Dat de GDPR een impact zal hebben op de manier waarop we online marketen in 2018 is duidelijk. Maar dat de keuze van jouw marketingtools (CMS, e-mail …) ook GDPR-bepalend is, daar heb je misschien niet, of nog niet goed, over nagedacht.
Trek nu even 10 minuten uit om dit artikel te lezen. Het is belangrijk - geloof ons.
Voor we in tools duiken, een kleine refresh van wat de nieuwe wetgeving van ons verlangt:
Enkele van de grote zaken die jij vanaf 28 mei 2018 wettelijk moet doen:
Bij het verzamelen van data (lees: een formulier op je landingspagina) moet je volgende zaken meegeven (informeren):
Bovendien moet de toestemming van jouw contact:
De contacten in je database hebben het recht om jouw bedrijf de volgende vragen te stellen:
Als je er een datalek is, moet je dit binnen de 72 uur melden aan de Privacy-commissie. Die termijn begint te lopen nadat jij hiervan op de hoogte bent. Opgelet: voor die 72 uur maakt de GDPR geen onderscheid tussen week- en weekenddagen. Als je een lekt ontdekt op vrijdagavond om 23:00, moet je dit dus uiterlijk maandagavond om 23:00 melden.
Gaan we uit van een reguliere (online) marketingtoolset, dan heb jij ongetwijfeld volgende tools in je broekzak zitten:
Wat kan er fout lopen met dergelijke toolset en de GDPR? Om eerlijk te zijn: veel.
Enkele voorbeelden maken dat al snel duidelijk.
Heb jij een website in WordPress of Drupal, dan gebruik je ongetwijfeld een aantal plugins. Plugins die bijvoorbeeld een contactformulier op je site mogelijk maken.
Vraag daarbij: waar slaat die plugin de data van zo’n formulier op? Doet die dat op een eigen server, of stuurt die de data door naar je mailbox? Wat als jouw WordPress of die plugin gehackt wordt: ben jij daarvan op de hoogte en kan jij al je contacten dan nog bereiken?
Je CRM is hoogstwaarschijnlijk je centrale database, waar alle informatie wordt opgeslagen. Daar komen onmiddellijk de volgende vragen boven: kan je makkelijk informatie aan een contact bezorgen, die wijzigen of deleten, exporteren, enzovoort?
Kan je e-mailtool gegevens verzamelen zoals de GDPR dat voorschrijft? Met een expliciete opt-in (of zelfs een dubbele opt-in)? Heb je een webpagina waar jouw contacten gegevens kunnen bekijken en/of aanpassen?
Weet dat de tools waarmee jij werkt vanuit GDPR-perspectief jouw verantwoordelijkheid zijn.
Of het nu over plugins gaat, betaalsystemen (e-commerce) of een ticketingsysteem: het wordt opletten geblazen. Niet alleen jij moet met je bedrijf GDPR-compliant zijn, dat geldt ook voor je leverancier.
Dat nog niet alle tools (en bedrijven) op dit moment klaar zijn met hun GDPR-verhaal vinden wij niet onlogisch. Er is op dit moment immers nog behoorlijk wat onduidelijkheid.
Maar kijk alvast na of je huidige leveranciers met de GDPR bezig zijn, en of ze hun tools (gaan) aanpassen naar ‘privacy by design’, waarbij de tools vanuit een praktisch gebruik per definitie de regels naleven.
Enkele goede voorbeelden van leveranciers die met GDPR bezig zijn:
0ns advies/vermoeden/hoop is dat jij het beste af bent met een beperkte set van bekende, betrouwbare partners.
Er volgt ongetwijfeld een shake-out, waarbij kleinere, US-focused of onbetrouwbare partijen uit de markt zullen worden geduwd door de GDPR.
Niet alleen voor je CRM of CMS, maar ook voor het bewaren van je gegevens. Je data bewaren op Dropbox, bijvoorbeeld, kan een heel bewuste keuze zijn omdat jij naar de GDPR-instanties kan argumenteren dat zij voldoende veiligheidsmaatregelen hebben om jouw data veilig te bewaren. Beter dan alles op een Excel op een lokale harde schijf bewaren.
Hoe het niet moet, zagen we onlangs bij MailChimp. Een blunder van jewelste. Ze stuurden op 24 oktober 2017 een boodschap uit waarbij de standaard voor opt-in vanaf dat moment single (in plaats van double) opt-in zou zijn. Voor iedereen.
Om daar, na hevig protest van hun Europese gebruikers, een week later te moeten op terugkomen. Vertrouwen geven doen dit soort acties niet, want ze getuigen van weinig inzicht in de Europese GDPR-wetgeving én hun Europese klantenbasis. "We apologize for any confusion this caused", klonk het vanuit de kantoren in Atlanta (US). Yep!
Ook onze favoriete tool HubSpot is zwaar bezig met GDPR. Als Diamond HubSpot-partner krijgen we inzicht in de inspanningen die momenteel achter de schermen worden gedaan.
Los van de wettelijke aspecten heeft HubSpot recent een nieuw datacenter aangekondigd in Frankfurt, hét financiële centrum van Duitsland. En verder is het hard bezig met belangrijke productwijzigingen zodat de compliance met de GDPR in de tool zelf wordt ingebakken. Privacy by design, dus.
Voorbeelden van die aanpassingen krijgen wij eerst in betaversie uitgerold in onze portaal - we houden onze klanten hiervan op de hoogte.
De keuze van je marketing- en salestools zullen een belangrijke rol spelen bij de GDPR-uitrol voor jouw bedrijf. 0ns advies is dat jij best het lijstje marketing- en/of salestools beperkt houdt, maar vooral de keuze maakt voor bekende, betrouwbare partners. Leveranciers die momenteel een duidelijke focus en roadmap hebben voor GDPR.
Er volgt ongetwijfeld een shake-out, waarbij kleinere, US-focused of onbetrouwbare partijen uit de markt zullen worden geduwd door de GDPR. En daar kan jij de prijs voor betalen. Angst en GDPR - dat lijkt helaas wel dé match in heaven van 2017 te zijn.
Meer weten over de wettelijke kant van GDPR (ik ben van geen kanten een jurist, dus bovenstaand is zeer geen hard legaal advies)? Overleg met je legal team, of met GDPR-specialisten als deJuristen.
Meer weten over hoe HubSpot de GDPR aanpakt? Geef ons een seintje.