ZIjn jouw tools (cms, CRM, mailtool ...) wel GDPR-proof?

Johan Vandecasteele
Johan Vandecasteele
25 november 2017

Inbound marketing GDPR

DELEN

Dat de GDPR een impact zal hebben op de manier waarop we online marketen in 2018 is duidelijk. Maar dat de keuze van jouw marketingtools (CMS, e-mail …) ook GDPR-bepalend is, daar heb je misschien niet, of nog niet goed, over nagedacht.

Trek nu even 10 minuten uit om dit artikel te lezen. Het is belangrijk - geloof ons.

gdpr-vs-marketing-tools.jpg

Voor we in tools duiken, een kleine refresh van wat de nieuwe wetgeving van ons verlangt:

Wat vraagt de GDPR ons?

Enkele van de grote zaken die jij vanaf 28 mei 2018 wettelijk moet doen:

#1 Notice en toestemming

Bij het verzamelen van data (lees: een formulier op je landingspagina) moet je volgende zaken meegeven (informeren):

  • Welke data jij verwerkt, en waarom
  • Hoelang je die data gaat bewaren

Bovendien moet de toestemming van jouw contact:

  • Expliciet en vrij zijn (opt-out is vanaf een absolute no-go)
  • Granulair (voor elk gebruik moet je een aparte toestemming vragen)

#2 Datacollectie, -verwerking en -opslag

De contacten in je database hebben het recht om jouw bedrijf de volgende vragen te stellen:

  • Right to access: “Geef mij een overzicht van de data die jullie van mij hebben”
  • Right to rectification: “Mail mij op een ander adres”
  • Right to be forgotten: “Delete mij uit jullie database”
  • Right to restriction of processing: “Gebruik mijn data voor X, maar niet voor Y”
  • Data portability: “Geef mij mijn data, want ik wil veranderen van leverancier”

#3 Breach notification

Als je er een datalek is, moet je dit binnen de 72 uur melden aan de Privacy-commissie. Die termijn begint te lopen nadat jij hiervan op de hoogte bent. Opgelet: voor die 72 uur maakt de GDPR geen onderscheid tussen week- en weekenddagen. Als je een lekt ontdekt op vrijdagavond om 23:00, moet je dit dus uiterlijk maandagavond om 23:00 melden.

Melding aan de gebruikers moet bovendien volgens de GDPR 'onverwijld' gebeuren wanneer de inbreuk een ‘heel hoog risico inhoudt voor de rechten en vrijheden’ van de betrokkenen". Maar wanneer dit een onevenredige inspanning zou vragen langs jullie kant hoeft het zelf dan niet. In de praktijk zal het waarschijnlijk zo zijn dat de Privacycommissie zal zeggen wanneer een melding aan de gebruikers noodzakelijk is. 

Wat betekent dit voor jouw online marketing toolset?

Gaan we uit van een reguliere (online) marketingtoolset, dan heb jij ongetwijfeld volgende tools in je broekzak zitten:

  • CMS (bijvoorbeeld WordPress, Drupal, HubSpot …)
  • E-mailtool (bijvoorbeeld MailChimp, HubSpot …)
  • CRM (bijvoorbeeld ZoHo, HubSpot CRM, Teamleader …)
  • Analytics (bijvoorbeeld Google Analytics, Hotjar …)
  • ...

Wat kan er fout lopen met dergelijke toolset en de GDPR? Om eerlijk te zijn: veel.

Enkele voorbeelden maken dat al snel duidelijk.

Je CMS en de GDPR

Heb jij een website in WordPress of Drupal, dan gebruik je ongetwijfeld een aantal plugins. Plugins die bijvoorbeeld een contactformulier op je site mogelijk maken.

gdpr-wordpress-en-plugins-2.jpg

Vraag daarbij: waar slaat die plugin de data van zo’n formulier op? Doet die dat op een eigen server, of stuurt die de data door naar je mailbox? Wat als jouw WordPress of die plugin gehackt wordt: ben jij daarvan op de hoogte en kan jij al je contacten dan nog bereiken?

Je CRM en de GDPR

Je CRM is hoogstwaarschijnlijk je centrale database, waar alle informatie wordt opgeslagen. Daar komen onmiddellijk de volgende vragen boven: kan je makkelijk informatie aan een contact bezorgen, die wijzigen of deleten, exporteren, enzovoort?

gdpr-en-crm.png

Je mailtool en de GDPR

Kan je e-mailtool gegevens verzamelen zoals de GDPR dat voorschrijft? Met een expliciete opt-in (of zelfs een dubbele opt-in)? Heb je een webpagina waar jouw contacten gegevens kunnen bekijken en/of aanpassen?

gdpr-mail-double-opt-in.jpg

De vraag: hoe herken je goede, GDPR-compliant tools?

