This blog post has been written in Dutch for the Dutch marketing community Frankwatching.

Waarom de GDPR dé reden is om een DMP te gaan gebruiken

Het is inmiddels geen nieuws meer: sinds mei 2016 is hij al van kracht, maar vanaf mei 2018 zijn organisaties aanspreekbaar op naleving: dé GDPR. Er wordt al veel over geblogd, met name om het 156 pagina’s tellende document samen te vatten in heldere taal. Veel van de principes van de GDPR hebben te maken met de juiste documentatie en rechtmatig handelen. Voor één van de principes is er echter ook ondersteuning nodig vanuit de techniek. Je moet de consument inzicht kunnen geven in de gegevens die jij van hem hebt en hem daarnaast ook de mogelijkheid geven om deze gegevens aan te passen, te verwijderen of te verplaatsen. Dit is voor veel organisaties lastig, omdat persoonsgegevens verspreid zijn over meerdere tools. Een eenvoudige oplossing hiervoor is volgens mij het gebruik van een data management platform (DMP).

In het kort: de GDPR
Nog zes maanden en dan gaat de General Data Protection Regulation (GDPR) van start, die we in Nederland de Algemene Verordening Gegevensbescherming (AVG) noemen. De nieuwe regelgeving is in het leven geroepen omdat de vorige wetgeving niet meer paste bij het huidige digitale tijdperk. Tot 25 mei 2018 hebben organisaties de tijd om zich voor te bereiden op deze wetgeving. De GDPR is kortweg uit te leggen met behulp van 8 principes:
1. Legitimiteit & Transparantie: de persoon van wie de gegevens verwerkt worden, is hiervan op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten.
2. Doelbeperking: persoonsgegevens mogen uitsluitend voor gewettigde doeleinden verzameld en gebruikt worden.
3. Gegevensbeperking: enkel de gegevens die nodig zijn om het beoogde doel te bereiken, mogen worden verzameld. 
4. Accuraatheid: persoonsgegevens moeten correct zijn en blijven.
5. Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel. 
6. Inzage-, correctie- en verwijderrecht en dataportabiliteit: persoonsgegevens moeten inzichtbaar, aanpasbaar, verwijderbaar en te verplaatsen zijn.
7. Beveiliging: persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging.
8. Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen. In sommige gevallen moet een Data Protection Officer (DPO) worden aangesteld.

Fig 1. Overzicht principes General Data Protection Regulation (GDPR)

Waarom veel organisaties moeite hebben om aan de GDPR te voldoen
Ik zit dagelijks bij organisaties die het lastig vinden hoe om te gaan met de GDPR. De meeste principes van de GDPR zijn eenvoudig te organiseren. Met name een consument zijn gegevens automatisch laten inzien, aanpassen, verwijderen of verplaatsen is ingewikkeld. Dit komt omdat persoonsdata vaak verspreid is over een bedrijf: van CRM-tool tot e-mailmarketing tool en van E-commerce platform tot aan een ERP-systeem, overal is persoonsdata in verwerkt. Doordat de verschillende tools vaak slecht met elkaar communiceren is het lastig om de consument te laten zien wat je nou eigenlijk van die persoon weet. Laat staan dat je het eenvoudig kan verwerken op het moment dat de consument zijn gegevens wil aanpassen, verwijderen of verplaatsen. Vaak moet er in elke tool waar persoonsgegevens in zijn verwerkt een handmatige actie worden uitgevoerd.

Fig 2. Iedere aanpassing moet handmatig gebeuren in iedere tool waar persoonsgegevens inzitten.

De oplossing voor de GDPR: een data management platform
Een Data Management Platform (DMP) heeft toegang tot alle bronsystemen waarin persoonsgegevens zitten. Sterker nog, een DMP communiceert continu met al deze systemen. Op het moment dat een consument zijn gegevens wil opvragen, wijzigen, verwijderen of verplaatsen is dat voor een DMP een fluitje van een cent. Er hoeft maar één signaal naar de DMP gestuurd te worden en vervolgens kan het platform eenvoudig alles ophalen uit of doorvoeren in alle bronsystemen. Doordat dit proces volledig geautomatiseerd verloopt, is de tussenkomst van medewerkers niet meer nodig.

Fig 3. Een DMP heeft inzicht in alle informatie en kan automatisch mutaties verwerken in alle systemen.

GDPR: niet de enige reden om een DMP in te zetten
Uiteraard is de GDPR niet de enige reden om een Data Management Platform in te zetten. Een DMP stelt je in staat om je klant door de hele customer journey heen te volgen. Daarnaast kun je met behulp van een DMP van iedere klant één uniek 360-graden klantprofiel creëren. Op basis van deze profielen kun je nog gerichter met je klant communiceren. In de ultieme situatie maak je iedere ervaring die een klant met je bedrijf heeft persoonlijk: zowel op de website, als in e-mail, in advertising en eventueel zelfs offline. Op die manier ben je voor iedereen op ieder moment relevant. Daarnaast kun je je bestaande klantenbestand door middel van. het targeten van lookalikes uitbreiden met nieuwe klanten. Een DMP stelt je in staat stelt om je advertising nog gerichter uit te serveren. Dit maakt het efficiënter en dus goedkoper.

Andere oplossingen?
Een Data Management Platform is niet de enige of voor iedere organisatie de beste oplossing, maar ik denk wel dat veel bedrijven een DMP kunnen gebruiken om eenvoudig aan de nieuwe wetgeving te kunnen voldoen. Er zijn ongetwijfeld ook andere oplossingen en ik ben benieuwd hoe jij het aanpakt. Hoe zorg jij ervoor dat je in mei 2018 aan de GDPR voldoet?