Privacy & GDPR, voldoe jij al?

Werk je met klanten online, dan werk je met klantgegevens.
Denk aan een maillijst, contactformulier, automatische e-mails of een boeking via je website.
In het gemak waarmee je online werkt, vergeten we soms stil te staan bij het feit dat je daarmee ook verantwoordelijk bent voor hoe die informatie wordt verwerkt en bewaard.
Om de privacy te beschermen zijn er Europese regels opgesteld: de GDPR.

Deze wet geldt niet alleen voor grote bedrijven, maar ook voor zelfstandig ondernemers. Het is niet moeilijk om hieraan te voldoen, maar wel belangrijk om goed te regelen.
In dit artikel ga ik in op wat de GDPR is, wat dat specifiek betekent voor jou als online ondernemer en vooral: hoe je met de juiste aanpak ervoor kunt zorgen dat het geen belemmering hoeft te zijn, maar je het juist kunt gebruiken als een mooie extra kans om verbinding en vertrouwen te creëren bij potentiële klanten.

Wat is GDPR en waarom bestaat het?
De GDPR (General Data Protection Regulation) is een Europese privacywet die sinds 2018 geldt.
Het doel is om persoonsgegevens beter te beschermen en organisaties verantwoordelijk te maken voor hoe ze daarmee omgaan.
Niet omdat mensen niets meer zouden mogen delen, maar omdat ze moeten kunnen vertrouwen dat het goed geregeld is.
Voor ondernemers betekent dat: zorgvuldig omgaan met data, transparant zijn over wat je verzamelt en waarom, en zorgen dat klanten daar invloed op hebben.

Wat is het verschil tussen GDPR en AVG?
Eigenlijk is er geen verschil.
GDPR is de Engelse afkorting voor de Europese privacywet. In Nederland spreken we over de AVG: Algemene Verordening Gegevensbescherming.
Beide betekenen dus hetzelfde en zijn van toepassing op je werkzaamheden, ook als je alleen in Nederland werkt.

Wat betekent dit in de praktijk voor jou als online ondernemer?
Zodra je werkt met klantinformatie, krijg je met deze regels te maken.
Of dat nu gaat om adresgegevens in je administratie, een inschrijfformulier op je site of een nieuwsbrief die je verstuurt.
Je mag die gegevens alleen verzamelen als je daar een geldige reden voor hebt en alleen voor het doel waarvoor iemand toestemming heeft gegeven. Wil je dus gegevens van iemand voor meerdere doeleinden gebruiken en verwerken, dan moet je dat vooraf duidelijk maken en toestemming voor vragen en krijgen.

Ook ben je verantwoordelijk om ervoor te zorgen dat de gegevens veilig worden opgeslagen en niet langer bewaard worden dan nodig is of was aangegeven.
Werk je met andere partijen die namens jou gegevens verwerken, dan moet je daar duidelijke afspraken mee maken en hier transparant over zijn, want ook dat is als opdrachtgever dan jouw verantwoordelijkheid.

Dat klinkt misschien allemaal wat veel, maar is tegenwoordig prima te doen met de tools en programma’s die we hiervoor gebruiken.
Bij bijvoorbeeld een online mailprogramma of boekhoudtool wordt de veiligheid standaard gewaarborgd, en draag je vooral zorg voor de juiste instellingen en koppelingen om alles goed te regelen.
Kwestie dus van er even aandacht aan te besteden en zorgen dat alles goed staat.

Wat moet je in ieder geval geregeld hebben? (indien van toepassing)

✔ Privacyverklaring op je website of vergelijkbare online pagina.
Heb je een website of online pagina die je gebruikt om te verkopen, leads te verzamelen of track je hiermee informatie van bezoekers? Dan moeten bezoekers op deze pagina ook een privacyverklaring kunnen inzien. Bij twijfel kun je hierover het beste juridisch advies inwinnen, maar in het geval je online werkzaamheden vrij standaard zijn, kun je die ook gratis online maken met een generator. Zorg er wel voor dat deze is opgesteld volgens de geldende AVG-richtlijnen.

