GDPR-day: Last minute GDPR checklist voor marketeers

De klok is gestopt met tikken. Je favoriete vierletterwoord is eindelijk hier: hello GDPR! Wat zijn wij blij om jou te zien. The game is on!

Als alles goed zit, ben jij ondertussen voorbereid op het ergste. Wij gaven je eerder al wat basisinformatie om mee van start te gaan. Zijn jouw data en die van je klanten ondertussen in kaart gebracht en helemaal veilig? Proficiat!

Eerder last van knikkende knieën, zwetende handen en trillende oogleden? Dan check je best nog even of je wel écht op ‘t juiste pad zit, met onze last minute GDPR Checklist. Hoe sneller, hoe beter. En het liefst van al check jij vandaag alle vinkjes nog af. Succes!

Stap 1: Een up-to-date Privacy Policy op je website

De nieuwe wetgeving bevat strikte regels rond je privacy policy. Het is niet voldoende om een korte disclaimer te plaatsen en een belofte te maken dat je ‘bewust omgaat met de gegevens van je bezoekers’. Nee hoor, de regels stellen duidelijk hoe je privacy policy geschreven moet zijn.

  • De gebruikte taal moet transparant, verstaanbaar en toegankelijk zijn, met duidelijke woorden in de taal van de gebruiker.
  • De inhoud wordt best gecontroleerd door een advocaat of andere bevoegde persoon
  • Je moet duidelijk aangeven welke data je verzamelt, en op welke manier je die data gebruikt.
  • De identiteit en contactgegevens van de beheerder (en eventueel de DPO -Data Protection Officer) van die data staat expliciet vermeld.
  • Als je de data met derden deelt, moet je die organisaties ook identificeren, én duidelijk maken hoe die data op een beschermde manier wordt overgedragen.
  • Je geeft aan hoe lang je data opslaat, en op basis van welke criteria die periodes worden bepaald.
  • Ook de rechten van de gebruiker betreffende de toegang, de wijziging en het verwijderen van bepaalde data zijn duidelijk aangegeven.
  • Bovendien deel je ook het recht mee dat de gebruiker heeft om klacht in te dienen tegen het bewaren van zijn/haar data.
GDPR checklist voor marketeers privacy policy

Stap 2: Audit huidige database voor opt-in consent

Heb je in ‘t verleden al heel wat data verzameld? Controleer je huidige database, en check of alle personen hierin eerder al expliciete toestemming hebben gegeven, waarvoor ze dat precies hebben gedaan, én wanneer dat is gebeurd. Segmenteer die data voor toekomstig gebruik.

Heb je geen expliciete toestemming? Dan moet je dat vragen. Ook wanneer je slechts gedeeltelijke toestemming hebt, of in de volgende gevallen:

  • Als je contact informatie via derden hebt verkregen.
  • Als er geen specifieke toestemming (opt-in) is gegeven.
  • Als er wel toestemming is gegeven, maar deze niet gespecificeerd is naargelang de doelstelling voor het gebruik van de bewaarde data.
  • Als dit wel het geval is, maar als het al een hele tijd geleden is dat je nog contact hebt gehad met de persoon in kwestie.
GDPR checklist voor marketeers: e-mail opt-in

Stap 3: Re-opt in campagnes voor huidige databases

Alle personen in je database die nog niet de gevraagde toestemming hebben gegeven, moeten dit wel doen als je hun gegevens in de toekomst nog wilt gebruiken. Dat is niet makkelijk, omdat privacy en persoonlijke gegevens voor de meesten onder ons erg belangrijk zijn. Daarom is het belangrijk dat je altijd de nadruk legt op het voordeel voor de gebruiker, én de veiligheid die eraan verbonden is. Hieronder enkele key takeaways:

  • Pas je boodschap aan de doelgroep aan.
  • Zet activerende landingspagina’s en formulieren op.
  • Volg e-mailcampagnes op met een telefoongesprek van het sales team. Verbale toestemming in een opgenomen gesprek is ook geldig.

 

Stap 4: een proces voor opt-in consent

Naast de gegevens van je huidige contacten moeten ook data van je nieuwe contacten op de juiste manier worden geregistreerd. Daarom stel je een proces op waarmee nieuwe contacten meteen GDPR-proof zijn. Zo moeten ze meteen hun voorkeuren opgeven en aangeven waarvoor hun data gebruikt mag worden, zodat jij ze onmiddellijk op de juiste plek in de database kunt bewaren. Dat gebeurt bovendien met een actieve opt-in, door een van de volgende opties:

  • Een niet-aangevinkte checkbox,
  • Een klik op een button of link,
  • Een ja/nee optie in een dropdown,
  • Een link naar de instellingen of voorkeuren,
  • Een antwoord op e-mail met een bevestiging,
  • Een antwoord in een opgenomen telefoongesprek of gewoon gesprek,
  • Een getekend statement in papieren vorm.

