De General Data Protection Regulation: she’s on her way. 25 mei 2018 is de datum die twee jaar geleden nog zo ver weg leek, maar er nu echt aankomt. Menig artikel is door juristen en de advocatuur geschreven over wat de GDPR inhoudt en betekent voor bedrijven. Opleidingen en seminars worden, ook door niet-juristen, gevolgd. En als het goed is, zijn bedrijven bezig met de inrichting van hun systemen en een werkwijze die GDPR-compliant is. Inmiddels hoor je de terminologie ook vallen bij marketeers en bestuurders en wordt het door veel bedrijven als haakje gebruikt om infosessies te geven, webinars te organiseren etc. Er worden zelfs boeken over de nieuwe wet cadeau gegeven als relatiegeschenk.
De GDPR als last
De GDPR, oftewel de Algemene Verordening Gegevensbescherming (AVG) in het Nederlands, geeft burgers/consumenten meer zeggenschap over hun data en legt een grotere verantwoordelijkheid bij bedrijven om op een zorgvuldige manier met die data om te gaan. Die verantwoordelijkheid gaat gepaard met hele hoge boetes, namelijk tot 4% van de wereldwijde omzet. Bedrijven worden gedwongen om te weten wát zij met persoonsgegevens doen, wélke persoonsgegevens zij verwerken en met welk doel zij dat doen. Ook dient inzichtelijk te worden gemaakt waar die data verwerkt wordt, met welke partijen data gedeeld wordt en hoe lang gegevens worden bewaard. Op zich niets nieuws. Toestemming vragen aan de persoon op wie de verwerking betrekking heeft ook niet, wel dat deze per verwerking teruggetrokken moet kunnen worden. En zo zijn er nog meer veranderingen die technische en organisatorische maatregelen vereisen. Waar liggen dan de kansen?
Customer first
Stel jij als bedrijf de klant echt centraal? Dan doe je dat ook met haar privacy. Pak de gelegenheid aan om je databeleid te koppelen aan je business values. Beschouw jij je klant als toppriority, dan zorg je er ook voor dat de data van je klanten veilig wordt bewaard en niet langer opgeslagen wordt dan nodig is. Dan zorg je er ook voor, dat de klant in het privacystatement kan terugvinden wat er eigenlijk met haar gegevens gebeurt. Dat je inzicht hebt in datstromen. Want de online consument wil herkend worden: online net zo goed als offline. Dat wil zeggen de klant die in de koffiebar waar hij dagelijks komt niet meer hoeft te vragen om cappuccino, wil online net zo goed die op maat gemaakte advertentie zien en geen advertentie van de schoenen die hij net al heeft gekocht. En dat vraagt om segmentering van klantdata, het geven van een identifier om de klant te kunnen herkennen: of hij nou via de app, desktop of mobiele website van je diensten gebruik maakt. Daar liggen dan ook kansen: de klant die zich herkend en veilig voelt en daarom bij jou zijn aankopen doet.
Eerlijk is eerlijk: het is een enorme administratieve last. Datastromen inzichtelijk hebben en vastleggen, overzicht van verwerkers en incidentenregisters bijhouden, beleid en protocollen vastleggen. Maar het is wel dé kans om alle data onder de loep te nemen, processen klantvriendelijker in te richten en nu eindelijk die oude data eens weg te gooien. Ook is dit hét moment om van derde partijen, verwerkers, leveranciers etc. te eisen veiliger met data om te gaan.
Succes!
Imke.
afdeling legal 