In 8 stappen GDPR proof? Hier moet je aan voldoen.

In 8 stappen GDPR proof en alles geregeld op het gebied van data privacy

De GDPR (General Data Protection Regulation) of AVG (Algemene verordening gegevensbescherming) is de nieuwe wetgeving voor alles op het gebied van data privacy. Deze wet treedt op 25 mei 2018 in werking. De Autoriteit Persoonsgegevens (AP) zal controleren of je organisatie voldoet aan de eisen.

Wat verandert er?  Waar moet je organisatie aan voldoen?

De GDPR versterkt de positie van de betrokkene. Dit is degene waarvan de gegevens worden verwerkt. De betrokkene krijgt nieuwe privacyrechten en bestaande rechten worden sterker. Als je als organisatie veel persoonsgegevens opslaat krijg je meer verplichtingen. De nadruk ligt op de verantwoordelijkheid van de organisatie om te kunnen aantonen dat zij zich aan de wet houden.

In dit artikel wordt uitgelegd welke stappen een organisatie moet volgen om aan GDPR te voldoen, waar de organisatie rekening mee moet houden en wat dit betekent voor de betrokkenen.  

Stap 1. Categoriseer je persoonsgegevens

Het is belangrijk om te weten dat de GDPR niet alleen geldt voor persoonsgegevens die de organisatie opslaat zodra de wetgeving is ingegaan. Het geldt voor alle persoonsgegevens. Het is belangrijk om daarom alle persoonsgegevens die verwerkt en opgeslagen worden zo goed mogelijk te categoriseren zodat, mocht het zover komen, aangetoond kan worden dat de organisatie voldoet aan alle verplichtingen uit de GDPR.

Als organisatie is het belangrijk om alleen de persoonlijke gegevens op te slaan die daadwerkelijk nodig zijn. Nu de GDPR ingaat zal het begrip ‘persoonsgegevens’ ook verbreed worden. Unieke IP-adressen en cookies vallen ook onder deze gegevens. De gegevens die niet meer gebruikt worden moeten verwijderd worden. Als een betrokkene vraagt zijn gegevens in te mogen zien moet de organisatie dit toestaan. De organisatie moet dan aan kunnen tonen of de organisatie zijn persoonsgegevens gebruikt, om welke gegevens het gaat, wat het doel is van het gebruik, aan wie de organisatie de gegevens eventueel heeft verstrekt en wat de herkomst is van de gegevens, als dit bekend is.

Stap 2. Breng je gegevensverwerkingen in kaart

Als de GDPR-wetgeving ingesteld gaat worden moet je als organisatie de complete gegevensverwerkingen in kaart brengen. Denk hierbij aan het documenteren van welke persoonsgegevens verwerkt worden, met welk doel, waar deze gegevens vandaan komen en met wie de gegevens worden gedeeld. De organisatie moet namelijk aan kunnen tonen dat er gehandeld wordt naar de GDPR. De persoonsgegevens moeten op een transparante manier verwerkt worden en mogen alleen voor een duidelijk omschreven doel verwerkt worden. De gegevens moeten noodzakelijk, correct, actueel zijn en de gegevens moeten verwijderd en beveiligd kunnen worden.

Stap 3. Sluit een overeenkomst af met je bewerker

Onder de GDPR is het verplicht om een overeenkomst af te sluiten met bewerkers. Een bewerker is iemand die buiten de organisatie staat en ten behoeve van de organisatie persoonsgegevens verwerkt. Denk hierbij aan een ontwerpbureau dat een opdracht doorgeeft aan een marketingbureau, maar deze blijft werken onder de naam van het ontwerpbureau. De bewerker is een derde partij. In de overeenkomst moet in ieder geval voorkomen:

  • Het doel van de verwerking,
  • Het soort persoonsgegevens dat wordt verwerkt;
  • De duur van de gegevensverwerking;
  • Het onderwerp van de gegevensverwerking;
  • Dat de bewerker meewerkt aan audits om te controleren of de bewerker zich aan alle verplichtingen houdt;
  • Vernietiging van de verwerking of retourneren van persoonsgegevens aan verantwoordelijke.

