Het is je vast niet ontgaan: de nieuwe privacywetgeving die op 25 mei 2018 van kracht gaat. We hebben het over de Algemene Verordening Gegevensbescherming (AVG), ook wel General Data Protection Regulation (GDPR) genoemd. De bekendmaking van deze wet heeft een hoop losgemaakt. Het heeft immers invloed op iedere organisatie die (persoonlijke) gegevens van klanten vastlegt. Maar in hoeverre heeft het invloed op jullie werkprocessen en op jouw werk? Waar moet je rekening mee houden? Door acht vragen te beantwoorden, delen wij graag de spelregels van deze nieuwe wet met jou!
Naast de AVG, is de verwachting dat ook de ePrivacy Verordening van kracht gaat worden. Deze verordening regelt onder andere de inzet van marketingkanalen zoals cookies, e-mail en telemarketing. Ook dit is dus een belangrijke, wettelijke verandering die invloed heeft op jullie processen. Met verordening wordt overigens bedoeld dat het rechtstreeks van kracht gaat en veel meer is dan enkel een richtlijn. Net als bij de cookiewet is de wetgeving van de AVG en de ePrivacy Verordening voor heel Europa gelijk, maar lidstaten kunnen zelf kleine uitzonderingen maken. Wil je precies het verschil weten tussen de AVG en de ePrivacy Verordening? Dit artikel legt het uit.
Voor nu gaan we in op 8 veel gestelde vragen over de impact van de AVG/GDPR op leadgeneratie en (tele-)sales.
1. Is de AVG van toepassing op ons bedrijf?
De AVG is officieel niet van toepassing op business to business. Dat wil zeggen dat het vastleggen van gegevens over een bedrijf mag. Echter, zodra je de unieke gegevens van een herleidbaar persoon vastlegt, valt het onder de noemer ‘persoonsgegevens’ en valt het dus wel degelijk onder de AVG. Blijf dus goed opletten! Denk bij persoonsgegevens aan gegevens als zakelijke (directe alsook mobiele) telefoonnummers, e-mailadressen, afbeeldingen van personen, dieetvoorkeuren, hobby’s etc.
2. Wat betekent de wet voor ons in de praktijk?
Denk bij de handhaving van deze wet vooral na over hoe processen nu ingericht zijn. Kenmerkend aan de AVG is dat er veel open normen inzitten. Het geeft dus veel richtlijnen over wat je moet doen, maar niet hoe je dat moet doen. Waar de regelgeving ophoudt, begint integriteit.
Heb je moeite om de privacyrisico’s in kaart te brengen? Laat dan een privacy impact assessment (PIA) uitvoeren. Aan de hand daarvan wordt vastgesteld of systemen en processen juist ingericht zijn om privacy by design en privacy by default te garanderen. Onder enkele omstandigheden kan het zelfs verplicht zijn om een PIA uit te laten voeren, bijvoorbeeld wanneer de manier van gegevensverwerking mogelijk een hoog privacyrisico met zich meebrengt.
Legt jouw bedrijf persoonlijke gegevens vast? Dan moeten je in staat zijn om te verklaren waarom, wanneer en met welk doel deze gegevens vastgelegd zijn. Documenteer dus al je gegevensverwerkingen. Deze administratieplicht houdt in dat een bedrijf moet kunnen aantonen dat zij in overeenstemming met de AVG handelt.
3. Op wie is de AVG en de privacy verordening van toepassing?
De nieuwe regels met betrekking tot beveiliging van gegevens hebben invloed op zowel bestaande klanten als prospects. De verplichting van het expliciet vragen van toestemming (opt-in) om marketingboodschappen te sturen, geldt echter uitsluitend voor prospects. Bij bestaande klanten volstaat een op-out regeling.
4. Wat is wettelijk nog wél toegestaan?
De AVG wijzigt de toestemming voor marketinguitingen, dus van een opt-out systeem naar een specifieke opt-in regel. Jullie gegevensverwerkingsproces moet zo ingericht zijn dat privacy by default ingesteld is. Dit betekent dat een prospect niet automatisch aangevinkte toestemmingen mag accorderen. Een persoon moet zich expliciet zelfstandig activeren (door middel van aanvinken) voor nader contact. Je moet ook vastleggen op welk moment je deze expliciete toestemming van de prospect verkregen hebt.
Momenteel wordt de laatste hand gelegd aan de ePrivacy Verordening. Waarschijnlijk zal vooral voor het e-mail- en sms-verkeer opt-in van prospects (zowel B2C als B2B) nodig zijn. Opt-in toestemming moet ondubbelzinnig zijn voor de meeste gegevens, en expliciet voor gevoelige gegevens. Dus in de praktijk moet je voor de zekerheid expliciete opt-in (liefst zelfs dubbel opt-in) zien te verkrijgen.
