Als marketeer die data inzet voor marketingdoeleinden moet je nadenken over de bescherming van de privacy van je doelgroep, de consument. De nieuwe Europese wetgeving geeft daaraan nieuwe richtlijnen voor jou als marketeer en nieuwe rechten voor de consument. Wat zijn die regels? Hoe gaan wij als databedrijf om met het beschermen van persoonsgegevens? Je leest het in het eerste deel van mijn blog reeks over privacy.
Vanaf 25 mei 2018 wordt de huidige Wet bescherming persoonsgegevens officieel vervangen door de Algemene Verordening Gegevensbescherming (AVG). Dat betekent dat je als organisatie compliant moet zijn. Vier belangrijke punten om op te letten als je data inzet voor marketingdoeleinden.
Wanneer je persoonsgegevens mag verwerken
Het verwerken van persoonsgegevens is uitsluitend toegestaan als het:
- Noodzakelijk is.
- Het doel niet kan worden bereikt op een andere manier die minder inbreuk maak op de privacy van een betrokkene.
- De verwerking proportioneel is, ofwel dat je niet meer persoonsgegevens verwerkt dan strikt noodzakelijk is voor het doel
De verwerkersovereenkomst
Onder de nieuwe wet ben je verplicht om een verwerkersovereenkomst af te sluiten met alle partijen die je inschakelt om namens jouw organisatie gegevens te verwerken. Dat kan een hostingpartij zijn, een marketingbureau of een databedrijf zoals Matrixian Group. Als deze partijen op grote schaal gegevens namens jouw bedrijf verwerken, moet je nagaan of zij compliant zijn met de AVG. Je hebt namelijk een zogenoemde verantwoordingsplicht. Matrixian Group heeft een verwerkersovereenkomst gereed liggen, die bij elke nieuwe opdracht getekend wordt met de klant.
In die verwerkersovereenkomst maak je onder andere afspraken over de beveiliging van de gegevens, de duur van verwerkingen en het verwijderen van gegevens aan het einde van de opdracht. De verwerker moet borgen dat iedereen die betrokken is bij de verwerking van persoonsgegevens daar vertrouwelijk mee omgaat. De toezichthouder kan een boete opleggen 2% van de totale wereldwijde omzet of 10 miljoen voor het niet afsluiten van een verwerkersovereenkomst.
Alle gegevens documenteren
Alle persoonsgegevens die je verzamelt voor je marketing of sales moet je documenteren. Alle consumenten, ieder individu, heeft met de nieuwe wetgeving recht op inzage van zijn gegevens, op het corrigeren ervan en het recht om vergeten te worden. Daarnaast moet je kunnen aantonen – zowel aan de consument als de autoriteit persoonsgegevens – waar die data vandaan komen. Dit is een groot verschil met de oude wetgeving, omdat je het nu op voorhand moet vastleggen en niet achteraf moet kunnen aantonen. Matrixian Group heeft een gedegen systeem voor het loggen van gegevens en voldoet daarmee aan de documentatieplicht.
Toestemming verkrijgen
Dit is een belangrijk punt en iets dat verandert onder de nieuwe privacywet: duidelijk en actief vooraf toestemming vragen aan de consument voor het verzamelen en gebruiken van zijn of haar gegevens. Een stilzwijgend akkoord was al geen optie, maar is onder de AVG nog eens uitdrukkelijk uitgesloten. Vooraf aangevinkte vakjes mogen niet meer: de consument moet een bewuste, actieve handeling doen.
Toestemming moet daarnaast ondubbelzinnig zijn; er mag geen twijfel bestaan of de betrokkene wel echt akkoord gaat. Mondeling akkoord op een onduidelijke vraag, of met een druk op de knop toestemming geven terwijl de klant dacht dat hij alleen maar de app downloadde, zijn bijvoorbeeld niet ondubbelzinnig genoeg.
Matrixian Group maakt gebruik van data uit openbare bronnen. Voor deze gegevens geldt dat toestemming voor gebruik door derden reeds is gegeven, dan wel dat het statistische gegevens betreft. Je kunt er dus gerust op zijn dat je onze data kunt inzetten voor marketingdoeleinden.
Wat doet Matrixian Group nog meer aan bescherming van persoonsgegevens?
- Alle verwerkingen die wij doen melden we bij de Autoriteit Persoonsgegevens, deze verplichting vervalt overigens onder de AVG.
- Wij hebben een data protocol gereed, waarin is uitgeschreven hoe we omgegaan met verzoeken van consumenten voor inzage, correctie of verwijderen van zijn of haar gegevens. Wij werken dus met een gedegen, gestandaardiseerd proces.
- Privacy waarborg label van de branchevereniging voor data driven marketing (DDMA).
- ISO Certificering: Matrixian Group zit in het proces voor de aanvraag van de ISO 27001 certificering voor informatiebeveiliging.
- Encrypted file transfer: gegevens worden beveiligd overgedragen.
- Privacy officer: Matrixian Group heeft een privacy officer aangesteld.
- Data wordt opgeslagen bij een Nederlandse server provider met ISO certificering 9001, 27001, 14001, 7510 en PCI DDS.
In de volgende blog wijd ik uit over de privacy regelgeving voor fraudepreventie. In de delen die volgen ga ik dieper in op de AVG en de meldplicht datalekken.