GDPR: Wat verandert er voor je marketing?

Lorenz van Gool

Marketeers opgelet: de GDPR komt eraan en jij moet aan de bak. In een vorige blog hebben we de basis van deze nieuwe Europese wet uitgelegd. Maar juist de concrete invulling baart menig marketeer zorgen: het liefst staat ‘GDPR’ voor ‘Geweldig Duidelijke Praktische Regelgeving’. Helaas is dit niet het geval en moet je nog even wachten op de precieze invulling van de ePrivacy-wetgeving, die bovenop de GDPR komt. Toch kunnen marketeers aan de hand van GDPR aardig wat voorbereiden. Tijd voor een overzicht met praktische handvatten.

Allereerst is het van belang om te weten met welk soort data je werkt.

De EU maakt onderscheid tussen drie soorten persoonsgegevens:

  • Persoonsgegevens: Alle gegevens waarmee iemand geïdentificeerd kan worden, zoals NAW-gegevens, geboortedatum, e-mailadres, IP-adres, huidige locatie en device-ID’s. Maar ook genetische en biometrische gegevens (gezichtsafbeelding, vingerafdruk etc.).
  • Pseudo-anonieme data: persoonsgegevens die dusdanig verwerkt worden dat ze niet langer herleid kunnen worden zonder gebruik van aanvullende informatie. Denk aan versleutelde e-mailadressen, klantnummers die gekoppeld zijn aan andere data of een gebruikers-ID. De data is te herleiden tot een individu, maar niet direct tot een herkenbaar persoon.
  • Anonieme data: data waarvan de ‘herleidbaarheid’ is verwijderd, of data die sowieso niet wordt opgeslagen/weggeschreven.

Nu je deze indeling weet, kan je makkelijker de gevolgen voor deze drie marketingdoeleinden begrijpen:

1. Opt-ins en e-mailmarketing

Voor het gebruik en verzamelen van persoonsgegevens en pseudo-anonieme data moet expliciet toestemming gevraagd worden. Personen moeten vrijwillig een opt-in kunnen geven (“freely given, specific, informed and unambiguous”). Opt-ins moet je daarnaast altijd kunnen aantonen, door ze bijvoorbeeld op te slaan in je database. De opt-in mag geen onderdeel zijn van de Algemene Voorwaarden.

Voor e-mailmarketing betekent dit dat de opt-in alleen geldt voor commerciële mails. Denk aan het opslaan van persoonsgegevens voor je mailinglijst. Daar moet je dus op een of andere manier een opt-in voor krijgen.

Omdat er in de meeste gevallen toestemming nodig is die niet geforceerd is, stijgt het gebruik van een dubbele opt-in voor het werven van nieuwsbriefabonnees aan populariteit onder marketeers. Hierbij vraag je dus (1) om toestemming en stuur je (2) een bevestigingslink.

Wij raden aan altijd een dubbele opt-in te gebruiken. Niet alleen vanwege GDPR, maar ook omdat je dan altijd zeker bent van iemand die je mails ook daadwerkelijk wil lezen – in plaats van iemand die er per ongeluk op heeft geklikt.

In de GDPR staan gelukkig ook specifieke technische handvatten. Een ‘checkbox’ voor opt-ins wordt nadrukkelijk genoemd: het is verboden deze al vooraf in te vullen voor gebruikers. Personen moeten deze dus echt zelf kunnen aanvinken.

Deze ‘checkbox-regel’ geldt vooral bij gescheiden opt-ins. Want alleen toestemming vragen voor de nieuwsbrief is niet voldoende, als data op verschillende manieren verwerkt wordt. Denk bijvoorbeeld aan data die aan derde partijen wordt doorgegeven. Ook moet je apart toestemming vragen voor meerdere soorten e-mails die je wil versturen, zoals acties, promoties en reclame, maar ook uitnodigingen voor events. Wij kunnen ons voorstellen dat dit over het hoofd wordt gezien.