5. Hoe zit het met B2B-telemarketing?
Voor B2B-telemarketing is reeds een opt-out systeem in werking (Bel-Me-Niet-Register) waarbij je bij alle natuurlijke rechtspersonen moet controleren of zij zich hebben aangemeld voor het register. Hieronder vallen naast consumenten en zzp’ers ook eenmanszaken, maatschappen, CV’s en Vof’s. De overige rechtsvormen zoals BV’s, NV’s en bijvoorbeeld stichtingen en verenigingen vallen niet onder de wetgeving.
6. Cold calling, mag dat nog wel?
Voor B2B-marketeers, die telefonische acquisitie (laten) doen, veranderen er twee belangrijke zaken. Zowel het directe telefoonnummer als het persoonlijke e-mailadres vallen per 25 mei 2018 onder persoonsgegevens. Er is zelfs sprake van dat de naam van een persoon onder de wet gaat vallen, waardoor je in de praktijk niet meer mag vragen naar “Pieter Jansen”, maar alleen naar “de Hoofd Inkoop”. Volgens de strikte letter van de wet mag je dus niet meer werken met vooraf verzamelde bestanden met namen en e-mailadressen van specifieke personen binnen bedrijven. Echter, als je toestemming hebt gekregen om iemand te mailen of te bellen op een specifiek nummer, dan is dat uiteraard gewoon toegestaan. In de praktijk geldt zoals altijd dat de toon de muziek maakt. Dus als je op een correcte wijze en open en eerlijk een relevante boodschap aan een persoon overbrengt en je respecteert zijn of haar (of een collega’s) wens voor geen verdere contact, dit in de praktijk geen problemen zal opleveren. Net zoals het nu bij de huidige regels voor het toesturen van e-mail geldt. Zorg dus voor een relevante boodschap en zorg voor een goede, snelle opt-out.
7. Een klant of prospect heeft het recht ‘om te worden vergeten’, wat betekent dit?
Het recht om te worden vergeten (of het recht op wissen) stelt individuele personen in staat om hun gegevens, in bepaalde omstandigheden, uit je CRM-systeem te wissen. Bedenk hierbij dat het beter is om iemand in je eigen uitsluitingsbestand op te nemen, waarmee je periodiek je doelgroepbestanden vergelijkt. Dit om te voorkomen dat je per ongeluk iemand die aangegeven heeft vergeten te willen worden, opneemt in je bestanden.
8. Wat is ‘profiling’en wat moet ik ervoor doen?
Profiling is bedoelt om gedrag van een individu te voorspellen.
“In de AVG is profiling gedefinieerd als elke automatische verwerking van persoonsgegevens uitgevoerd om persoonlijke aspecten te evalueren. De evaluatie kan bijvoorbeeld gaan over beroepsprestaties van de persoon, zijn economische situatie, persoonlijke voorkeuren en interesses, betrouwbaarheid of toekomstig gedrag.”
(Bron: Lindorff)
Profiling is het gebruik van een algoritme voor het analyseren van klanten- of prospectdata. Een voorbeeld van profilering is het geautomatiseerd analyseren van een doelgroep van personen op LinkedIn. Deze groep verfijn je op basis van hun profielen nader, om zo de kans van slagen van een verkoop te vergroten.
De AVG zegt dat je expliciete toestemming van prospects moet hebben om aan profiling te doen. In de praktijk betekent dit dat je het niet kunt doen, tenzij de bron (in het voorbeeld LinkedIn) in de voorwaarden iets heeft vermeld waardoor er wel sprake van toestemming is.
Kortom, de AVG is meer dan alleen de regels toepassen
Hebben we het over de AVG en over de ePrivacy Verordening, dan concluderen we dat het vastleggen van een relatie (toestemming) met een prospect erg belangrijk is. Doe dat nú nog, voordat het in mei 2018 veel ingewikkelder wordt. Kijk daarnaast goed naar je administratieplicht.
Vinden jullie het lastig om te bepalen of jullie voldoen aan alle eisen van de wet? De Autoriteit Persoonsgegevens bereid je in 10 stappen voor op de nieuwe regels.
De striktere regels hebben invloed op de manier waarop bedrijven in contact treden met hun doelgroep. Steeds meer geïntegreerde inbound marketing en doelgericht online adverteren lijken de trend te zijn. Skondras kan je adviseren en bijstaan in het proces. Graag helpen wij jou bij het kwalitatief benaderen van jouw prospects, binnen de kaders van de huidige en toekomstige wet.