GDPR heeft impact op (e-mail)marketing

GDPR heeft impact op (e-mail)marketing

Staat 25 mei 2018 al in de agenda omcirkeld? Vanaf dan wordt het voor organisaties namelijk een stuk gecompliceerder om persoonsgegevens te benutten voor marketingactiviteiten. Op deze datum gaat de General Data Protection Regulation (GDPR) in. De GDPR-wet heeft invloed op elk bedrijf dat gebruikmaakt van persoonlijke data – feitelijk gezien op élk bedrijf dus. Met name voor e-mailmarketing heeft dit nogal wat voeten in de aarde.

De veranderingen

Op dit moment hebben organisaties zich te houden aan de Wet Bescherming Persoonsgegevens, maar de GDPR trekt de teugels heel wat strakker aan. Aan de verplichte e-mail opt-in worden strengere eisen gesteld. Zo moet een opt-in:

  • Duidelijk worden uitgelegd (in heldere, begrijpelijke taal);
  • Een bevestigende actie zijn; een automatisch aangevinkte checkbox is niet toegestaan.
  • Gescheiden worden aangeboden van andere (algemene) voorwaarden.
  • Optioneel zijn; het mag geen verplichte voorwaarde zijn.
  • Volledig worden geregistreerd in de e-maildatabase.
  • Een specifiek doel dienen: voor verschillende manieren van dataverwerking, zoals het doorsturen van gegevens naar derde partijen, zijn afzonderlijke opt-ins nodig.
  • Op elk moment door de gebruiker zijn in te trekken; het verstrekken van duidelijke informatie over uitschrijven is verplicht.

Bovenstaande zaken vormen de ruggengraat van de nieuwe wetgeving. De belangrijkste verandering zit hem wellicht in de opslag en het beheer van de gegevens. De e-mailmarketeer is namelijk verplicht om te kunnen aantonen dat op elk vlak is voldaan aan de vereisten ten aanzien van de e-mail opt-in. “In de database dient te zijn vastgelegd hoe en wanneer de opt-in is verkregen,” vertelt Annemieke Boidin-Van Egmond, communicatiespecialist bij BOOM Communicatie. “De letterlijke tekst die aan de gebruiker getoond wordt, vormt daar ook een onderdeel van.”

Dit alles vraagt nogal wat aan de achterkant van de organisatie, zowel op het vlak van techniek als proces. Verwerkt de organisatie jaarlijks data van meer dan 5.000 personen, dan dient de organisatie verplicht te beschikken over een onafhankelijke Data Protection Officer. Boidin-Van Egmond: “Dat moet een persoon zijn die op dit gebied van de hoed en de rand weet en die het thema binnen de hele organisatie kan beleggen”.

Simpel gesteld verbiedt de GDPR-wet het targeten van niet-klanten. Tenzij zij zelf nadrukkelijk hebben aangegeven hierin interesse te hebben, door middel van een opt-in. Dat geldt voor e-mailmarketing, maar ook voor online advertising in de breedste zin van het woord. Bannercampagnes worden bijvoorbeeld ook een stuk ingewikkelder.

Annemieke Boidin-Van Egmond (BOOM Communicatie)

De gevolgen

De GDPR-wet heeft flinke impact. Voldoet een organisatie niet aan de verplichtingen, dan is een forse boete een mogelijke consequentie. Die boete kan oplopen tot maar liefst 20 miljoen euro of 4% van de totale bedrijfsomzet. En dit nog los bezien van mogelijke imagoschade. De zaken wél goed op orde krijgen, heeft echter ook gevolgen voor de organisatie. Volledig ‘compliant’ worden vergt aandacht, mankracht en kennis. Door de terugwerkende kracht van de GDPR dienen alle bestaande gegevens per 25 mei aan de wetgeving te voldoen. In veel gevallen vraagt dat om het verkrijgen van herbevestiging of nieuwe gegevens. Lukt dat niet? Dan moeten de gegevens simpelweg worden verwijderd uit de database.

