Wat de GDPR precies is en waarom ze meer zegen dan vloek is, vertelden we je al. Vandaag beantwoorden we enkele van je meest prangende vragen, zodat je helemaal klaar bent voor mei 2018.

1. Wie moet daar eigenlijk aan meedoen?

De GDPR geldt voor alle bedrijven die in de EU gegevens verwerken, of die data nu van Fransen, Zwitsers of Nigeriaanse prinsen afkomstig is. Waar je bedrijf of server ook gevestigd is: doe maar gewoon flink mee.

Daarnaast moeten ook organisaties buiten de EU GDPR-compliant werken als ze gegevens van Europese burgers verwerken. Vergaart Google via een streepje Analytics-code op je website bezoekersinformatie, dan hangen ook zij eraan.

2. Mag ik nog gegevens verzamelen en gebruiken?

Natuurlijk. Je moet alleen kunnen aantonen dat je de toestemming hebt van de persoon in kwestie om met zijn adres, naam of bankgegevens te gaan lopen. Waaraan die toestemming allemaal moet voldoen, lees je in onze vorige blogpost.

Naast toestemming zijn er nog een vijftal andere rechtsgronden op basis waarvan je gegevens mag verzamelen, waarvan de relevantste voor marketeers ‘gerechtmatigd belang’ is (aka legitimate interest). Naar bestaande klanten mag je bijvoorbeeld in theorie zonder toestemming commerciële communicatie sturen. De belangrijkste voorwaarden: wat je vertelt of aanbiedt, is gerelateerd aan wat je klant eerder kocht, en de communicatie biedt evenveel meerwaarde voor de klant als voor jou. Aanbiedingen van partners kunnen dus niet, info over een update van een eerder aangekochte tool wel.

Een kluwen van naar hartenlust interpreteerbare regeltjes, als je ’t ons vraagt. De nodige toestemming omzeilen houdt bovendien weinig steek vanuit een inbound-filosofie, waarin mensen ongevraagd bestoken zowat een oorlogsmisdaad is. Daarom één advies: speel op safe en maak van consent een natuurlijke reflex.

3. Zijn er ook uitzonderingen voor gegevens van prospects?

Nee, bij prospects blijft consent de absolute basis. Ook dripmails om leads te nurturen, mag je dus enkel versturen mits toestemming. Die kan je bijvoorbeeld verkrijgen door je content – pakweg een e-book – gated aan te bieden, en aan je formulier een optie toe te voegen waarbij de lezer aangeeft de komende maanden enkele mails te willen ontvangen.

Een terechte zorg van menig marketeer is dat heel wat potentiële klanten die toestemming niet zullen geven. Een e-book of webinar zou niet altijd waardevol genoeg zijn. Unieke, kwalitatieve content aanbieden wordt dus een conditio sine qua non, maar daarnaast moeten marketeers ook op zoek gaan naar creatieve manieren om prospects vrijwillig contact te laten zoeken met hun bedrijf. Contentmarketing in z’n puurste vorm dus.

4. Moet ik voor eerder verzamelde gegevens opnieuw consent vragen?

Misschien. Ga na of je in het verleden de expliciete toestemming kreeg om de gegevens in kwestie te verzamelen, of die toestemming aan de verstrengde regels voldoet én je ze kan bewijzen. Is dat niet zo, dan moet je er inderdaad opnieuw achteraan.

Dat hoeft niet moeilijk te zijn: een eenvoudige e-mail waarin je je nieuwsbrieflezers vraagt te bevestigen dat ze je maandelijkse parels willen blijven ontvangen, is voldoende. Bonus: je toont aan dat je hun privacy belangrijk vindt en bent verlost van contacten die toch al niet geïnteresseerd waren – had je toch niks aan.

“Kan je de consent voor je e-mailmarketing niet bewijzen? Dan moet je er opnieuw achteraan.”

5. Wat is een verwerkingsregister en wat moet daar allemaal in?

In het verplichte verwerkingsregister hou je allerlei gegevens bij over je gegevensverzameling (lekker meta). Het bevat heel wat info: wie gebruikt welke gegevens, waarom is dat nodig, waar komt al die data terecht, hoe wordt ze bijgehouden … Gelukkig bestaat er een fijne template voor dit alles. Merci, Gegevensbeschermingsautoriteit! En proficiat met de nieuwe fancy naam (‘Privacycommissie’ vonden we toch maar duf).

6. Zullen ze start-ups of lokale kmo’s wel controleren?

De Gegevensbeschermingsautoriteit zal Belgische organisaties controleren en eventueel sanctioneren. Wie een controleur op bezoek zal krijgen, valt moeilijk te voorspellen, maar als klein bedrijf zit je niet per se safe. Zo kan een klant – of een geniepige concurrent – een klacht indienen wanneer hij vermoedt dat je je niet aan de regels houdt. Ook zonder klacht kan er plots iemand Getuigen-van-Jehova-gewijs aan je deur staan. Kleine loophole: de boetes die bij overtreding worden opgelegd, zijn in België fiscaal aftrekbaar.

Laat dat echter vooral geen reden tot sjoemelen zijn, want ook zonder een grote boete hang je eraan. Organisaties die de GDPR aan hun laars lappen, worden in de toekomst namelijk zonder pardon weggeconcurreerd door wie wel flink is. Immers: elk bedrijf dat compliant wil zijn, moet bij zijn toeleveranciers afdwingen dat zij zich ook aan de regels houden. Weigeren die mee te doen, dan gaat de organisatie in kwestie gegarandeerd naar andere partners op zoek.