De basis

GDPR staat voor General Data Protection Regulation. In het Nederlands is dat AVG, Algemene Verordening Gegevensbescherming. Het is een nieuwe Europese wet die de verouderde Data Protection Directive van 1995 vervangt. De wet werd in 2016 goedgekeurd maar pas vanaf 25 mei 2018 zal deze gecontroleerd worden. De nieuwe wet handelt over hoe bedrijven persoonlijke data mogen verkrijgen, gebruiken, opslaan en verwijderen. De wet is toepasbaar op bedrijven uit alle sectoren die persoonlijke data behandelen van EU-burgers. Ga er niet te licht over, want de wet is erg uitgebreid. Zelfs bedrijven die e-mailadressen van sollicitanten van vorig jaar bijhielden vallen onder de GDPR wetgeving en moeten hun beleid aanpassen.

Boetes?

Bedrijven kunnen in principe beboet worden vanaf 25 mei 2018. De boetes kunnen oplopen tot 4% van de jaarlijkse omzet of 20 miljoen euro, het hoogste bedrag zal gekozen worden. Dat zijn de maximumboetes voor de grootste overtredingen, de Privacycommissie legt geen minimum bedrag op.

Hoe begin ik eraan?

Data Protection Impact Assessment: In sommige gevallen ben je verplicht een DPIA uit te voeren. Dat is voor bedrijven die op grote schaal data behandelen zoals bijvoorbeeld direct marketing bedrijven. Je voert een veiligheidsaudit uit, onderzoekt hoe je bedrijf data behandelt en of er risico’s zijn op diefstal of verlies Op basis van deze bevindingen stel je een actieplan op om die risico’s te beperken.

Leg een databank aan: Als je persoonsgegevens verwerkt moet je een databank aanleggen. In die databank staan gegevens zoals de termijn waarbinnen de gegevens gewist worden en waarvoor je de gegevens gebruikt.

Meldplicht bij datalekken: Als je opmerkt dat er gegevens gestolen zijn of op één of andere manier in de verkeerde handen terechtkwamen moet je binnen de 72 uur de overheid en de betrokken klant hiervan op de hoogte brengen.

Data Protection Officer: In sommige gevallen ben je verplicht een DPO aan te stellen. Bv. als direct marketing je core business is. Je kan hiervoor een externe consulent of iemand inotern aanstellen. Die persoon is dan een soort preventieadviseur voor privacy.

Recht op informatie: Bedrijven zijn vanaf mei verplicht om duidelijk te stellen waarvoor ze de persoonlijke info van klanten gebruiken. Het is belangrijk dat duidelijk aan te geven wanneer je de info ontvangt, maar ook verder in het verwerkingsproces.

Recht op verwijdering: Het contact heeft het recht om te allen tijde zijn persoonlijke data te laten verwijderen uit je database.

Recht op correctie: Het contact heeft het recht om te allen tijde zijn persoonlijke data te laten aanvullen of vervangen als het niet correct is.

Recht op inzage: Het contact heeft het recht om zijn persoonlijke gegevens op te vragen en te weten waarvoor zijn gegevens gebruikt worden. Als bedrijf ben je ook verplicht om binnen de 30 dagen een gratis kopie te verstrekken met de informatie.

Recht op overdraagbaarheid van gegevens: Het contact heeft het recht om zijn informatie te laten overdragen. Dat wil zeggen dat hij kan vragen om zijn informatie veilig door te geven aan een andere instelling.

Recht op verzet: Het contact heeft het recht om het gebruik van zijn informatie in een bepaalde context te weigeren. Je bent verplicht aan het contact online toe te staan verzet aan te tekenen als je zijn data gebruikt. Hij kan dan verzet aantekenen als de persoonlijke data wordt gebruikt voor direct marketing, profiliing of geautomatiseerde besluitvorming.

Wat voor info behandel ik?

Persoonlijke data is data die direct of indirect iemand kan identificeren. Voorbeelden hiervan zijn namen, e-mailadressen, posts op social media, IP-adressen, … . Voor gevoelige data gelden nog striktere regels. Gevoelige data kan gaan over ras, genetische info en dergelijke. De meeste bedrijven behandelen enkel persoonlijke data en kunnen daarom de gevoelige data buiten beschouwing houden. Als gegevensverantwoordelijke is het jouw verantwoordelijk om hier per categorie de nodige maatregelen te nemen.

Wat doe ik met mijn bestaande contacten?

Als je info verkreeg op een manier die voldeed aan de standaarden van de GDPR mag je die info blijven gebruiken. Kreeg je bijvoorbeeld informatie door een vooraf aangevinkte box op je pagina ga je opnieuw toestemming moeten vragen. Die informatie is dan met andere woorden niet ‘vrij gegeven’.

Je kan hiervoor een reactiveringscampagne opstarten. Je stuurt dan een mail naar alle betrokkenen in je databank en vraagt hen voor een nieuwe opt-in. Je vraagt dus met andere woorden om opnieuw in te schrijven voor je nieuwsbrief of andere mailings. Deze mails zijn liefst aantrekkelijke berichten waarin de klant het voordeel ziet in een nieuwe opt-in. Waarschijnlijk zullen enkele ontvangers hier niet op ingaan en zal je dus contacten verliezen.

Die je wel overhoudt zijn geëngageerde contacten en dat is het doelpubliek dat je steeds voor ogen dient te houden bij e-mailmarketing. Resultaat: een geëngageerd publiek, representatieve resultaten, hoger engagement en daardoor ook een hogere afleverbaarheid!

Hoe pak ik reactiveringscampagnes aan binnen Flexmail?

Je hebt binnen het programma twee opties om een reactiveringscampagne op te zetten. Een directe en een indirecte manier.

Direct: Je stuurt een opt-in campagne. Het is een bericht met een opt-in link. Wanneer je de campagne verstuurt worden de contacten van de campagne gedeactiveerd. Wanneer de contacten op de link klikken worden ze terug actief. De contacten die niet op de link drukken blijven inactief en ontvangen geen mailings meer.

Indirect: Je stuurt een gewone campagne bv. een nieuwsbrief. Je zorgt ervoor dat de vraag of ze verdere mailings willen ontvangen prominent aanwezig is. Daarnaast voorzie je een knop waar ze op kunnen klikken. Je voorziet voor deze knop bv. een landingspagina zodat je contacten een bepaalde tag kan geven.

Dit geeft je verschillende opties:

• Een interesselabel maken.
• Een veld aanmaken in de contactfiche dat je bewerkt via de workflow.
• Contacten die bevestigen toevoegen aan een nieuw segment via de workflow.

Wat is mijn rol?

Iedereen die persoonlijke data consulteert is een processor of een controller. Een controller is het bedrijf dat beslist welke data verzameld wordt en hoe die data gebruikt wordt. Een processor is het bedrijf dat de data voor andere bedrijven verwerkt. Met andere woorden Flexmail is een Processor of verwerker. Flexmail is daarom de slimme buis die door de klant gebruikt wordt, maar niet de verwerker.

Een controller of gegevensverantwoordelijke heeft de primaire verantwoordelijkheid over data bescherming. Dat houdt bijvoorbeeld in dat de controller verantwoordelijk is voor het melden van datalekken binnen de 72 uur.