Breder dan alleen e-mailmarketing

De GDPR raakt het hart van e-mailmarketing, maar heeft ook een bredere impact, zo legt Boidin-Van Egmond uit: “Simpel gesteld verbiedt de GDPR-wet het targeten van niet-klanten. Tenzij zij zelf nadrukkelijk hebben aangegeven hierin interesse te hebben, door middel van een opt-in. Dat geldt voor e-mailmarketing, maar ook voor online advertising in de breedste zin van het woord. Bannercampagnes worden bijvoorbeeld ook een stuk ingewikkelder.”

Gelukkig is er ook volgens de nieuwe wet geen aanvullende opt-in nodig als er sprake is van een relevante factuurrelatie. “Klanten die een aankoop doen of een dienst afnemen, mogen dus worden aangesproken via bijvoorbeeld e-mail- en bannercampagnes,” legt Boidin-Van Egmond uit. “Dit is een van de weinige uitzonderingen in de verder strenge GDPR-wetgeving. Dat betekent dus ook dat het verzamelen van deze gegevens een intensiever én belangrijker onderdeel wordt van de marketingstrategie.”

Op weg naar compliance

In de praktijk is te zien dat veel organisaties nog lang niet klaar zijn voor de GDPR-wet. Ook al hebben zij de zaken volgens de huidige regelgeving goed op orde, dan betekent dat nog niet dat zij voldoen aan de strengere eisen die medio 2018 van kracht worden. Uit onderzoek blijkt dat 78% van de IT-beslissers niet of onvoldoende op de hoogte is van wat hun organisatie te wachten staat. En van de 22% die wél op de hoogte is, geeft zo’n driekwart aan nog niet compliant te zijn. Een simpele rekensom leert dan dat maar liefst 94,5% van alle organisaties nog een flinke klus heeft te klaren.

Boidin-Van Egmond: “Mei 2018 lijkt nog ver weg, maar in tien maanden moet er nog heel wat gebeuren. De GDPR-wet heeft namelijk in brede zin invloed op een organisatie. Niet alleen IT en marketing, maar ook HR en sales werken dagelijks met persoonsgegevens. De GDPR vraagt in de meeste gevallen zowel qua techniek als proces om actie.”

Stappenplannen

Om stráks klaar te zijn, is het dus zaak om nú meters te maken op dit gebied. Een vraag waar veel betrokkenen tegenaan lopen, is waar te beginnen. Boidin-Van Egmond: “De belangrijke eerste stap is bewustwording bij de relevante verantwoordelijken en beleidsmakers binnen de organisatie. Het thema verdient aandacht, wat het is straks een verplichting waarop controle wordt uitgeoefend.” Daarnaast is het voor een organisatie sowieso belangrijk om zorgvuldig om te gaan met persoonsgegevens van klanten en andere stakeholders.

De Autoriteit Persoonsgegevens ontwikkelde al een tienstappenplan, met als doel om organisaties een handvat te bieden. Onderstaande tips geven de transitie een goede start:

  • Stel een projectteam samen dat mandaat heeft vanuit het management, waardoor draagvlak en eigenaarschap ontstaat.
  • Ontwikkel een projectplan, indien mogelijk in samenwerking met de legal-afdeling van de organisatie. Besteed hierbij uitgebreid aandacht aan de planning.
  • Voer een database-audit uit, waarmee duidelijk wordt welke persoonsgegevens er op dit moment zijn en in hoeverre die voldoen aan de vereisten van de GDPR-wet.
  • Breng technologische impact in kaart, eventueel samen met de externe technische partij(en) waarmee de organisatie samenwerkt.
  • Ga aan de slag met de herinrichting van processen, zodat het voldoen aan de GDPR-wet een integraal onderdeel van het bedrijfsproces wordt.

Recent nieuws

19 oktober 2017

Reclassering Nederland heeft BOOM Communicatie aangewezen als strategisch partner voor het ontwikkelen van haar website, na een aanbestedingstraject onder drie geselecteerde bureaus. In samenwerking met Axendo, dat verantwoordelijk is voor de technische realisatie, werkt BOOM Communicatie de...

Lees verder