priavacy-avg-gdpr

AVG/GDPR: wat betekent de nieuwe wetgeving voor de B2B-marketeer?

Categorie: , ,

Geschatte leestijd: 6 min. en 44 sec.

december 2017 - 

Heb jij 25 mei 2018 al rood omcirkeld in jouw agenda? Dan treedt namelijk de nieuwe Europese wetgeving rondom persoonsgegevens in: de AVG (Algemene verordening gegevensbescherming). Een wet die binnen bedrijven grote impact heeft op de omgang met alle informatie over een persoon. De AVG is – ondanks het verschil in doelgroep –  niet alleen van toepassing op de werkzaamheden van B2C-marketeers, maar ook op de activiteiten van B2B-marketeers. Je hebt namelijk data in handen waarmee personen geïdentificeerd kunnen worden. Wil jij klaar zijn voor de nieuwe wetgeving? Wij zetten een aantal belangrijke werkzaamheden en situaties die voor jou als B2B-marketeer veranderen op een rijtje.

Regeling voor de gehele EU

Tot voor kort waren de regels niet zo streng. In de Wet bescherming persoonsgegevens (Wbp) stond de omgang met persoonsgegevens in Nederland vastgelegd, maar een regeling voor de gehele EU bestond niet. Met de AVG, ofwel General Data Protection Regulation (GDPR), wordt de wetgeving in alle landen binnen de EU gelijkgetrokken. De regelgeving is al op 24 mei 2016 in werking getreden, maar wordt vanaf 25 mei 2018 pas gehandhaafd. De AVG voegt niet alleen nieuwe regels toe. Bestaande regels zijn ook flink aangescherpt. De bedrijfsvoering van iedere organisatie moet vanaf 25 mei 2018 in lijn zijn met die aangescherpte en nieuwe regels. 

Power to the people met AVG!

Jouw prospects krijgen meer rechten. Zo ontstaat er het recht van ‘vergetelheid’ en recht van ‘dataportabiliteit’. Iedereen mag een verzoek indienen bij een organisatie om ‘vergeten’ te worden. De persoon een vermelding van afmelding geven in het CRM-systeem is niet voldoende bij zo’n verzoek. Alle persoonlijke gegevens verspreid over alle platforms en databases moet je wissen. Daarnaast mag iedereen die gegevens bij jouw organisatie heeft, deze opvragen zodat ze door een andere organisatie gebruikt kunnen worden. Data moet dus overdraagbaar zijn.

Privacy in software

Twee belangrijke wijzigingen in het beschermen van de persoonsgegevens van jouw klanten begint al bij de software. Denk hierbij aan websites, maar ook aan bedrijfssystemen zoals een CRM. Ten eerste moet er sprake zijn van privacy by design: bij de ontwikkeling van een online omgeving (product, proces of dienst) waarbij een organisatie persoonsgegevens verwerkt, moet privacy al worden meegenomen. Bovendien hoor je privacysettings voortaan zo in te stellen dat je zo min mogelijk inbreuk doet op de privacy van de klant: privacy by default. Dit betekent dat om toestemming wordt gevraagd als dat mogelijk is. Daarnaast verwerk je en vraag je om zo min mogelijk persoonsgegevens.

Toestemming via opt-in

Onder de AVG moet toestemming vrij, specifiek en op informatie berust zijn. Wat houdt dat in? Ten eerste moet iemand toestemming geven door middel van een actieve handeling: vooraf aangevinkte hokjes zijn uit den boze!* Het moet een vrije, ongedwongen keuze zijn. Daarnaast moet duidelijk zijn waarom de gegevens verwerkt worden en wat het doel ervan is. Wanneer je iemand voor verschillende doeleinden wil bereiken, moet je voor ieder doel specifiek en expliciet toestemming (opt-in) vragen. En dat mag niet met een verwijzing naar de algemene voorwaarden… Tot slot kan iemand zijn toestemming pas geven wanneer hij zo goed en begrijpelijk mogelijk is geïnformeerd. Schrijf je je bij ons in voor de Beep Beep Bites, die iedere 80 dagen verschijnt? Dan kun je er zeker van zijn dat je één keer per 80 dagen van ons e-mail ontvangt: niet meer, niet minder.

Inhoud van de database

De meeste B2B-marketeers hebben een database die uitpuilt van potentiële klanten. Of je deze nog mag benaderen vanaf 25 mei is afhankelijk van de opt-in die je van dit contact hebt bemachtigd. Persoonsgegevens verkregen in het verleden vallen onder dezelfde wet. Neem je mailinglijst bijvoorbeeld. Heb je voor iedereen een opt-in voor de informatie die je naar ze toe wil sturen? Kun je niet aantonen dat je deze hebt of is er onduidelijkheid over de manier waarop deze is verkregen? Dan mag je dit contact geen e-mails sturen. Er is daarbij géén onderscheid tussen privé e-mailadressen en zakelijke e-mailadressen.

