GDPR: misvattingen uit de wandelgangen

Lorenz van Gool

Door de omvangrijkheid (en onduidelijkheid) van de General Data Protection Regulation (GDPR) is het lastig het kaf van het koren te scheiden in berichtgeving. De GDPR kent nogal wat randzaken en kanttekeningen. Daarom zet Splend de meest voorkomende misvattingen op een rijtje. Grote kans dat je enkele hiervan al in de wandelgangen hebt gehoord… Wat is waar?

“De GDPR geldt niet voor B2B”

Jawel! Ondanks dat je wellicht niet met consumenten te maken hebt, geldt de GDPR voor elk bedrijf dat persoonsgegevens verwerkt. Omdat het publieke discours gaat over de privacy van consumenten en het beschermen van de burger, is de link met B2C snel gelegd. Dat houdt echter niet in dat er voor B2B-bedrijven niets verandert: ook zij verwerken persoonsgegevens. Je gebruikt bijvoorbeeld geautomatiseerde processen (marketing automation) om leads te benaderen.

Maar ook het in je email-lijst hebben van een zakelijk e-mailadres of postadres van je prospect betekent dat je in het bezit bent van privacygevoelige informatie. Een mailtje sturen naar Jan.Jansen@bedrijf.com gaat over persoonsgegevens, en dus is de GDPR van toepassing. Mailen naar het algemene e-mailadres (bv. info@bedrijf.com) van het bedrijf heeft daar dan weer niet mee te maken.

“Help! Ik kan zakelijke contacten dus niet meer persoonlijk mailen?”

Wees gerust, dat kan gewoon wel. In relatie tot de GDPR gaat het vooral om het automatisch creëren van een bestand van adressen (om bijvoorbeeld leads te benaderen). In dat geval moet je dus zorgen dat je toestemming (consent) hebt via een opt-in.

“Je moet overal toestemming voor vragen”

Voor marketeers was 2017 het jaar van content. En 2018 wordt juist het jaar van consent. Toch is dit één van de hardnekkigste misvattingen. Want nee, je hoeft niet overal toestemming voor te vragen. Bestaande klanten (personen of bedrijven waar je een factuurrelatie mee hebt) kan je gewoon benaderen met promoties per e-mail over een soortgelijke dienst of product die ze bij je afnemen of hebben gekocht, zolang er maar een opt-out mogelijk is.

“Mijn hele database met e-mailadressen moet ik verwijderen”

Dat hoeft absoluut niet, maar je moet wel de opt-ins in het verleden kunnen aantonen. Kan dat niet, dan is het tijd voor een frisse start. Je weet dan namelijk zeker dat er vanaf dat moment opt-ins zijn gegeven, als je die netjes aanbiedt. Dit is natuurlijk wel een drastische maatregel. Wat je dus kan doen is aan alle adressen nog een herinnering sturen met een opt-in voor de zekerheid – een soort reactivatie-campagne. Dit zal je database ongetwijfeld kleiner maken, maar ook kwalitatiever. Let op: het is verboden om adressen uit de unsubscribe-lijst hiervoor te gebruiken.

“Voor mijn bedrijf is er niets aan de hand, want ik verwerk data toch anoniem?”

Dat ligt eraan wat je met ‘anoniem’ bedoelt. De EU beschouwt zaken die jij waarschijnlijk als anoniem ziet, slechts als ‘pseudo-anoniem’. Denk aan klantnummers die te koppelen zijn aan een individu. Volgens de wetgeving is alleen data die totaal niet herleidbaar is, echt anoniem. Dus nee, hoogstwaarschijnlijk verwerk jij data niet anoniem. Voor het gebruik en verzamelen van persoonsgegevens en pseudo-anonieme data moet expliciet toestemming gevraagd worden.

Psst… ook mythes of misvattingen over de GDPR gehoord? Laat het ons weten in de reacties.

Verzamel kwalitatieve leads terwijl je GDPR-compliant bent.

Afbeelding: Alexas_Fotos via Pixabay