een intensiever én belangrijker onderdeel wordt van de marketingstrategie.”
In de praktijk is te zien dat veel organisaties nog lang niet klaar zijn voor de GDPR-wet. Ook al hebben zij de zaken volgens de huidige regelgeving goed op orde, dan betekent dat nog niet dat zij voldoen aan de strengere eisen die medio 2018 van kracht worden. Uit onderzoek blijkt dat 78% van de IT-beslissers niet of onvoldoende op de hoogte is van wat hun organisatie te wachten staat. En van de 22% die wél op de hoogte is, geeft zo’n driekwart aan nog niet compliant te zijn. Een simpele rekensom leert dan dat maar liefst 94,5% van alle organisaties nog een flinke klus heeft te klaren.
Boidin: “Mei 2018 lijkt nog ver weg, maar in tien maanden moet er nog heel wat gebeuren. De GDPR-wet heeft namelijk in brede zin invloed op een organisatie. Niet alleen IT en marketing, maar ook HR en sales werken dagelijks met persoonsgegevens. De GDPR vraagt in de meeste gevallen zowel qua techniek als proces om actie.”
Om stráks klaar te zijn, is het dus zaak om nú meters te maken op dit gebied. Een vraag waar veel betrokkenen tegenaan lopen, is waar te beginnen. Boidin. “De belangrijke eerste stap is bewustwording bij de relevante verantwoordelijken en beleidsmakers binnen de organisatie. Het thema verdient aandacht, wat het is straks een verplichting waarop controle wordt uitgeoefend.” Daarnaast is het voor een organisatie sowieso belangrijk om zorgvuldig om te gaan met persoonsgegevens van klanten en andere stakeholders.