Factuurrelatie

Heb je daarnaast een lijst met reeds bestaande klanten en partners? Er is – verrassend genoeg – geen richtlijn in de AVG die aangeeft dat klanten een opt-in moeten hebben. Onder ‘klanten’ verstaan we mensen die een aankoop doen of een dienst afnemen. Bij zo’n factuurrelatie kun je spreken van een opt-in. Zolang er een opt-out mogelijkheid (keuze om niet (meer) deel te nemen) wordt aangeboden, mag je commerciële boodschappen over vergelijkbare producten en/of diensten versturen.

Vergeet je partners niet

Verwerk jij (als verwerker) data van jouw opdrachtgevers (verantwoordelijken) of laat je data verwerken door derden? Let er dan op dat ook zij op de hoogte zijn van de nieuwe wetgeving en deze volgen. Zorg sowieso voor een verwerkersovereenkomst als je deze nog niet hebt, of herzie je huidige overeenkomst. In deze overeenkomst maak je afspraken over de verwerking van persoonsgegevens en de verdeling van verantwoordelijkheden. Een verwerker mag ook niet zomaar een derde partij inschakelen zonder voorafgaande schriftelijke toestemming van de verantwoordelijke. Neem als verwerker bijvoorbeeld het voortouw in deze overeenkomst als deze er nog niet is. Misschien is jouw relatie op de 24e nog niet klaar, maar dan ben jij dat tenminste wel!

Alleen online? Echt niet

Nee, de AVG is niet slechts van toepassing op online activiteiten. Zo ligt het registreren van mondelinge toestemming wat ingewikkelder. Stel je voor: je krijgt een visitekaartje op een evenement en de eigenaar ervan geeft aan dat het prima is om hem af en toe te mailen. Hoe sla je dat op? In de meeste CRM-systemen heb je de mogelijkheid een vrij invulbaar veld toe te voegen. Maak hier gebruik van en beschrijf hier datum, tijd en locatie waar je de toestemming hebt ontvangen. Probeer zo letterlijk mogelijk te beschrijven wat je met de ander hebt besproken. Zo heb je alsnog voldoende bewijs voor de opt-in. En sta je een keer aan de organisatiekant van een evenement? Denk er dan aan dat je bezoekers niet zomaar meeneemt in marketingcampagnes zolang er geen bewijs van opt-in is. Ditzelfde geldt uiteraard ook voor follow-up e-mails na een evenement.

Direct marketing zoals op naam geadresseerde print marketing, is nog toegestaan zonder daarvoor toestemming te vragen. Er moet dan een goede reden (‘gerechtvaardigd belang’) zijn om het offline bericht te versturen. Direct marketing is zo’n belang. De ontvanger moet wel altijd de mogelijkheid hebben op bezwaar te maken op zo’n postbericht.

Wat kunnen we ervan leren?

De toekomst van B2B-marketing met de AVG klinkt misschien in eerste instantie niet bepaald rooskleurig. De verplichtingen van deze wetgeving zorgen echter ook voor kansen, zoals e-mails sturen naar mensen die écht van je willen horen. Je zult zien dat open- en klikpercentages omhoog schieten en de kwaliteit van relaties in je database zal ook verbeteren. Bovendien dwingt het je om geïnteresseerde prospects te benaderen volgens de inbound marketing methode: relevante content op het juiste moment. Vergeet ook niet om alles gewoon luchtig te houden: betrek je merkprincipes bij het opstellen en communiceren van jouw nieuwe privacybeleid. En don’t worry, je mag die mailtjes blijven automatiseren en personaliseren.

En nu?

Wacht niet tot 2018, maar neem dat nieuwe voornemen nu al: pluis de wetgeving uit, ga na hoe jouw relaties dit oppakken of hoe jouw branche dit doet én test het zelf ook. Focus je op de streep op de horizon en leer door te onderzoeken. Uiteindelijk respecteer je de rechten van jouw contacten en genereer je leads van betere kwaliteit!

 

Disclaimer

Factor Tachtig is uiteraard geen specialist in ICT- en privacyrecht. Dit blog is dan ook niet bedoeld om juridische beslissingen op te baseren. We helpen je natuurlijk graag een stukje op weg als je er niet wijs uit wordt. Daarnaast kun je zelf van start op de website van Autoriteit Persoonsgegevens. Voor complexe juridische kwesties raadplegen wij zelf een expert, we raden jou aan dit ook te doen ;)

 

ontvang je onze toffe nieuwsbrief al? Dan zie aan de rechterkant van dit blog wél een aangevinkt hokje. Die heb je dus ooit al eens gevuld. Jammer genoeg is onze website (nog) niet fancy genoeg dat deze melding zich bij jou niet voordoet. Excusez-nous!