Onlangs rondde ik, Pieter van Megen, een dossier af over mobiele marketing voor onze klant Rendement. Over de mogelijkheden van mobiele apparaten voor marketingdoeleinden. En dat die mogelijk groot zijn. Klanten hebben hun mobiele telefoon vaak, zo niet altijd, bij zich. Bovendien delen ze vaak hun locatie. Door de wifi- en gps-sensor weet een bedrijf waar zijn klant zich bevindt. Albert Heijn kan je, precies op het moment dat je langs de supermarkt loopt, een advertentie van je favoriete Chardonnay laten zien – als het dat zou willen, de techniek is er.
Van Nederlanders is bekend dat ze hun schouders ophalen als het woord privacy voorbijkomt: ik heb toch niets te verbergen? Nederlanders gaan niet heel bewust met hun persoonsgegevens om. Terwijl ‘we’ als geen ander weten dat voor niets de zon opgaat. Als een dienst, zoals Facebook, gratis is, ben jij het product. Of dat een faire deal, is een vraag die iedereen voor zichzelf moet beantwoorden. Weegt een iets goedkopere fles Chardonnay op tegen het rondstrooien en mogelijk lekken van je persoonsgegevens?
Nog niet voorbereid
De Europese Commissie (EC) vindt in ieder geval dat privacy aan een herwaardering toe is. Twee jaar geleden al trad de Algemene verordening gegevensbescherming (AVG) in werking. Nu de deadline nadert krijgt het onderwerp meer aandacht. Na 25 mei kan de EC forse boetes opleggen aan iedereen die zich er niet aan houdt. Onlangs kwam naar buiten dat zo’n driekwart van het MKB nog niet voorbereid is op de AVG. Niet zo vreemd: feitelijk weet niemand nog precies wat de gevolgen van de AVG zijn. Het verwerken van persoonsgegevens is een begrip dat zeer breed te interpreteren is. Er zal de komende tijd ongetwijfeld veel jurisprudentie op dit gebied ontstaan.
Niet meer zomaar over gegevens beschikken
Toch is de essentie van de AVG wel duidelijk: mensen moeten weer controle krijgen over hun persoonsgegevens, als privépersoon, maar ook als ondernemer of als professional. Organisaties – verenigingen, instellingen, maar ook bedrijven – mogen niet meer zomaar over iemands gegevens beschikken. Zorginstellingen, accountants, financieel adviseurs, voetbalclubs, overheden – allemaal hebben ze voortaan van iedereen expliciete toestemming nodig voor heel veel zaken die ze altijd al deden, zoals het versturen van een maandelijkse nieuwsbrief.
Database meer dan 5.000 personen
Hoe meer gegevens een organisatie verwerkt, hoe groter de impact. Als een bedrijf de data van meer dan 5.000 personen verwerkt, moet het zelfs een Data Protection Officer (DPO) aanstellen. Alle gegevens moeten goed beveiligd worden opgeslagen; dat geldt ook voor geanonimiseerde gegevens. Documentatie van de ondernomen acties is nodig voor controles. Ook moet het bedrijf verwerkingsovereenkomsten sluiten met samenwerkingspartners. Bij VOC Uitgevers, zusterbedrijf van R&Z en beheerder van een database met circa 15.000 klanten en relaties in het domein Stad & Regio, hebben we die stappen inmiddels gezet.
Bijna klaar voor
Voor bedrijven die data van minder dan 5.000 personen verwerken, zoals R&Z zelf, is de AVG-uitdaging minder groot. Maar ook voor ons verandert de manier waarop we met persoonsgegevens omgaan. Persoonsgegevens zoals: gegevens van klanten en prospects in het CRM, mailadressen van ontvangers van de periodieke e-mailnieuwsbrief, contacten in Outlook en Excelbestanden waarin, als onderdeel van communicatieprojecten, allerlei persoonsgegevens staan opgeslagen. We gaan hiervoor werken met een privacyverklaring en laten ons – gouden tip! – verder graag leiden door deze handige checklist. Kortom, wij zijn er (bijna) klaar voor. Jouw organisatie ook?