De belangrijkste GDPR veranderingen die ingaan vanaf 25 mei 2018.

Zoals reeds eerder aangekondigd komt vanaf morgen 25 mei 2018 de GDPR wetgeving van kracht. Gezien de vele vragen die we binnenkrijgen, willen we hieronder nog even de interessantste tools en aandachtspunten opsommen. Invisible Puppy is er rotsvast van overtuigd dat privacy enorm belangrijk is en nog veel belangrijker zal worden. Wij zijn geen juristen. We kunnen u dus geen officieel advies geven. 

Wel kan Invisible Puppy u helpen bij het correct gebruik van online tools & aanpassingen aan uw website om in regel te zijn met de nieuwe wetgeving. Mocht u nog vragen hebben over hoe GDPR om te zetten in een opportuniteit of bij specifieke problemen, aarzel zeker niet om ons te contacteren.

Bekijk sneller alle info op deze pagina:

Wat moet u nu zeker weten?

Het allerbelangrijkste is dat u als bedrijf moet kunnen aantonen dat u op een gepaste manier omgaat met de persoonlijke gegevens en data van uw klanten / prospects / partners / werknemers /…
Het is een REGULATION, dus elk Europees lidstaat is er aan gebonden zonder dat er nog op lokaal niveau moet over gedebatteerd worden.

Privacy by default / Privacy by Design.
De grond van de GDPR is dat je er als bedrijf alles aan doet
om de persoonlijke gegevens die je bijhoudt, te beschermen
én enkel te gebruiken als je de toestemming heb gekregen.

Omgaan op gepast wijze:
- Een persoon waarvan de data wordt bijgehouden
heeft zijn explicit consent gegeven dat je zijn persoonlijk data mag bijhouden.
Dus er is geen stilzwijgende aanvaarding meer.

- Je moet aangeven waarvoor je de persoonlijke data gaat gebruiken
(informele communicaties, sales, promo’s, …). Dat wil ook zeggen dat je straks voor elk type uitgaande communicatie (newsletter A, B of C - Mailing 1, 2 of 3) je een apart explicit consent moet hebben. Totale transparantie in je dataregister. Disclaimers, Gebruiksvoorwaarden en andere teksten moeten gemakkelijk te vinden én leesbaar (verstaanbaar) zijn voor bezoekers van de site.

- Als bedrijf moet je kunnen aangeven welke data je precies bijhoudt. Dat is je dataregister. Dat wil ook zeggen dat voor elk type uitgaande communicatie (newsletter A, B of C - Mailing 1, 2 of 3) én voor elke stuk uitgaande communicatie een vermelding staat in je dataregister.

- De data die je bijhoudt moet beveiligd zijn en mag niet door eender wie (ook intern) te bekijken zijn. Het recht om te weten.

- Een persoon (waar je persoonlijke gegevens van hebt) moet op eender welk moment zijn eigen data kunnen aanpassen of kunnen aangeven dat ze niet meer wenst gecontacteerd te worden (voor een specifiek element van de communicatie, bv. promo’s, newsletters, dm, . . . ).
Het recht om vergeten te worden.

- Gegevens die niet meer kloppen, verouderd zijn of inactief blijken, moeten verwijderd worden.

- …

Timing & wat nu?

Het zal geen zo’n vaart lopen, echter, stel dat er een GDPR-controle is, dan is het zeer belangrijk om te kunnen aantonen (in een ringmap, bvb) tijdens zo’n controle dat je al je best hebt gedaan om je firma GDPR compliant te maken.

Welke gegevens, waar staan. Wat doe je er mee en waarom. Hoe worden de gegevens beschermd (ook voor (on-)bevoegd personeel) en welke risico’s je hebt kunnen elimineren.
Last but not least, (zeer belangrijk) als er een BREACH is, wat is je actie plan. Stel dat er een data-inbraak is of dat een medewerker een niet vergrendelde laptop achterlaat, en je moet binnen de 72 uur (van ontdekking van de breach) actie ondernemen, dan heb je niet echt veel tijd om “een ringmap te vullen met je plan” om te bewijzen dat je er echt mee bezig (was) bent.

