De nieuwe vereisten voor GDPR, die vanaf 25 mei 2018 in werking treden, bevatten talloze valkuilen die organisaties moeten ontwijken. Diverse afdelingen, van juridische zaken en IT, tot sales en marketing, zullen hierdoor getroffen worden. Voor de meeste marketeers is het erg moeilijk om volledig voorbereid te zijn op GDPR omdat hun klantengegevens verdeeld zijn over diverse kanalen en systemen.
Uit een onderzoek dat Sitecore vorig jaar uitvoerde, bleek dat merken gemiddeld zeven verschillende soorten data verzamelen over hun online klanten om hun wensen en behoeften beter te begrijpen. Deze gegevens zijn verspreid over diverse, vaak gefragmenteerde kanalen, van call centers, websites en winkels, tot sociale media, CRM en ERP-systemen, maar mensen hebben het recht om te weten hoe hun persoonsgegevens gebruikt worden. Bovendien hebben ze het recht om hun persoonlijke gegevens te wissen als ze dat willen.
Organisaties moeten voldoen aan de regelgeving en tegelijk deze gegevens gebruiken voor verbetering en personalisering van de commerce-ervaring. Met nog maar drie maanden tot aan de deadline vind je hier enkele opties om je GDPR-plan sneller in actie te laten reden:
1. Het uitvoeren van proactieve opt-in campagnes om je bestaande klant vóór de deadline te converteren.
Vanaf eind mei mogen organisaties geen persoonlijke gegevens verzamelen, bewaren en gebruiken zonder de toestemming van het betreffende individu via opt-in.
Net als bij elke andere campagne moet content sterk gepersonaliseerd zijn op elk specifiek platform om te verzekeren dat zoveel mogelijk mensen het lezen en een goede reden zien voor opt-in. Consumenten moeten deze instellingen kunnen controleren. Om op natuurlijke wijze op te gaan in jouw marketingprocessen en platformen moet elk individu ze naar eigen inzicht kunnen aanpassen.
2. Ingebouwde Privacy by Design.
Twee stappen zijn op dit punt cruciaal. De eerste stap is het definitief bekend maken van uw privacybeleid. Hoewel het zeker niet de taak is van het marketingteam om op eigen initiatief een privacybeleid te formuleren, speelt het hierbij een duidelijke rol om zeker te zijn dat een zinvol privacybeleid wordt vastgelegd voor de hele organisatie, waaronder IT, financiële en juridische zaken.
Dit beleid moet goed vindbaar gepubliceerd zijn op jouw website en proactief gedeeld worden als bestanddeel van uw opt-in campagnes. Verdere transparantie moet ook geboden worden via andere interacties met klanten, zoals gebruiksvriendelijke voorkeurpagina's of eigen privacy-instellingen van klanten.
De tweede stap is het garanderen van privacy vanaf het allereerste begin. Op het gebied van gegevens verzamelen via elk kanaal, moet de privacy en het gebruik van die gegevens verzekerd zijn. Bijvoorbeeld of de gegevens van een specifieke persoon enkel gebruikt mogen worden voor orderverwerking en beheer, dan wel voor verdere marketing, of gedeeld mogen worden met partners en derden.
Privacy by Design moet de encryptie van gegevens bij opslag en bij uitwisseling overwegen om eventuele blootstelling door potentiële datalekken te beperken.
3. Zorg ervoor dat je kanalen geïntegreerd zijn
Nieuwe systemen, applicaties en diensten worden na verloop van tijd toegevoegd en er zijn meer dan 5.000 technische marketingplatformen waarop marketeers data kunnen opvragen. Vanaf eind mei hebben mensen het recht alle gegevens die over hen zijn opgeslagen op te vragen, en je moet die binnen de 30 dagen verstrekken. Tenzij beschikt over een allesomvattend overzicht van deze gegevens, zal het bijna onmogelijk zijn ze snel en nauwkeurig op te vragen, te controleren en te delen met de betreffende persoon.
Met het recht informatie te verlangen – en in sommige gevallen persoonsgegevens te laten wissen of verwijderen – bestaan er ook manieren om het effect van het verplicht 'wissen' van gegevens te beperken, zodat je jouw doelgroepen nog steeds goed doorziet. Door persoonsgebonden gegevens onomkeerbaar anoniem te maken is de betreffende persoon niet meer te identificeren, en weet de marketeer nog steeds hoe mensen communiceren met hun merk, terwijl de wens om persoonlijke gegevens te wissen gerespecteerd wordt.
Naast de bovenstaande punten bestaan er ook uitdagingen om een passend niveau van databeveiliging te verzekeren voor het risiconiveau van het verwerken van persoonsgegevens. Je moet onder andere exact weten waar klantgegevens worden bewaard en dat dat in de juiste jurisdictie gebeurt.
De sleutel tot naleving van de steeds strengere internationale voorschriften voor gegevensbescherming is transparantie en toegankelijkheid. Voordat GDPR op 25 mei van kracht wordt, hebben marketeers een compleet en gedetailleerd overzicht nodig van wat, waar, hoe en wanneer zij gegevens hebben bewaard en opgeslagen.