De GDPR-wetgeving dwingt organisaties, dus ook eenmanszaken en kmos, zorgvuldig om te springen met privacygevoelige gegevens. Gegevens verzamelen voor marketingdoeleinden is aan strikte regels onderworpen. Wat mag wel en wat niet? Hieronder beantwoorden we zes veelgestelde vragen rond GDPR.
De General Data Protection Regulation (GDPR), of Algemene Verordening Gegevensbescherming in het Nederlands (AVG), is een Europese wet die bepaalt hoe organisaties moeten omspringen met privacygevoelige informatie. Zo moet elke organisatie aantonen welke persoonsgegevens er worden verzameld, hoe deze data wordt gebruikt en hoe ze wordt beveiligd. Wie zich niet aan de regels houdt, riskeert boetes en sancties die kunnen oplopen tot 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet.
Bedrijven mogen bestaande klanten op de hoogte brengen van nieuwe producten of diensten als die vergelijkbaar zijn met wat zij eerder hebben afgenomen. Koopt iemand bij u een fiets, dan mag u deze persoon dus niet mailen met informatie over printers. Bovendien moet de klant zich op elk moment kunnen afmelden voor toekomstige mails. Let op, want de AVG onderscheidt drie soorten directmarketing, elk met eigen regels: digitale directmarketing, telemarketing en reclamepost.
Ja, dat mag. Als iemand u een visitekaartje geeft, dan hebt u automatisch toestemming om het kaartje te gebruiken waarvoor het bedoeld is. Let op, u mag het kaartje niet zonder toestemming doorgeven aan uw collegas. U mag de contactgegevens dus niet opslaan in het centrale crm-systeem van uw bedrijf.
Nee, hiervoor hebben uw LinkedIn-contacten geen uitdrukkelijke toestemming gegeven. U mag uw LinkedIn-contacten wel via een openbare statusupdate of een privébericht vragen of ze geïnteresseerd zijn in mails van uw bedrijf. Plaats bij dat bericht een link zodat uw connecties zichzelf kunnen inschrijven.
Nee. Mensen moeten zich bewust aanmelden voor een lijst. Vooraf vinkjes zetten terwijl een gebruiker nog zijn akkoord moet geven is verboden. Zwijgen is toestemmen, geldt niet.
De GDPR-regelgeving is alleen van toepassing op trackingcookies. Hiermee kunnen organisaties het internetgedrag van bezoekers volgen en persoonlijke profielen opstellen. Websitebezoekers moeten expliciet toestemming geven om deze cookies te mogen plaatsen. Er moet aan de volgende voorwaarden voldaan zijn:
Bezoekers van de website mogen de cookies weigeren.
Het moet duidelijk zijn waarvoor de organisatie toestemming vraagt.
Bezoekers hebben voldoende informatie over wat er met hun gegevens gebeurt als zij toestemming geven.
Bezoekers moeten met een actieve handeling toestemming geven, zoals een vakje aanvinken.
Het gebruik van trackingcookies staat in je privacyverklaring.