Stap 4. Documenteer datalekken

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Deze data kan uitlekken door beveiligingsproblemen. Een voorbeeld hiervan is een uitgelekt computerbestand maar het kan ook een geprinte klantenlijst zijn.

De meldplicht datalekken veranderd onder de GDPR niet veel ten opzichte van de voorgaande privacywet. Nieuw is dat als een organisatie samenwerkt met een bewerker, deze verplicht is een datalek te melden aan de verantwoordelijke. Een organisatie moet alle datalekken documenteren zodat de Autoriteit Persoonsgegevens kan controleren of de organisatie aan de meldplicht voldoet.

Je organisatie moet rekening houden met de volgende onderdelen:

Toestemming moet uit een actieve handeling bestaan

Alle toestemming die verkregen wordt moet uit een actieve handeling bestaan. Een voorbeeld hiervan is dat er geen vooraf aangevinkte vakjes mogen bestaan. De vraag om toestemming moet duidelijk en begrijpelijk zijn en dus in eenvoudige taal beschreven worden. Hiernaast heeft de betrokkene altijd het recht om de toestemming in te trekken. Dit moet tevens vermeld worden. Je kunt als organisatie bijvoorbeeld een persoonsgegevens uitschrijf formulier maken die opgevraagd kan worden door de betrokkene. Als organisatie moet je de manier waarop je toestemming vraagt, krijgt en registreert vastleggen. Je bepaald ook zelf hoelang je deze gegevens bewaard. Het is aan te raden de gegevens niet langer te bewaren dan nodig is.

Betrokkenen krijgen meer rechten

Bij de GDPR staat transparantie voorop. De betrokkene moet duidelijk geïnformeerd worden over wat er met zijn persoonsgegevens gebeurt. De betrokkene krijgt ook meer privacy rechten. Dit zijn het recht op inzage en het recht op correctie en verwijdering, maar ook het recht op dataportabiliteit. Dit houdt in dat de betrokkene recht heeft op overdraagbaarheid van zijn data. Als je als klant overstapt naar een andere organisatie kun je je gegevens opvragen en doorsturen naar een andere organisatie. Dit geldt alleen wanneer gegevens worden verwerkt op basis van toestemming of een overeenkomst. Als organisatie ben je verplicht om een kopie van de gegevens te verstrekken in een gestructureerde, algemeen gebruikte, leesbare vorm.

Mogelijkheid tot uitvoeren Data Protection Impact Assessment (DPIA)

Een DPIA hoeft alleen uitgevoerd te worden als de gegevensbewerking een hoog privacy risico met zich mee brengt. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Het is een middel om naleving van de privacyregelgeving te verbeteren. De organisatie moet zelf inschatten of de gegevens die verwerkt worden een hoog privacy risico met zich meebrengen. Zo ja, dan moeten er maatregelen getroffen worden die de risico’s verkleinen.

Een voltooide DPIA bestaat uit een:
A. Een beschrijving van de gegevensverwerking en het doel van de verwerking;
B. Een beschrijving van de rechtsregels, de noodzaak, evenredigheid en verenigbaarheid van de verwerkingsdoeleinden;
C. Beschrijving van de risico’s voor betrokkenen;
D. De voorgenomen maatregelen om deze gevolgen en risico’s van de gegevensverwerkingen aan te pakken.

GDPR Proof of waag je liever een gokje?

