GDPR: pak die olifant bij zijn slurf!
De GDPR-wetgeving is voor veel bedrijven nog de elephant in the room: een belangrijk onderwerp dat we voor ons uitschuiven en waar vooral niet over gesproken wordt. Terwijl er voor early adopters veel marketingvoordeel is te halen, met name als je inzet op service in plaats van product pushing.
Hoewel de GDPR-wetgeving al in mei 2018 ingaat en behoorlijk ingrijpt op digitale marketing, zijn veel bedrijven nog niet of nauwelijks bezig met de gevolgen daarvan. In die zin gebeurt hetzelfde als bij de invoering van de cookie-wet een paar jaar geleden: de bulk van de bedrijven kijkt de kat uit de boom en een klein aantal valt op als beste jongetje van de klas.
De GDPR vraagt van bedrijven een omslag in techniek en cultuur die bijzonder lastig is te implementeren.
Black boxes
Voor die grote bulk is de GDPR-wetgeving in zekere zin de elephant in the room: het is een onderwerp waarvan niemand echt zin heeft om het aan te snijden, terwijl het tegelijkertijd een thema is waar je niet meer omheen kunt.
Natuurlijk is deze neiging tot uitstelgedrag begrijpelijk. De GDPR vraagt van bedrijven een omslag in techniek en cultuur die bijzonder lastig is te implementeren. Van cookiemanagement, waar we nu ongeveer staan, naar echt toestemmingsmanagement is een reuzensprong. De black boxes met bezoekersdata die we nu gebruiken (waarbij consumenten geen idee hebben van wat er met hun data gebeurt) zijn straks simpelweg verboden. De nieuwe wet eist namelijk een veel grotere mate van transparantie. Daarnaast krijgt de consument meer controle over de eigen data.
En dat brengt een hoop gedoe met zich mee, waarbij het aanpassen van de software eigenlijk nog de meest voor de hand liggende is. Maar ook moet je denken aan het aanstellen van nieuwe data protection officers binnen een bedrijf, die de nieuwe transparantie moet invoeren en bewaken. Of denk aan de nieuwe regel dat een klant te allen tijde de over hem beschikbare data moet kunnen opvragen en inzien. Dat klinkt simpel, maar hoe gaat dat precies in zijn werk, zo’n download my profile-actie? In welk format lever je de data bij de klant aan en wat staat er dan precies in?
De nieuwe situatie leidt tot kansen voor bedrijven die zich sneller aanpassen dan de concurrentie.
Kansen
Toch is het voor bedrijven meer dan de moeite waard de nieuwe wetgeving serieus te nemen en tijdig met invoering van GDPR-ready systemen te beginnen. De nieuwe situatie leidt tot kansen voor bedrijven die zich sneller aanpassen dan de concurrentie. Die hebben de kans positief op te vallen bij hun gebruikers, omdat ze als eerste omarmen waar de wet voor is bedoeld: de gebruiker van je website of app meer zeggenschap geven over ‘zijn’ of ‘haar’ data.
Voorbeelden hierbij zijn makkelijk te verzinnen. Denk bijvoorbeeld aan de nieuwe regel dat een klant informatie die je over hem hebt, moet kunnen (laten) corrigeren of verwijderen. Als jouw webwinkel wel al een gemakkelijke opt-out aanbiedt, een simpel ‘verwijder mijn interesse in regenlaarzen’, maar je concurrent nog niet, waar zal de consument dan gelukkiger van worden?
De GDPR biedt dus kansen op het gebied van relatiemanagement. Door klantdata niet geruisloos en geautomatiseerd op te pikken, maar dingen expliciet te vragen en aan te geven waarvoor je de gewonnen informatie wilt gebruiken, win je aan sympathie, wat zich op termijn uitbetaalt in vertrouwen in je merk.
Investeren in relaties
De grap is namelijk dat mensen het niet erg vinden dingen te delen als je ze het idee geeft dat hun user data een rol speelt bij het optimaliseren van producten, diensten of hun customer experience. In die zin is het invoeren van de GDPR-regels een investering in relaties: omdat klanten ‘eruit’ kunnen als ze willen, voelen ze zich minder opgesloten in een systeem dat hen achtervolgt met gepersonaliseerde advertenties, wat tot een veel prettigere verstandhouding leidt tussen merk en consument.
Als het gaat om service(mails) heb je helemaal niet zoveel te ‘vrezen’ van de GDPR/AVG. Daar heb je namelijk geen toestemming voor nodig. Mits deze mails worden verstuurd in het kader van het doel dat ze dienen, bijv. het informeren over de status van je bestelling na aankoop. Waar het nou nét om gaat is juist het nieuwsbrief, promotionele en campagnedomein.
Daar worden de regels ten op opzichte van de huidige Wbp aangescherpt. Waarbij tegelijkertijd gezegd moet worden dat ook volgens de huidige Wbp het verplicht is om aan te tonen dat je opt-ins rechtmatig heb verkregen. Da’s niks nieuws onder de zon.
Ik zie in het regime dat de GDPR/AVG oplegt voordelen voor zowel natuurlijke personen als bedrijven die iets met ze willen. M.b.t. de laatste: het dwingt je om transparant bij de voordeur uit te leggen wat de voordelen zijn als je wél toestemming geeft voor nieuwsbrief, actiemails en het gebruik van je data voor profiling en predictive analytics met als resultaat: aanbiedingen en informatie die beter aansluit bij individuele interesses en behoeften op enigerlei moment. Een pure win/win.
Ja, je zult in de techniek een aantal zaken moeten aanpassen om bijvoorbeeld tegemoet te kunnen komen aan verzoeken tot inzage in of beperking van gebruik van data. Of het geven van uitvoering aan verzoeken tot gegevenswissing (het recht om vergeten te worden). En er zullen procedureel zaken moet worden getuned als je in de verwerking van gegevens in de keten met een of meerdere partners samenwerkt. Maar laten we wel wezen: als je het nuchter bekijkt, is het goed te doen. Kwestie van het maken van een plan van aanpak en hier gestructureerd opvolging aan geven.
Wat nog wel een punt van aandacht is, is dat de GDPR/AVG op een aantal punten nog in het vage blijft. Wat is bijvoorbeeld de definitie van ‘passende maatregelen’en’vitale belangen’. Mijn verwachting is dat er eerste een aantal (proef)processen gevoerd gaat worden om tot jurisprudentie te komen waarmee de randvoorwaarden duidelijker worden afgebakend.
Tot die tijd let het niemand om nu al uit de startblokken te schieten. Gaat een hoop onrust schelen.