Open in app

Sign in

Write

Sign in

GDPR is eigenlijk een GVR

Bernard De Ruyver
Grow With the Flow
Published in
7 min readApr 27, 2018

Als een echte Europese wetstraatjournalist heeft onze eigen Bernard zich volledig verdiept in de alomtegenwoordige GDPR of privacywetgeving en deed met glans z’n huiswerk voor Yools. Zijn inzichten deelt hij graag in deze blog. Zijn belangrijkste constatatie: “Het is als KMO minder ingrijpend dan je denkt!”. En zo is de GDPR eigenlijk meer een Grote Vriendelijke Reus!

Om met de deur in huis te vallen: Storm.In.Een.Glas.Water.

Om met de deur in huis te vallen: Storm.In.Een.Glas.Water. Ik heb massaal veel blogartikels en webpagina’s gelezen over het thema, ter voorbereiding. Ik heb me letterlijk twee dagen thuis opgesloten om alle zin en onzin te verwerken. Conclusie: er werd overal getoeterd dat dit een gigantische impact zou hebben, er werd geschermd met onbetaalbare consultancy & workshops, maar niets is minder waar.

GDPR zeg je?

GDPR, 4 letters die je misschien de laatste weken al eens hebt horen vallen. Het zijn de letters van de nieuwe (Europese) wet die regelt wat er zoal mag en niet mag met persoonsgegevens (gaande van een voornaam en geboortedatum, tot een IP adres of zelfs een nummerplaat) en kadert dus onder de noemer van ‘privacy’.

Weeral een nieuwe wet hoor ik je denken? Wel eigenlijk was onze huidige privacywet al van kracht sinds 1995. Jawel, uit de tijd dat internet en computers nog niet waren doorgebroken of er nog geen sprake was van Napster of ‘het ondertussen beruchte’ Facebook. De dag van vandaag gebeurt er enorm veel online en in the cloud, dus begrijpelijk dat er een update moest komen van de wetgeving. Zeker in Europa, waarbij elk land nog eens aparte regels had.

Voor de quiz-fanaten, GDPR staat voor General Data Protection Regulation. Stop de klok! Nu, ik hou het liever op het volgende: Gezond verstand — Duidelijke communicatie — Pragmatische aanpak — Relatief eenvoudig. Zo kan het dus ook.

Het internet gaat wild

GDPR zorgt voor wat paniek

Grappige anekdote die ik je niet wil onthouden: ik werd — ironisch genoeg — getarget op Facebook met een gesponsorde post over “GDPR voor KMO’s”. Ideale en waardevolle leeslectuur denk je dan. Maar het algemene probleem drong zich ook bij dit artikel op: het is niet concreet genoeg. Niemand wil de praktische vertaling maken, in de hoop geen verkeerde info te delen.
Oh wacht, wat ben ik hier dan aan het doen?

Enfin, in diezelfde blog werd ik geteased om ook hun e-book over GDPR te downloaden. Naast m’n naam en mailadres (ter bevestiging dat ik het was en om me het e-book te kunnen sturen) vroegen ze ook mijn beroep, bedrijfsnaam, geboortedatum én telefoonnummer. Wel dat, beste concullega, dat is nu net wat de essentie is van GDPR: stop met random data op te vragen om je statistieken te spijzen of om me daarna op te bellen met een ‘interessant’ businessvoorstel.

GDPR doet je nadenken over welke gegevens je kan en mag opvragen (en stelt ook enkele limieten).

Er zit minder in GDPR dan je denkt

1. Persoonsgegevens

GDPR gaat dus over persoonsgegevens. Dat is bewust breed geïnterpreteerd. Van voornaam tot geboortedatum, van je ID-adres tot zelfs cookies op je website. Uiteraard mag je niet zomaar eender welke gegevens opvragen.

Een voorbeeld: een luchtvaartmaatschappij mag wel jouw geboortedatum opvragen omwille van dounarechten, maar niet om je te spammen met verleidelijke acties op je verjaardag, tenzij je hiervoor expliciet toestemming geeft. Of bol.com mag wel je adres opvragen om je pakketje te kunnen bezorgen, maar niet jouw gezinssituatie om je nadien te targeten met bijvoorbeeld babyproducten.

Er circuleren trouwens wilde verhalen op het internet die vertellen dat de GDPR niet van toepassing zou zijn op kleine bedrijven zoals het jouwe. Dat is dus niet het geval, maar niet alle regeltjes zijn even streng.

2. Welke gegevens mag je zoal opvragen?

In een contactformulier mag je uiteraard wel vragen naar naam, voornaam, mailadres en/of telefoonnummer omdat de klant jou contacteert voor een offerte. Dezelfde redenering geldt bijvoorbeeld voor een sollicitatie.
Onder zo’n invulformulier kan je een vakje toevoegen “ja ik wil graag aanbiedingen of promoties via e-mail ontvangen”. Dit onaangevinkt (!) vakje biedt je klant expliciet de kans jou toestemming te geven om hem te mailen.
Met klanten die jou vorig jaar hebben gemaild voor een offerte mag je trouwens ook gerust het gesprek verderzetten. Maar ook daar zijn natuurlijk limieten aan verbonden. Zo mag je ze niet mailen met een totaal andere aanbieding.

3. Een nieuwe brief als nieuwsbrief

Wil dat dan zeggen dat je geen mails meer mag sturen naar je klanten? Zoals bij alles in het leven, ligt de waarheid in het midden. GDPR maakt immers een onderscheid tussen mails met of zonder commerciëel aspect.