Weet dat de tools waarmee jij werkt vanuit GDPR-perspectief jouw verantwoordelijkheid zijn.

 Of het nu over plugins gaat, betaalsystemen (e-commerce) of een ticketingsysteem: het wordt opletten geblazen. Niet alleen jij moet met je bedrijf GDPR-compliant zijn, dat geldt ook voor je leverancier.

Dat nog niet alle tools (en bedrijven) op dit moment klaar zijn met hun GDPR-verhaal vinden wij niet onlogisch. Er is op dit moment immers nog behoorlijk wat onduidelijkheid. 

Maar kijk alvast na of je huidige leveranciers met de GDPR bezig zijn, en of ze hun tools (gaan) aanpassen naar ‘privacy by design’, waarbij de tools vanuit een praktisch gebruik per definitie de regels naleven.

Enkele goede voorbeelden van leveranciers die met GDPR bezig zijn:

hubspot-gdpr.jpg

hotjar-en-gdpr.png

0ns advies/vermoeden/hoop is dat jij het beste af bent met een beperkte set van bekende, betrouwbare partners. 

Er volgt ongetwijfeld een shake-out, waarbij kleinere, US-focused of onbetrouwbare partijen uit de markt zullen worden geduwd door de GDPR. 

Niet alleen voor je CRM of CMS, maar ook voor het bewaren van je gegevens. Je data bewaren op Dropbox, bijvoorbeeld, kan een heel bewuste keuze zijn omdat jij naar de GDPR-instanties kan argumenteren dat zij voldoende veiligheidsmaatregelen hebben om jouw data veilig te bewaren. Beter dan alles op een Excel op een lokale harde schijf bewaren.

mailchimp-gdpr.jpg

Mailchimp: aap met blote billen

Hoe het niet moet, zagen we onlangs bij MailChimp. Een blunder van jewelste. Ze stuurden op 24 oktober 2017 een boodschap uit waarbij de standaard voor opt-in vanaf dat moment single (in plaats van double) opt-in zou zijn. Voor iedereen.

Om daar, na hevig protest van hun Europese gebruikers, een week later te moeten op terugkomen. Vertrouwen geven doen dit soort acties niet, want ze getuigen van weinig inzicht in de Europese GDPR-wetgeving én hun Europese klantenbasis. "We apologize for any confusion this caused", klonk het vanuit de kantoren in Atlanta (US). Yep!

mailchimp-en-gdpr.png

GDPR, Privacy by design en HubSpot

Ook onze favoriete tool HubSpot is zwaar bezig met GDPR. Als Diamond HubSpot-partner krijgen we inzicht in de inspanningen die momenteel achter de schermen worden gedaan. 

Los van de wettelijke aspecten heeft HubSpot recent een nieuw datacenter aangekondigd in Frankfurt, hét financiële centrum van Duitsland. En verder is het hard bezig met belangrijke productwijzigingen zodat de compliance met de GDPR in de tool zelf wordt ingebakken. Privacy by design, dus.

Voorbeelden van die aanpassingen krijgen wij eerst in betaversie uitgerold in onze portaal - we houden onze klanten hiervan op de hoogte.

Conclusie

De keuze van je marketing- en salestools zullen een belangrijke rol spelen bij de GDPR-uitrol voor jouw bedrijf.  0ns advies is dat jij best het lijstje marketing- en/of salestools beperkt houdt, maar vooral de keuze maakt voor bekende, betrouwbare partners. Leveranciers die momenteel een duidelijke focus en roadmap hebben voor GDPR. 

Er volgt ongetwijfeld een shake-out, waarbij kleinere, US-focused of onbetrouwbare partijen uit de markt zullen worden geduwd door de GDPR. En daar kan jij de prijs voor betalen. Angst en GDPR - dat lijkt helaas wel dé match in heaven van 2017 te zijn.

Meer weten over de wettelijke kant van GDPR (ik ben van geen kanten een jurist, dus bovenstaand is zeer geen hard legaal advies)? Overleg met je legal team, of met GDPR-specialisten als deJuristen

Meer weten over hoe HubSpot de GDPR aanpakt? Geef ons een seintje.

Johan Vandecasteele

Johan Vandecasteele

Managing partner leadstreet ✪ Diamond HubSpot Partner ✪ Top 50 HubSpot Agency worldwide ✪ 2020 HubSpot Champion User ✪ Member HubSpot Advisory Council EU

Als je dit artikel interessant vond, help ons dan met deze content te delen.