Waarom de verstrengde privacywet geen reden vormt voor klamme handjes

In 5 stappen in orde met de GDPR

Je zou denken dat communicatie-experten zich niet laten intimideren door een vierletterwoord. En toch zorgt de GDPR (General Data Protection Regulation) voor heel wat klamme handjes bij iedereen die zich bezighoudt met digitale nieuwsbrieven, direct marketing en andere gepersonaliseerde communicatie. Ook organisaties die communicatie niet tot hun core business rekenen, voelen zich aangesproken. Want alle bedrijven die vanaf 25 mei niet ‘compliant’ zijn met de verstrengde versie van de privacywet kunnen met klachten en GDPR-controleurs te maken krijgen.

Zweven er in jouw bedrijf – al dan niet gevoelige – persoonsgegevens rond? Heel waarschijnlijk. Is er reden tot paniek nu de GDPR-deadline nadert? Nee. Toch niet als je onze vijf eenvoudige stappen naar GDPR-compliance even doorloopt.

 

1. Sluit een overeenkomst met je gegevensverwerkers (Idearté bijvoorbeeld)

De GDPR maakt een onderscheid tussen ‘verwerkingsverantwoordelijken’ en ‘verwerkers’. Die eersten geven een andere partij de opdracht om persoonsgegevens te verwerken. Stuurt Idearté voor jou nieuwsbrieven uit? Dan ben jij de verwerkingsverantwoordelijke en Idearté de verwerker.

Via een verplichte verwerkersovereenkomst zet je de details over elke vorm van gegevensverwerking duidelijk op papier. Bij Idearté stellen we deze overeenkomst zelf op voor al onze verwerkingsverantwoordelijken.

 

2. Hou een dataregister bij

Voor iedereen die persoonsgegevens verwerkt, is het aangeraden om daarover gedetailleerde informatie te verzamelen in een dataregister. Op die manier kan je in geval van een controle dadelijk aangeven waarom je bepaalde persoonsgegevens bijhoudt.

Beantwoord in je dataregister volgende vragen voor alle persoonsgegevens die je verwerkt:
- Wanneer en op welke manier heb je de gegevens ontvangen?
- Welke gegevens hou je bij?
- Waarvoor gebruik je de gegevens?
- Hoelang zal je de gegevens bijhouden?

 

3. Informeer je huidige nieuwsbriefabonnees over hun uitgebreide rechten

Volgens de GDPR hoeven de personen waarvan de persoonsgegevens al in je bezit zijn, niet uitdrukkelijk opnieuw toestemming geven om hen te (blijven) contacteren via digitale mailings. Je moet jouw abonnees echter wel op de hoogte brengen van hun uitgebreide rechten als gevolg van de GDPR.

Om aan dit voorschrift te voldoen, stuur je best een soort ‘nieuwsflash’ uit naar de contacten in je huidige database, waarin je hen informeert over hun bijkomende rechten met betrekking tot de verwerking van persoonsgegevens.

Download hier een template voor zo’n nieuwsflash

 

4. Vraag om toestemming

Verzamel je nieuwe gegevens via een inschrijvingsformulier op je website of via andere kanalen? Dan verplicht de GDPR je ertoe om de toestemming tot de verwerking daarvan via een actieve handeling te verkrijgen.

Do’s:
- Actieve opt-in voorzien (dus geen op voorhand aangevinkte checkbox)

- Toestemming intrekken even makkelijk maken als toestemming geven (bv. via een duidelijk link om uit te schrijven in je nieuwsbrief)
- Inlichten over de mogelijkheid om de toestemming in te trekken (bv. via een opvallende link naar de privacyverklaring op je website)

Don’ts:
- Lange lijst voorwaarden met onderaan ‘akkoord’

- Kleine lettertjes


 

Voorbeeldcase: downloadbare whitepaper op je website

Je stelt een whitepaper ter beschikking op je website. Om geïnteresseerden de whitepaper te bezorgen vraag je hen om hun e-mailadres. Daarnaast wil je iedereen die de whitepaper aanvraagt de kans geven om zich in te schrijven op je maandelijkse nieuwsbrief.

Wat moet je naast de invulvensters voorzien op je downloadformulier?
- een lege checkbox naast ‘Ja, ik wil graag maandelijks een nieuwsbrief ontvangen’
- een duidelijke link naar je privacyverklaring (mensen die enkel de whitepaper willen ontvangen licht je ook in over de eenmalige mail die je hen gaat sturen en wat er nadien met hun gegevens gebeurt)

5. Schrijf je privacyverklaring uit in mensentaal

Beknopt, transparant en begrijpelijk. Dat zijn de GDPR-vereisten voor de privacyverklaring op je website. Welke gegevens verzamel je? Hoelang hou je ze bij? Welke derde partijen krijgen de gegevens in handen? Welke rechten hebben betrokkenen in verband met hun eigen gegevens? In je privacyverklaring beantwoord je al deze vragen in de taal van je doelgroep.

Roept de GDPR toch nog vragen bij je op? Laat het ons gerust weten. Dan tonen wij je nog vóór 25 mei de weg naar GDPR-compliancy.