Houd rekening met privacy by design & privacy by default

Onder de GDPR zijn privacy by design & privacy by default bekende termen. Privacy by design houdt in dat er vanaf het eerste ontwerpproces al rekening gehouden moet worden met de privacygegevens. De gegevens die verwerkt worden moeten noodzakelijk zijn voor het eindresultaat. Als er toch gegevens verwerkt worden is pseudonimiseren een goede manier om gegevens te beveiligen. Met pseudonimiseren worden persoonsgegevens veranderd in data die niet meer direct herleidbaar is tot een persoon. Om dit te doen worden de direct identificeerbare elementen van persoonsgegevens weggehaald, zoals de naam, of de dataset wordt omgecodeerd tot een nummer. De gegevens worden niet anoniem. De gegevens die weggelaten zijn, worden namelijk niet verwijderd. Mocht dit wel zo zijn, dan zouden de gegevens anoniem zijn.

Privacy by default houdt in dat de organisatie technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat alleen de noodzakelijke persoonsgegevens verwerkt worden. Een voorbeeld hiervan is dat organisaties niet zomaar de locatie van gebruikers mogen vragen zonder dat dit noodzakelijk is. Alle gegevens mogen niet langer bewaard worden dan nodig is.

Het is belangrijk om in ieder geval deze stappen te volgen om aan de GDPR te voldoen. Mocht er een controle komen van de Autoriteit Persoonsgegevens, kan een boete oplopen tot een maximum van 20 miljoen euro of 4% van de omzet. Hiernaast is het voor betrokkenen een belangrijk punt. Zij krijgen meer rechten en als gevolg daarvan is er meer duidelijkheid over wat er met hun gegevens gebeurd.

Meer informatie over de GDPR wetgeving? Neem contact op met sPitch. Wij helpen je graag verder met deze checklist.

Disclaimer: De informatie die hier gegeven wordt, is alleen om een beter begrip te geven wat de GDPR voor organisaties kan betekenen. Dit blogartikel is alleen voor kennisdelingsdoeleinden en moet niet als juridisch advies beschouwd worden. Het advies is om een advocaat kundig op het vlak van de AVG te raadplegen om juridische conflicten te vermijden. Bij het lezen van dit artikel vrijwaar je sPitch voor alle juridische implicaties en kunnen zij niet verantwoordelijk worden gehouden voor enige actie met betrekking tot de informatie die in dit artikel wordt gedeeld.

Het werven van nieuwe klanten? Dat kan efficiënter in slechts 4 stappen!

Waar sta je nu?

Sta eens stil bij hoe het acquisitie proces in jullie organisatie eruit ziet. Is er wel een proces, een doordachte strategie? Kijk eens wat je tot nu toe hebt bereikt en hoever je bent met jullie organisatie? In dit artikel behandelen we vier fases waarin jullie organisatie zich kan bevinden, waarbij de volgorde per organisatie natuurlijk kan verschillen.

Klanten krijgen is niet zo ingewikkeld als dat het lijkt, het wordt zelfs gemakkelijker. Een slim acquisitie proces bestaat uit een goede vindbaarheid, aantrekkelijke content die aansluit bij de behoefte van je doelgroep, pro-actief telefonisch benaderen en opvolgen, e-mail goed gebruiken, het inzetten van social media en de juiste inzet van andere online marketing tools. Zowel marketing als verkoop heeft de verantwoordelijkheid voor het werven van nieuwe klanten. Natuurlijk zijn er bedrijven die juist bij de oude principes en gedachte blijven of bedrijven die volledig focussen op digitale werving en social media campagnes. Het beste ligt echter in het midden. En-En is een goed uitgangspunt waarin je alle kanalen benut die relevant zijn voor je doelgroep. Wat, en in welke hoedanigheid, hangt af van de situatie van jullie onderneming en de fase waarin jullie klanten zich bevinden. Het is belangrijk dat je als organisatie inspeelt op de oriëntatie en behoefte van je klanten. Persoonlijk contact neem je op het juiste moment op en deze persoon ontvankelijk is voor contact.