E-mails naar je klanten sturen is niet verboden, uiteraard.
  • Een factuur opsturen heeft weinig met privacy te maken. Je mag dus gerust deze gegevens opvragen, omdat de economische wet je dat verplicht.
  • Een mail versturen naar al je klanten om hen te informeren over je inspanningen rond GDPR heeft weinig commerciële inhoud en is dus perfect in orde.
  • Een e-mail met een speciale prijzenactie naar je hele adresboek versturen mag dan weer niet, daarvoor is een actieve toestemming (“opt-in”) nodig.
  • Een bakker die naar z’n huidige klanten stuurt dat hij vanaf volgende week ook verse patisserie verkoopt, in plaats van enkel brood, mag dan weer wel.
  • Ook mails versturen naar een info@ mailadres zonder naamsvermelding is mogelijk, want hier zijn geen persoonsgegevens mee gemoeid.

Uiteraard is in alle bovenstaande voorbeelden, zoals reeds vroeger het geval was, een “schrijf-mij-uit-knop” verplicht.

Verstuur je toch veel nieuwsbrieven naar je klanten, dan raden we je aan om nog tot 25 mei volop je best te doen om een actieve bevestiging van hen te krijgen dat je ze mag blijven mailen. Zomaar een offerte-aanvrager toevoegen aan je Mailchimpdatabase mag dus niet meer.

Persoonlijk kan ik me heel erg storen aan het “verrassingsinschrijven”. Daarmee bedoel ik het volgende herkenbare verhaal: als aanstaande vader is het leuk om online wat rond te kijken voor spulletjes. Beland je op één of andere website en bestel je daar die leuke speelmat die mooi in het geboorte-thema past, dan overspoelen ze je de dag erna met allerlei mails, want… “Jij bent ingeschreven op onze nieuwsbrief”. Het meest schrijnende voorbeeld is dat ik vorige week van diezelfde website het bericht kreeg: “bedankt om zo massaal aanwezig te zijn op de babyborrel van de kersverse dochter van de zaakvoerster”. Niet bepaald een goed staaltje e-mailmarketing, maar soit. GDPR maakt (thank God) daar komaf mee. Je inschrijven op een nieuwsbrief doe je vanaf 26 mei via een bewuste, duidelijke en bevestigende actie.

Alsof het afgekeken is van de #metoo-campagne moeten je klanten actief “ja” gezegd hebben.

Je inschrijven op een nieuwsbrief doe je vanaf 26 mei via een bewuste, duidelijke en bevestigende actie.

Nadenken over nieuwsbrieven is trouwens één ding. Op een hoger niveau denk je ook beter na over je algemene marketingstrategie. Misschien is zomaar nieuwsbrieven sturen, niet zozeer de beste oplossing voor jouw bedrijf! Lees en leer erover bij, of nog beter: laat je vrijblijvend adviseren door Yools bijvoorbeeld. Ik zeg maar iets. Wij zijn er om te helpen.

4. Dataregister & Data Protection Officer

Zo is er een verplichting om een dataregister op te zetten. Een soort boekhouding waarin je noteert welke gegevens je van wie bijhoudt, om welke reden, hoe lang je deze bewaart en welke maatregelen je genomen hebt als bedrijf om een datalek te voorkomen. Voor bedrijven onder de 250 werknemers is er strikt gezien een uitzondering. De Belgische Privacy Commissie raadt echter zoiets wel aan en heel eerlijk, ik zou het je ook aanraden. Met een portie gezond verstand is dit zeker geen grote oefening. Bovendien denk je bewust even na over de gegevens van je klanten, werknemers en leveranciers. Die denkoefening op zich is al bijzonder waardevol en net de filosofie van de wetgeving. Verder is ook het aanstellen van een Data Protection Officer (hoe cool de titel ook klinkt), enkel besteed aan de zeer grote bedrijven.

5. Administratie & documenten

GDPR is zoals je boekhouding, niet leuk. Niemand wil het doen, maar achteraf ben je wel blij dat je het gedaan hebt. Gouden tip: alles wat je doet of gedaan hebt om je naar de nieuwe wetgeving te schikken, pen je best even neer op papier. Beter save than sorry.

Nog papierwerk: een privacy policy op je website! Transparante communicatie, weet je wel. Zoals we eerder aan onze klanten lieten weten, staan wij van Yools klaar om je daarmee te helpen. Wat niet nodig is, is een verwerkersovereenkomst met je webdesigner, trust me!

Maar waar zijn die cookies dan?

Cookies zijn, op dit moment, nog een moeilijk geval. Zeker omdat Europa en de politiek zich daar van hun sterkste kant laten zien. GDPR zet al een aantal cookies op te helling, maar een volledig nieuwe e-privacy richtlijn specifiek over cookies zit er aan te komen eind dit jaar, waarbij er ‘t één en ‘t ander globaler en grondiger geregeld zal worden. More on that soon!

Een nieuwe e-privacy wetgeving komt eraan!

All’s well that ends well

GDPR kan dus zeker een positieve beïnvloeder voor je zijn. Je toont aan dat je het vertrouwen van je klanten niet zal schaden. Bovendien verhoogt het ook de transparantie in de bedrijfswereld, iets waar wij bij Yools alleen maar blij van worden.

Toch nog vragen? Hoewel we geen juridisch advies geven, mag je mij altijd contacteren met specifieke vragen omtrent je website binnen deze context. Of laat je adviseren door een GDPR-expert!

Gdpr

--

--

Bernard De Ruyver
Grow With the Flow

Written by Bernard De Ruyver

14 Followers
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams