Ook zonder website of cookies moet uw organisatie waarschijnlijk aan de GDPR voldoen. Gebruikt u e-mail?

“Als ik nou de contactpagina van onze website haal… Moet ik dan ook nog een SSL-certificaat hebben? Wij doen niets met cookies.” De ondernemer zucht. “Wij doen helemaal niets online.”

Kleine middenstanders proberen vertwijfeld onder de druk van de nieuwe privacywet AVG / GDPR uit te komen. Ze zoeken ontsnappingsclausules. Vaak gebaseerd op misverstanden.

Een van die misverstanden is dat de Privacywet alleen iets is voor ondernemers die online ondernemen.

“Hoe communiceert u met uw klanten? Gebruikt u e-mail?”, vraag ik.

“Ja, natuurlijk. Dat doet toch iedereen”, antwoordt de ondernemer. Hij zucht nog eens. Het kwartje lijkt gevallen.

Hebt u een computer?

Dus u heeft een computer? En een smartphone? Hebt u antivirus software geïnstalleerd? Wordt uw software regelmatig geüpdatet?

Wat veel ondernemers nog niet lijken te beseffen is dat we in deze digitale tijd allemaal online ondernemers zijn geworden. Zelfs als we geen website hebben.

Onze mailbox zit vol digitale data. Vol persoonsgegevens die we gevraagd en ongevraagd toegezonden krijgen.

We delen offertes, plannen en presenties per mail. We slaan die bestanden automatisch via ons mailprogramma op meerdere plekken op. Die mailprogramma’s downloaden immers vaak voortdurend mail van onze mailserver tegelijk op onze computer, tablet en smartphone.

Ongemerkt hebben we de persoonsgegevens van tientallen mensen al opgeslagen op minimaal zes tot zeven plekken. Computer, smartphone, tablet en mailserver bij onszelf en minimaal ook op de mailserver, computer en smartphone van de persoon waarmee we via mail communiceren.

En dan hebben we het nog maar over een mailbericht…

Wat veel ondernemers ook niet beseffen is dat de privacywet niet alleen over digitale dataverwerking gaat. Ook de administratie in ordners in een archiefkast valt er onder.

En als ondernemer wordt je ook geacht te weten wat andere partijen doen met data die je met hen deelt.

Hoe zit het eigenlijk met die handige software waarmee u werkt? Worden er backups gemaakt? Werkt u in de cloud?

Vorige week gaf ik een awareness training aan bijna zestig ondernemers.

Wie werkt er in de cloud?, vroeg ik.

Geen enkele vinger ging omhoog…

Wie maakt er gebruik van Gmail? Een kwart van de vingers ging omhoog.

Veel ondernemers weten niet wat ‘the cloud’ is. Dat veel applicaties die ze gebruiken via het internet gegevens opslaan op een server die elders in de wereld staat.

Veel ondernemers beseffen zich ook niet dat hun smartphone eigenlijk voortdurend in ‘the cloud’ werkt.

Ze weten niet wat al die handige ‘gratis’ apps op de achtergrond met hun gegevens en hun gedrag doen.

Kortom: ondernemers die hopen dat ze zich kunnen onttrekken aan de invloed van de nieuwe Europese privacywet vergissen zich. Ze zullen toch echt met de GDPR aan de slag moeten.

Als ze dat nog niet hebben gedaan, zijn de drie onderstaande stappen noodzakelijk. Ze zullen meer tijd in beslag nemen dan veel mensen denken. Er gaat een datawereld voor hen open.

Als je er eenmaal mee bent begonnen besef je hoeveel data we eigenlijk dagelijks verwerken. Wij allemaal.

Reinig de database

  • Over welke persoonlijke gegevens beschikt u al?
  • Waar kwam het vandaan en met wie heb je het gedeeld?
  • Waar zijn uw kwetsbaarheden en waar kunt u aansprakelijk voor worden gesteld?
  • Waar bevinden zich de persoonsgegevens die u gebruikt zich? Waar zijn ze opgeslagen?
  • Welke classificatie hebben deze gegevens? (Classificatie? Nog nooit van gehoord, denken veel ondernemers nu. Ze hebben geen idee waar het over gaat.)
  • Zorg ervoor dat u over procedures beschikt om gegevensinbreuken op te sporen, te melden en te onderzoeken.

Begin  zo snel mogelijk met uw stappenplan, want zelfs één klachtrapport van een contactpersoon waar u eigenlijk nooit serieus zaken mee heeft gedaan kan de legitimiteit van uw marketingprogramma in twijfel trekken en voor grote problemen zorgen.

Wat doen uw externe leveranciers?

Het is belangrijk om te begrijpen waar precies de persoonlijke gegevens die u hebt verzameld over uw klanten worden gedeeld en overgedragen. Als deze gegevens worden gedeeld naar plaatsen zoals uw CRM-systeem, e-mailserviceprovider of klantondersteuningssysteem, moet u ervoor zorgen dat deze externe providers zelf GDPR-geschikt zijn.

Dit is vaak de zwakste schakel in het traject om privacyproof te worden.

Hier zijn 12 belangrijke vragen aan al uw externe leveranciers met betrekking tot hun niveau van naleving te stellen.

Het is sterk aan te raden om als een van de eerste stappen in uw organisatie een gegevensregister op te zetten. Dit is de basis van uw GDPR compliance project. Als je er eenmaal mee begonnen bent ontdek je voortdurend nieuwe waarover afspraken gemaakt moeten worden. Onderschat niet hoe lang deze stap zal duren, aangezien het waarschijnlijk een afdelingsoverstijgende inspanning zal zijn.

