AVG (GDPR) Checklist voor Marketing Automation
Nog een aantal weken en de Algemene Verordening Gegevensbescherming (AVG) wordt van kracht. Ben jij er al klaar voor? De nieuwe wet vervangt de Wet bescherming persoonsgegevens (Wbp) en kent een veel strengere handhaving en hoge boetes bij overtreding van de privacyregels. AVG is de Nederlandse benaming voor de Europese GDPR (General Data Protection Regulation).
Wat moet je vóór 25 mei 2018 geregeld hebben?
In een eerder blogartikel gaf ik een beschrijving van de nieuwe regels. In dit artikel ga ik in op de praktische consequenties bij Marketing Automation en geef ik je een checklist.
1. Zet een privacyverklaring op je website
Onder de AVG mag je niet meer zonder meer persoonsgegevens verwerken. Dat is een breed begrip, van het verzamelen, het verrijken tot en met het bewaren. Je mag alleen persoonsgegevens verwerken voor het uitvoeren van een overeenkomst (klantgegevens), op basis van expliciete toestemming of wanneer er een gerechtvaardigd belang aanwezig is.
Zo’n gerechtvaardigd belang is marketing. Voor marketing doeleinden mag je zonder toestemming gegevens verzamelen en bewerken, mits de betrokkenen (de personen van wie de gegevens verzameld worden) geïnformeerd zijn. Die informatie wordt verstrekt in een privacy verklaring. Charlotte Meindersma geeft in haar artikel op Frankwatching.com een handig overzicht van wat er in zo’n verklaring moet staan. Zorg dat er ook een mogelijkheid wordt geboden bezwaar te maken tegen het verwerken van de persoonsgegevens.
2. Pas je online formulieren aan op GDPR
De bewijslast voor opt-ins wordt aangescherpt: je moet voor het versturen van e-mailings kunnen bewijzen dat de opt-in op de juiste manier tot stand is gekomen. Dat betekent dat je in je database per contact een aantal zaken moet vastleggen. Om dat te kunnen doen moeten je online formulieren de volgende elementen bevatten:
- Het moet duidelijk zijn aan wie de toestemming wordt gegeven;
- De registratie moet een zogenaamde “timestamp” meekrijgen, zodat je kunt bewijzen dat de toestemming daadwerkelijk gegeven is. Nog beter is het dat je in een log bijhoudt wie wanneer het formulier ingevuld heeft;
- Een vakje dat actief aangevinkt moet worden om de opt-in te geven. Zo kun je bewijzen dat de opt-in op een vrije manier gegeven is;
- Informatie over de toe te sturen e-mailings: wat is de globale inhoud en frequentie;
- Leg vast welke versie van het formulier gebruikt is, zodat je kunt bewijzen dat aan de informatieplicht is voldaan. Bewaar alle versies die je in de loop van de tijd hanteert in een archief. Zorg per contact dat je kunt achterhalen welke versie gebruikt is;
- Een link naar de privacyverklaring. De gegevens van de invullers worden opgeslagen in een database en verrijkt met bijvoorbeeld open- en klikgedrag, surfgedrag op je website en andere interacties. Dat is toegestaan, mits de persoon daarover geïnformeerd is. Hij/zij moet daarom in de gelegenheid zijn de voorwaarden in te zien op het moment dat het formulier voor de e-mail opt-in, aanmelding of aanvraag ingevuld wordt. Een link op het formulier met begeleidende tekst (“Hier kun je lezen wat er met je gegevens gebeurt”).
3. Sluit verwerkersovereenkomsten
Maak je gebruik van een Marketing Automation tool of huur je een bureau in dat voor jou Marketing Automation activiteiten uitvoert? Dan is het verplicht een verwerkersovereenkomst te sluiten met de toolleverancier of het bureau. Het feit dat een leverancier toegang heeft tot de gegevens, al doet hij er niets mee, verplicht je om een overeenkomst te sluiten. De wet schrijft een aantal verplichte onderwerpen voor, die daarin geregeld moeten worden. Onderwerpen zoals geheimhoudingsverplichting, beveiligingsmaatregelen en -procedures en een bewaartermijn moeten geregeld worden in de overeenkomst. Branchevereniging DDMA biedt bijvoorbeeld aan leden een standaard contract hiervoor. Sommige serviceproviders bieden ook eigen versies van verwerkersovereenkomsten aan. Wij hebben er al een aantal gezien en verwachten er meer in de aanloop naar 25 mei.
4. Ga na of je oude contacten aan de nieuwe regels voldoen
Niet alleen nieuwe relaties en prospects moeten aan de nieuwe AVG, maar ook je oude adressenbestand. Ga na of je van je bestaande contacten kunt bewijzen dat de opt-in op de juiste wijze tot stand is gekomen (meer hierover lees je in mijn eerdere blogartikel over de AVG). Is dat niet het geval, dan is opnieuw vragen om een opt-in nodig.
5. Informeer je contacten
De AVG kent een informatieplicht voor het verwerken van persoonsgegevens. Je bestaande contacten hebben die informatie niet gekregen. Informeer alle bestaande contacten over je nieuwe privacyverklaring, bijvoorbeeld in een e-mail met een link naar de websitepagina met de privacyverklaring.
Als je deze stappen doorloopt, is je Marketing Automation AVG-proof. De vraag of je database aan de eisen van de AVG voldoet, is daarmee echter niet beantwoord. Is je database bijvoorbeeld voldoende beveiligd tegen verlies en ongeoorloofde toegang? Is er een procedure in het geval van datalekken? Hoe is het omgaan met verzoeken tot verwijdering uit de database geregeld? Voor de oplossingen op dit soort vraagstukken kun je terecht bij je CRM-leverancier, IT-specialist of in AVG gespecialiseerde bureaus.
Heb je nog vragen? Stuur dan gerust een bericht naar mieke@qamel.nl.
Wil je weten hoe Marketing Automation jou kan helpen bij het reactivatie programma met win-back-campagnes en workflows?
Blijf op de hoogte van de laatste updates over AVG / GRPR en andere actualiteiten in marketing automation en e-mailmarketing!