✔ Een veilige manier van gegevens opslaan.
Dit is bijna standaard bij de meeste online marketingtools en aanverwante programma’s, maar informeer bij twijfel.
Let op: sla je gegevens zelf op, zoals op je laptop of in de cloud? Dan moet je er dus ook zelf voor zorgen dat deze systemen en apparaten goed beveiligd zijn.

✔ Verwerkersovereenkomsten.
In het geval je samenwerkt met partijen die klantgegevens voor je verwerken, heb je ook een verwerkersovereenkomst nodig.
Dat is niet alleen prettig voor je klanten, maar beschermt jezelf ook wanneer de partij zich schuldig zou maken aan het doorverkopen van gegevens aan derden.
Werk je samen met iemand ter ondersteuning van je bedrijfsvoering, bijvoorbeeld een boekhouder of VA? Dan wordt dit meestal afgedekt door een geheimhoudingsplicht in de samenwerkingsovereenkomst op te nemen.

✔ Toestemming voor het gebruik van persoonsgegevens.
Wanneer iemand persoonsgegevens met je deelt, moet je, om deze op te mogen slaan, aantoonbaar kunnen maken dat je hiervoor toestemming hebt gekregen.
Je kunt dan laten zien dat iemand een product of dienst heeft afgenomen of dat iemand zich heeft aangemeld voor een nieuwsbrief.
Het gaat hier niet alleen om het kunnen verduidelijken hoe je aan de gegevens bent gekomen, maar ook wanneer dat was en onder welke omstandigheden.

Correct gebruik van persoonsgegevens voor marketingdoeleinden.
Als ondernemer wil je graag zo veel mogelijk leads verzamelen, en is het begrijpelijk dat je dus ook op zo veel mogelijk manieren probeert om aan klantinformatie te komen, zodat je mensen warm kunt maken voor je aanbod.
Maar aan de andere kant heb je misschien iemand die murw is geworden van de zoveelste promotiemail en inmiddels niet eens meer de moeite neemt om nieuwe mails te openen.
Mensen informatie sturen waar ze niet om gevraagd hebben, mag eenvoudigweg niet, en de privacywetten zijn opgesteld om hiertegen te beschermen.

Wanneer iemand online een product of dienst bij je afneemt, is het logisch om daar persoonsgegevens voor op te vragen. Omdat je iets moet opsturen naar een thuisadres of gebruiksinformatie moet toesturen per mail. Je hoeft daar verder geen aanvullende toestemming voor te vragen, omdat dit onderdeel uitmaakt van het aankoopproces.
Maar dat wil niet zeggen dat je die gegevens ook mag gebruiken voor marketingdoeleinden.

Stel dat iemand bij jou een online product afneemt en daarvoor een mailadres afgeeft, dan mag je e-mails sturen die daarop betrekking hebben.
Denk aan een aankoopbevestiging, factuur, inloggegevens, misschien een mailtje om in te checken hoe de zaken ervoor staan… Maar een mail om iets anders aan te prijzen mag niet zonder duidelijke toestemming.
Organisaties proberen daar soms slim mee om te gaan, door bijvoorbeeld een mail te sturen:
Je kocht een tijdje geleden xxx en daarom denken we dat xxx ook wat voor jou is.
Daarmee bevind je je in een grijs gebied, omdat er wel wordt gerefereerd aan een eerdere aankoop. Maar omdat het voornaamste doel hier is om iets nieuws te verkopen, valt dit onder marketing en mag het dus niet zomaar.
Iedere mail die je stuurt, moet in de kern relevante informatie bevatten over het aangekochte product. Hou daar dus rekening mee als je deze tactiek toch wilt toepassen.
Dezelfde logica geldt ook voor bijvoorbeeld een weggever die je gratis aanbiedt. Zonder een duidelijke opt-in mag je iemand alleen informatie sturen over die specifieke weggever.