Herziening van marketingstrategie

Vergeet die uitgebreide adressenbestanden die u via internet kon kopen. Die adressen mag u niet gebruiken. Ten strengste verboden, want de personen die opgenomen zijn in deze bestanden hebben er zeer waarschijnlijk geen weet van dat hun persoonsgegevens verkocht zijn. Zij hebben geen toestemming gegeven voor het gebruik wat u voor ogen zou kunnen hebben. En dan bent u dus in overtreding.

De GDPR bepaalt dat u moet weten wanneer de toestemming werd verkregen (bijvoorbeeld gegevens en tijdstempel), en voor welk specifiek doel de toestemming werd gegeven.

Hebt u zo’n uitgebreide maillijst vol contactgegevens van mensen die u ooit een keer gesproken hebt, maar waar u nooit nadrukkelijk toestemming hebt gekregen om ze via e-mail reclame te sturen? Dan weet u nu dat u deze adressen niet meer kunt gebruiken. Eigenlijk kunt u uw adressenbestand in uw telefoon en uw mailprogramma beter meteen opschonen.

Nog een paar stappen

De volgende stappen zijn even essentieel in het streven naar GDPR-bereidheid. Deze hebben betrekking op de interne procedures binnen een bedrijf, de regels die iedereen die werkt met klantgegevens, vanaf nu moet kennen en toepassen. Elke dag. Elke minuut.

De GDPR gaat veel verder dan een paar verklaringen in de footer van een website. Het gaat om gedragsverandering. Bewustwording. Negentig procent van de datalekken ontstaat door menselijke fouten. Medewerkers die te lichtzinnig op een phishinglink in een mail klikken bijvoorbeeld. Of die vertrouwelijke mail toch maar even delen met een bekende.

Bewustzijn opbouwen

Zorg ervoor dat het senior management zich bewust is van GDPR en de waarschijnlijke impact op uw organisatie. Vergeet niet om tijdens dit proces uw medewerkers en personeel te informeren en voor te lichten. En zorg er voor dat u de medewerkers ook scherp houdt.

Voorkom dat na verloop van korte tijd alles weer zoals vanouds wordt gedaan. “Omdat dat gemakkelijker is. Omdat we het altijd zo gedaan hebben. Omdat we toch niet gecontroleerd worden.” Het management is hoofdelijk aansprakelijk voor overtredingen. Niet het personeel.

De mentaliteit veranderen

Volgens recent onderzoek vraagt slechts 47% van de ondervraagde ondernemers hun klanten altijd om hun toestemming voordat ze contact met hen opnemen. Erger nog, slechts 50% van de respondenten maakt het klanten gemakkelijk om hun toestemming in te trekken.

Vanaf 25 mei heeft de klant recht op:

  • Vergeten worden, geïnformeerd worden, persoonsgegevens laten wissen, een kopie van hun persoonsgegevens hebben (binnen een maand, gratis)
  • Recht op gegevensportabiliteit – gegevens die elektronisch in een algemeen gebruikelijk leesbaar formaat aan hen worden gezonden
  • Recht om geautomatiseerde beslissingen en profilering te beperken
  • Recht van bezwaar

U mag gewoon blijven communiceren

Onthoud dat de GDPR niet ontworpen is om bedrijven te laten stoppen met communiceren met hun klanten. De GDPR is bedoeld om misbruik van persoonsgegevens tegen te gaan.

De GDPR zal leiden tot een verbetering van de datakwaliteit, en dat is de reden waarom de beste en meest vindingrijke marketeers het grotere geheel zien. De GDPR is een kans is om meer vertrouwen en respect te krijgen van klanten die het waarderen dat hun persoonlijke gegevens serieus worden genomen en dat hun rechten volledig worden gerespecteerd.

Amerikaanse e-mail management tool Unroll.Me trekt zich vanwege GDPR terug uit Europa

De Amerikaanse e-mail management tool Unroll-Me is met ingang van 23 mei 2018 niet meer beschikbaar voor Europese gebruikers. Unroll-Me zegt niet aan de privacywet GDPR te kunnen voldoen.

Unroll-Me monitort e-mailboxen van gebruikers en helpt bij het eenvoudig afmelden van nieuwsbrieven.

De dienstverlening van Unroll-Me werd door criticasters altijd al als controversieel gezien.

In de kleine lettertjes van het privacybeleid van Unroll.me staat dat het bedrijf de persoonlijke informatie van gebruikers naar eigen goeddunken kan delen – niet alleen met de moedermaatschappij (en directe filialen), maar met alle andere ‘partners’ die het kiest….

De motivatie van Unroll-me om zich terug te trekken uit Europa vanwege de GDPR duidt er op dat het bedrijf de data uit mailboxen van gebruikers inderdaad heeft verkocht aan derden. Dat mag van de GDPR absoluut niet.

Verklaring Unroll-me

“De EU voert nieuwe regels inzake gegevensbescherming in, bekend als de algemene verordening inzake gegevensbescherming (GDPR). Helaas is onze dienst bedoeld voor gebruikers in de VS. Omdat deze niet is ontworpen om te voldoen aan alle GDPR-vereisten, zal Unroll.Me niet beschikbaar zijn voor inwoners van de EU. Dit betekent dat we geen gebruikers mogen bedienen waarvan we denken dat ze ingezetenen van de EU zijn, en dat we alle gebruikersaccounts in de EU tegen 24 mei moeten verwijderen. We betreuren het ten zeerste dat we u onze service niet kunnen bieden.”