Dit alles moet niet op 25 mei allemaal in orde zijn, maar elk bedrijf (met persoonlijke data van burgers) moet kunnen aantonen dat ze er aan werken. Daarvoor is het documenteren van alle processen (waar persoonlijke gegevens gebruikt worden) wel een must. Tegenwoordig zijn er heel wat instanties die hiervoor templates gemaakt hebben, die een bedrijf slechts hoeft aan te vullen.

Voor kleine ondernemingen heeft UNIZO (Een Belgische Unie voor KMO’s en zelfstandigen) een aantal nuttige documenten en stappenplannen: https://gdpr.unizo.be/

Grote bedrijven

Omdat het om wetgeving gaat is echter voor grote bedrijven ten zeerste aangeraden om zich te laten assisteren door juristen. 
Zij doen dan een volledige audit (DPIA) van welke data er wanneer wordt bijgehouden en hoe er mee wordt omgegaan. Dat gaat ook in je GDPR map. Uit die audit wordt duidelijk als de huidige persoonlijke data die u momenteel gebruikt voor mails en nieuwsbrieven volgens GDPR regels is bekomen. Valt dit onder die regels, dan hebben jullie op dit moment in principe geen probleem en moeten jullie zich enkel bekommeren over het beveiligen ervan. Is dit niet het geval, dan zouden jullie in principe een email moeten versturen naar de bestaande database met de vraag of ze hun gegevens kunnen verifiëren / welke info ze nog willen ontvangen / …

Voor de grote bedrijven vind je hier een zeer goede checklist: 
https://www.empiricalpath.com/gdpr-risk-matrix-for-web-analytics-customers/

Privacy policy

Daarnaast moet er ook bekeken worden of de privacy policy op de website voldoende is, of alle huidige processen met betrekking tot het vergaren van data geoptimaliseerd zijn naar de GDPR regels, . . . Juridische diensten hebben daar hun standaarden en templates voor om u verder te helpen.

Algemene conclusie

Op marketing / communicatie vlak is “deze GDPR apocalypse” géén slechte zaak.
Kort door de bocht, het stuurt/stuwt alle bedrijven in de richting die Invisible Puppy, als digitaal communicatie agentschap, reeds enkele jaren geleden genomen heeft. Nl. je wil persoonlijke én relevante content geven aan je contacten, prospecten, klanten. Je wil ze duidelijk leren kennen en in conversatie gaan met je doelgroep. De quick-wins om als bedrijf (groot en klein) te profiteren van deze nieuwe wind zijn legio. Ons team bekijkt graag samen met jullie teams waar en hoe deze marketing / communicatie quick-wins (en mindset change) in een opportuniteit kan verdraaid worden.

Belangrijkste take aways voor je online marketing & tools

Waar hou je voor je website & online marketing best rekening mee:

1) Eerst en vooral een GROTE DISCLAIMER of privacy policy:
Een goed voorbeeld of aanzet hiervoor vind je op de Unizo website.

2) Belangrijk punten voor het gebruik van Google Analytics:

A) Data retention:
Indien je de Google analytics instelling niet aanpast zal u alle custom rapporten/ segmenten ouder dan 2 jaar niet meer kunnen gebruiken.

Meer info hier:
https://www.jeffalytics.com/data-retention-controls-google-analytics/
https://www.jeffalytics.com/google-analytics-gdpr/

B) Het gebruik van User ID's.
Indien je User Id's tracked in Google Analytics ben je niet in regel met de nieuwe wetgeving.
Het vergt enige setup on al dan niet (op basis van de consent) user ID's bij te houden.

Meer info hier:
https://www.humix.be/en/blog/configure-google-analytics-for-gdpr/

Wat kan je hieraan doen?

Hopelijk helpt dit. Mocht u nog vragen hebben over hoe GDPR om te zetten in een opportuniteit, aarzel dan niet om ons te contacteren. Zeker bij het aanpakken van bovenstaande aanpassingen aan online tools, kunnen wij jullie zeker verder helpen. 
Mocht een van de bronnen niet duidelijk zijn, laat ons zeker iets weten.