Op 25 mei treedt nieuwe Europese privacywetgeving in werking. De Algemene Verordening Gegevensbescherming (AVG/GDPR) zal ook van toepassing zijn op de financiële industrie. Michiel Breeschoten en Vincent Hooplot van Hooplot Associates bespreken de belangrijkste aspecten voor sales en marketing professionals.
De verordening heeft als doel de privacy van EU-burgers te verbeteren. De regels gelden voor alle bedrijven die met data van EU-burgers werken, dus ook voor bedrijven die niet in Europa gevestigd zijn of zelfs geen kantoor binnen de EU hebben. De wet is complex, maar vanuit marketingperspectief zijn de meest belangrijke en relevante regels de volgende:
1. Geen direct marketing zonder toestemming
Bedrijven hebben de uitdrukkelijke toestemming van consumenten nodig om contact met hen te mogen opnemen. Deze toestemming moet gebaseerd zijn op transparante informatie – de consument moet weten waarvoor de data gebruikt gaat worden.
2. Kunnen identificeren en overhandigen van data van een individu
De AVG geeft consumenten het recht om hun persoonlijke data bij een bedrijf op te vragen. Dit betekent dat een bedrijf alle data van éénzelfde persoon moet kunnen overleggen, ongeacht de intern vaak verschillende bronnen waarin de data wordt opgeslagen en bewaard.
3. Consumenten hebben het recht om de verwijdering van al hun persoonlijke data te eisen
De nieuwe wetgeving geeft consumenten het recht om bedrijven te vragen om al hun persoonlijke data te verwijderen. Net zoals bij punt 2 betekent dit dat bedrijven alle data die bij éénzelfde individu horen, snel en efficiënt moeten kunnen identificeren.
4. Het kunnen demonstreren van processen en procedures waarmee men aan de eisen voldoet
Tenslotte moeten bedrijven kunnen bewijzen dat ze aan de eisen van de nieuwe wetgeving voldoen. Ze moeten kunnen aantonen dat ze processen en procedures hebben ingericht om te voldoen aan de AVG.
De volgende stappen kunnen je helpen om de situatie van jouw organisatie te checken, of je nu al klaar bent voor de ingangsdatum van 25 mei of dat je druk bezig bent om de processen in te richten.
1. Creëer een interdepartementaal projectteam
Fondshuizen verzamelen persoonlijke data op veel verschillende manieren. Prospects kunnen bijvoorbeeld geïdentificeerd worden wanneer ze een website bezoeken, zich voor een nieuwbrief aanmelden, brochures downloaden of evenementen bezoeken. Informatie komt ook vaak van derde partijen die zich bijvoorbeeld in leadgeneratie specialiseren. Data komt op meerdere plekken de organisatie binnen, verspreid over afdelingen en teams. Creëer dus interdepartementaal inzicht in waar de data vandaan komt, hoe het opgeslagen wordt en wat er moet gebeuren om de data van verschillende afdelingen op elkaar aan te sluiten zodat het altijd aan het juiste individu gekoppeld kan worden.
2. Praat met je softwareleveranciers
Verwacht niet automatisch dat je software aan de nieuwe eisen voldoet – praat met je leveranciers en zorg dat je begrijpt hoe je software jou helpt om aan de nieuwe wetgeving te voldoen of wat je nog moet doen om daar klaar voor te zijn.
3. Documenteer processen en procedures
Documenteer wat voor processen en systemen er ingericht zijn om aan de eisen van de AVG te voldoen. Beleg verantwoordelijkheden bij de juiste personen en leg dit vast. Deze documenten zijn niet alleen belangrijk omdat de AVG het eist, maar helpen ook bij het delen van kennis binnen de organisatie. Vergeet niet om ook over het format waarin je data exporteert na te denken – als een consument het vraagt, moet jouw organisatie al zijn of haar persoonlijke data in een leesbaar, duidelijk format beschikbaar stellen.
4. Check of je binnen je organisatie een Data Protection Officer (DPO) hebt
De AVG vereist dat er personeel beschikbaar is om ervoor te zorgen dat aan de eisen van de wet wordt voldaan. Het aanstellen van een DPO, die verantwoordelijk is voor up-to-date kennis en de processen omtrent de AVG, is voor iedere organisatie een goed idee. Wanneer je regelmatig en systematisch data op een grote schaal monitort, dan is het aanstellen van een DPO zelfs verplicht. De Europese privacy-toezichthouders hebben in april 2017 de definitieve Guidelines on Data Protection Officers gepubliceerd die meer uitleg geven over de DPO. Er is ook een officiële Nederlandse vertaling van de guidelines beschikbaar.
Maximale boete
Wie niet aan de eisen voldoet, neemt een risico. De maximale boete is 4 procent van de wereldwijde jaarlijkse omzet of 20 miljoen euro – afhankelijk van wat het hoogste bedrag is. Reden genoeg dus om te zorgen dat jouw processen AVG proof zijn op 25 mei.
Michiel Breeschoten en Vincent Hooplot zijn als partners verbonden aan Hooplot Associates. Zij delen geregeld met FN Premium-lezers hun kennis op het gebied van marketingstrategie. Wilt u meer bijdragen van FN Kennisexperts lezen, klik dan hier.