VOORBEELD
Stel, je organiseert een evenement, en bij aanmelding wil je bezoekers op de hoogte houden via een nieuwsbrief en je sponsoren willen gebruik maken van de lijst met inschrijvingen. Dan dienen er twee checkboxen bij de opt-in weergegeven te worden: Bijvoorbeeld: één met ‘Ja, ik wil de nieuwsbrief over het evenement ontvangen’ en één met ‘Ja, ik ga ermee akkoord dat sponsoren van het evenement mij reclame sturen.’ Dit moet uiteraard zo duidelijk mogelijk beschreven worden (hoe vaak krijg je mail, van wie en wat staat erin?).

Gezond verstand komt weer om de hoek kijken: het moet duidelijk zijn dat de persoon de event nieuwsbrief gewoon kan ontvangen, zonder dat de tweede checkbox verplicht is.

2. Profiling

Online adverteren en direct marketing wordt lastiger als deze minder op een individu is toegespitst. Personen krijgen namelijk het recht om profiling te weigeren, en moeten daar duidelijk de optie toe krijgen. De GDPR spreekt van profiling als er geautomatiseerd persoonlijke data over een persoon wordt verwerkt, en dat er met die data persoonlijke aspecten worden geanalyseerd of voorspeld zoals “performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements.” Persoonsgegevens en pseudo-anonieme data mogen dan dus niet gebruikt worden. Niet elke geautomatiseerde verwerking valt onder dit recht: contactgegevens voor het opstellen van een contract zijn natuurlijk wel gewoon nodig.

Volgens de GDPR is profiling niet hetzelfde als tracking, waarbij je cookies plaatst bij een persoon. Daar zijn andere specifieke regels voor (zie §3 cookies en marketing automation). De tekst van de regeling stelt dat ‘profiling’ breder is dan tracking. Profiling gaat niet om het monitoren en opslaan van data, maar wordt gedaan met als doel om gericht (en automatisch) beslissingen maken op basis van die data. Dus niet alleen het voorspellen van bepaalde eigenschappen, ook het aanmaken van een profiel zodat je in een bepaald segment valt, mag niet als die persoon daar naar vraagt.

De gevolgen van profiling moet je als marketeer duidelijk benoemen. Uiteraard gevolgd door een opt-out. Geen vage taal, maar duidelijk aangeven wat er precies met de data van die persoon gedaan wordt.

VOORBEELD
Regelmatig zien wij teksten die de lading van de gevolgen van profiling nog niet goed dekken. ‘We gebruiken deze data voor een betere gebruikservaring’ zal dus niet voldoen. ‘Jouw persoonsgegevens verkopen we door aan derde partijen, namelijk Nike, Adidas en Vans, die op verschillende websites advertenties laten zien die volgens deze data passen bij jouw leeftijd en geslacht’ komt meer in de buurt.

Hier zijn overigens geen harde richtlijnen voor, maar zoals in de tekst van de GDPR staat: Jan Modaal moet het kunnen begrijpen.

3. Cookies en marketing automation

De cookiewet in Nederland wordt vervangen door de Europese cookiewet, dus enkel een cookiewall is vanaf volgend jaar ook niet meer voldoende. De EU ziet het liefst tracking-cookies en analytische cookies verdwijnen als de consument dat wil. Logisch, want je verwerkt in zo’n geval op zijn minst pseudo-anonieme data. Functionele cookies (dus vooraf ingevulde informatie in inlog- of adresvelden) mogen gelukkig gewoon.

De nieuwe regelgeving betekent veel voor bedrijven die met Google Analytics werken. Ergo: bijna elk bedrijf. Google Analytics is een geval apart, want voor die analytische cookies (bezoekersaantallen, conversiepercentages van pagina’s etc.) hoef je geen toestemming te vragen, mits het aan de achterkant goed is ingericht. Dat is bij verrassend veel bedrijven nog niet het geval, dus zorg dat dat snel in orde komt.

Om Google Analytics GDPR-proof te maken raden we aan het stappenplan van de Autoriteit Persoonsgegevens op te volgen.

Doe net als moderne B2B-marketeers en verzamel kwalitatieve leads binnen de perken van de GDPR.

Even terug naar de basis? Lees dan ook ons artikel ‘GDPR voor beginners‘.

Meer verdieping en uitleg gewenst? Lees dan onze blog over veelgehoorde misvattingen.

Afbeelding: Markus Spiske via Pexels

Plaats een reactie