Waar sta je nu - sPitch

1. Cold calling zien als investering voor de lange termijn.

Cold calling (bedrijven telefonisch benaderen, meestal met het doel een afspraak te initiëren) is vooral efficiënt als bedrijven al verder in het oriëntatieproces zijn. De truc om cold calling dus nog efficiënter te maken voor jullie onderneming is het verzamelen van e-mailadressen van potentiële klanten. Deze potentiële klanten stuur je één keer binnen een bepaalde periode een e-mail met een interessant artikel. Bijvoorbeeld een artikel/document met kennisintensieve informatie. Let op dat je in deze e-mail nog geen aanbiedingen plaatst omdat je ze langzaam meeneemt verder door de oriëntatiefase. Nu kan je zien wie deze e-mails leest en wie niet. De potentiële klant die de e-mail leest kan je nu gerichter gaan volgen en bellen op het moment dat deze daar klaar voor is en de slagingskans hoger is.

Meer opens - meer clicks

2. Hogere openratio’s, meer opens en meer clicks.

Succesvol testen en optimaliseren in en met e-mail marketing dient op regelmatige basis te gebeuren. Dit kan je uitvoeren door periodiek een e-mail te versturen met een interessant kennis-artikel. Onderzoek wijst uit dat mensen relevante mails graag lezen en zetten hierdoor dus stappen verder in het proces. Na een aantal e-mails wordt veelal de potentiële klant opgebeld. Indien je dit doet kan je vragen naar hun mening over het artikel en eventuele behoeften. Verbeter de e-mails op basis van deze input. Verbeter op basis van inzichten en zorg voor hogere openratio’s, meer opens en meer clicks. Wil de prospect een afspraak maken? Speel dan in op deze behoefte en probeer een afspraak in te plannen.

3. Nagenoeg geen acquisitie?

Doet jullie organisatie nog niet of nauwelijks aan telefonische acquisitie dan is het van belang om te kijken hoeveel tijd er besteed moet worden om dit te gaan oprichten. Zo zal random bellen minder opleveren. Dat wijst voor zich maar gebeurt in de praktijk toch nog regelmatig. Indien je belt vraag dan altijd om een e-mail adres. Als je als organisatie zijnde meer gaat denken op de lange termijn is het gunstig om een e-mailbestand op te bouwen en te gaan bloggen, interessante kennis artikelen te schrijven en deze periodiek via e-mail te delen. Vervolgens gebruik je de data die verkregen wordt uit deze acties bij het telefonisch acquireren. De slagingskans van je telefonische acquisitie activiteiten zal dan vele malen hoger zijn.

Leadgeneratie en leadnurturing - sPitch

4. Efficiënter klanten werven door de juiste inzet van marketing automation

Het analyseren en meten van bezoekers/ traffic op je website kan met Google Analytics (Lees ook zeker dit artikel over Google Analytics). Google Analytics geeft ook waardevolle inzichten bij de inzet van e-mailmarketing. Het is interessant om te weten hoe vaak je website bezocht wordt, hoe lang pagina’s worden bekeken en of e-mails worden geopend. Om efficiënter klanten te werven wil je gebruik maken van waardevolle inzichten verkregen vanuit data. Zeker als je kwalitatief goede en kennisintensieve content hebt op je website en deelt via e-mailmarketing. Dan wil je meer diepgaande kennis en informatie dan het aantal bezoekers, hoe lang pagina’s worden gelezen en hoe de open rates zijn. Efficiënter klanten werven gaat beter als je meer informatie verkrijgt van je prospect c.q. potentiële klant. Vanaf dat moment is het tijd om een marketing automation tool te implementeren en gebruik te maken van waardevollere inzichten verkregen vanuit data. We adviseren eerst in de basis alle bovenstaande punten goed te hebben ingericht. Als dat goed is, is marketing automation een goede volgende stap.

Leadgeneratie & Leadnurturing naar een hoger niveau tillen? En-En is hét uitgangspunt!

Overweeg je om je leadgeneratie en leadnurtering naar een hoger niveau te tillen en geloof je in En-En als uitgangspunt? Plan dan vrijblijvend een één op één strategiegesprek in met Matthieu Reijers van sPitch.

Adviesgesprek sPitch online marketing