Vaak worden er allerlei manieren bedacht om creatief om te gaan met de regels, zodat er toch op bredere schaal leads verzameld kunnen worden.
Maar als je op die manier aan klanten moet komen, ga je dan niet je doel voorbij? 🤔
Allereerst kun je je afvragen of je wilt dat contactmomenten met potentiële klanten, op welke manier dan ook, als een trucje aanvoelen.
In plaats van hopen dat iemand interesse krijgt in je aanbod omdat ze er via een omweg op geattendeerd worden, kun je er ook voor zorgen dat je waardevolle dingen deelt waar iemand echt mee geholpen is. Zodat mensen juist op zoek gaan naar manieren om zich aan je te binden.

Zorg voor een duidelijke opt-in.
Wil je dat mensen je kunnen vinden om op de hoogte te blijven van nieuws en ontwikkelingen, zodat je ze promotiemails kunt sturen? Zorg dan voor duidelijke opt-in mogelijkheden en maak het aantrekkelijk voor mensen om zich aan te melden.
Denk aan een inschrijfgelegenheid op je website, link in bio op de socials, tijdens een aankoop, onderaan je bevestigingsmail, etc.
Niet opdringerig, maar als een kans om mensen te attenderen op het feit dat je ze (nog) iets waardevols te bieden hebt.
Zorg er daarbij voor dat mensen bewust toestemming geven door dat te vermelden of hiervoor een apart vinkje te laten zetten.
Het mag niet verborgen zijn of vooraf zijn aangevinkt. Ook mag je geen aankoop weigeren zonder deze toestemming of verwijzen naar bijvoorbeeld algemene voorwaarden.
Kortom: er moet tijdens een opt-in volledige helderheid en transparantie zijn over waar ze zich voor aanmelden.

Rechten van de ontvanger.
Ook wanneer iemand bewust toestemming heeft gegeven om benaderd te worden voor marketingdoeleinden, mag die toestemming op elk moment worden ingetrokken.
Zo moet iemand zich altijd kunnen uitschrijven, je daarvoor kunnen bereiken, of moet het duidelijk zijn hoe en waar iemand zich kan afmelden.
Bij marketingmails moet iedere mail een uitschrijfmogelijkheid bieden (de meeste online marketingtools hebben dit ingebouwd).
Ook mag je persoonsgegevens niet onnodig lang bewaren, vooral niet als er langere tijd geen interactie is geweest.
Er is vooralsnog geen bewaartermijn voorgeschreven, maar over het algemeen wordt twee jaar vaak als redelijk gezien.

Wat als je dit nog niet geregeld hebt?
Dan is dit het moment om het aan te pakken. 😉
Ga voor jezelf na of en hoe je gegevens verzamelt en verwerkt, en bekijk of dit anders of beter kan.
Gebruik je oude maillijsten van voor 2018 (sinds de wetgeving is ingegaan), of heb je tot nu toe gegevens niet helemaal volgens deze regels verzameld? Vraag dan om zeker te zijn opnieuw toestemming.
Misschien niet leuk om daar tijd voor uit te trekken en misschien op die manier klantgegevens kwijt te raken, maar ook dat kun je positief inzetten met een leuke campagne, en gebruiken als middel om te herkennen wie er al warm zijn voor je en wie niet.

Ja, er kunnen boetes worden uitgegeven als je de regels niet naleeft. In theorie kan dit oplopen tot €20 miljoen of 4% van je jaaromzet.
Voor zelfstandig ondernemers zal het waarschijnlijk niet zo'n vaart lopen, maar denk niet alleen aan de regels, maar ook aan het vertrouwen dat je hiermee uitstraalt door het wel goed te regelen.
Met een slimme strategie versterkt het juist je werkwijze.

Door dit goed te regelen hou je het simpel en prettig voor je klant.
Je pakt de kans om je te onderscheiden van anderen die vooral bezig zijn met het verzamelen van mailadressen.
En juist daardoor kan het zomaar zo zijn dat mensen kiezen voor jou.