Elk formulier heeft vanaf nu dan ook een aparte consent nodig voor elke manier waarop je de gevraagde data wilt gebruiken. Verzamel je bijvoorbeeld gegevens voor marktonderzoek, sales-doeleinden, promoties of e-mail updates met interessante informatie? Dat moet je meegeven in je formulier.

Bovendien moet je altijd een directe link meegeven naar de privacy policy op je website, én moet de mogelijkheid bestaan om zich onmiddellijk uit te schrijven.

GDPR

Stap 5: sales team on board

Doet jouw bedrijf aan lead generation campagnes met sales als belangrijkste doelstelling? Ook dat is vanaf nu helemaal anders. Tenzij je contactpersoon expliciet toestemming heeft gegeven om hem of haar te contacteren voor sales doeleinden, mag je hiervoor geen persoonlijke gegevens gebruiken. Dat heeft natuurlijk ook gevolgen voor de prestaties van je sales team. Ahja, want er zijn een heleboel minder leads die ze mogen contacteren. Maak daarom duidelijke afspraken. Hieronder enkele voorbeelden:

  • Bereid het sales team voor op een verlaagd aantal leads
  • Informeer hen over de gevolgen van non-compliance
  • Laat hen weten welke leads ze wel en niet mogen gebruiken
  • Leer hen het opt-in proces kennen, en geef hen toegang tot alle informatie die zij nodig hebben om verder te kunnen
  • Informeer hen over hoe ze zelf ook een opt-in kunnen verkrijgen tijdens ‘t netwerken
  • Bepaal samen het marketing-to-sales proces.

Stap 6: review derde partijen die toegang hebben tot database

Controleer welke derden toegang hebben tot je data, hoe ze het gebruiken, waarom ze bepaalde gegevens gebruiken, en hoelang ze die data bijhouden.

  • Review alle mogelijke partners, en stel jezelf de volgende vragen: Hebben zij écht die data nodig? Waarvoor hebben ze het nodig? Is dat niet het geval? Dan verwijder je de toegang.
  • Contacteer externe partners die wel toegang nodig hebben tot je data, om te bevestigen dat alle processen veilig én compliant zijn.
  • Check alle software en tools die je gebruikt, zodat je op de hoogte bent van waar welke data wordt bijgehouden, voor hoelang en waarom. Die informatie neem je ook op in de privacy policy.
GDPR checklist voor marketeers sales

Stap 7: gestroomlijnd proces voor informatie aanvraag

Gebruikers hebben volgens de GDPR het recht om op eender welk moment toegang te krijgen tot de data die over hen wordt bijgehouden. De regels bepalen dat je als onderneming in staat moet zijn om binnen de maand een volledig en correct antwoord te bieden. Dat houdt in:

  • Welke data je bewaart over die persoon,
  • Waar die data worden bewaard,
  • Voor welke doeleinden die data worden bewaard,
  • Hoe lang je die data bewaart.

Zet een gestroomlijnd proces op, waarmee je het opvragen en aanleveren van die gegevens vergemakkelijkt, of zelfs automatiseert. Met een CRM of marketing automation software en de hulp van IT loopt dat heel wat makkelijker!

  • Zet een landingspagina op, met een aanvraagformulier voor persoonlijke data.
  • Stel een teamlid verantwoordelijk om die aanvragen te checken en te beantwoorden.
  • Zet een standaard antwoord e-mail op, met de mogelijkheid voor je gebruiker om zich uit te schrijven, voorkeuren te wijzigen, data aan te passen of te verwijderen.

Stap 8: bereid je voor op security breach

Technisch gezien moet je je database op zo’n manier beschermen dat het veilig is voor inbraken en lekken. Alle gaten zijn gedicht, zodat je data veilig is van buitenaf, en de privacy van je gebruikers ten alle tijden gerespecteerd kan worden. Daarnaast ben je best ook voorbereid op het ergste. Bereid je dus voor met crisiscommunicatie, en een stappenplan voor wanneer ‘t toch fout loopt.

  • Stel een document op met contactgegevens van een aantal belangrijke contactpersonen, noodnummers, verantwoordelijken en woordvoerders.
  • Schrijf een media statement, een standaard blogbericht en een paar social media updates, die je onmiddellijk kunt inzetten als het nodig is.
  • Voorzie een Q&A document met een aantal vragen en antwoorden die klanten en gebruikers zullen stellen bij een datalek.
  • Creëer een document met alle acties die je moet ondernemen wanneer er een beveiligingsprobleem is. Één van de agendapunten? Het datalek melden bij de officiële instantie.
GDPR checklist voor marketeers data

Ting ting ting: Bonus tips

  • Stel een intern GDPR team op, en werk samen om mogelijke problemen te detecteren én op te lossen.
  • Besef dat deze maatregelen resulteren in heel wat minder data, maar ook voor een enorme decluttering: enkel de meest waardevolle data blijft in je bezit, en dat komt je alleen maar ten goede.
  • Denk verder na over de waarde van data, ontdek welke informatie je écht nodig hebt, en waarom dat zo is.
  • Laat je hersenen werken, en bedenk nieuwe manieren om op een creatieve én GDPR-proof manier met data om te gaan.