Marketeers nog lang niet klaar voor GDPR

Marketeers nog lang niet klaar voor GDPR
, DDMA
@ddma

De Algemene Verordening Gegevensbescherming (AVG, ook wel bekend onder de Engelse afkorting GDPR) treedt vanaf 25 mei 2018 in werking. De impact van deze Europese privacywet op het bedrijfsleven is al veel besproken, maar wat betekent dit nu precies voor marketeers en hun organisaties? In deze blogserie duiken wij als legal counsels van brancheorganisatie DDMA de diepte in en proberen we onduidelijkheden weg te nemen. In dit eerste deel laten we op basis van eigen onderzoek zien wat de huidige stand van zaken is onder marketeers. Daaruit blijkt dat slechts 36 procent van de organisaties op schema ligt.

Dit artikel is geschreven in samenwerking met mijn collega Sanne Mulder, legal counsel bij DDMA.

De Algemene Verordening Gegevensbescherming vervangt de huidige Wet Bescherming Persoonsgegevens (Wbp) en zorgt ervoor dat in elke EU-lidstaat dezelfde regels op het gebied van privacy- en databescherming gelden. Als je de Wbp nu perfect hebt geïmplementeerd, zijn de veranderingen niet groot. Maar voor veel bedrijven is dat nog niet het geval en zij hebben dan ook veel voorbereidend werk te doen, zowel op technisch als juridisch vlak. De IT-infrastructuur moet vaak onder de loep worden genomen en beleid moet worden aangepast.

Bedrijven die vanaf 25 mei niet voldoen aan de nieuwe regelgeving, lopen het risico op boetes tot 20 miljoen euro of 4 procent van hun wereldwijde omzet. De noodzaak om tijdig klaar te zijn, mag met dergelijke financiële consequenties duidelijk zijn. Maar de vraag is: hoe goed is het Nederlandse bedrijfsleven nu daadwerkelijk voorbereid op de AVG? Brancheorganisatie DDMA vroeg het aan 75 organisaties uit de marketingsector.

Niet goed voorbereid

De resultaten laten weinig te raden over: de meeste Nederlandse bedrijven voldoen nog lang niet aan de AVG. Slechts 36 procent van de ondervraagde marketeers geeft aan dat zijn of haar organisatie op schema ligt met de voorbereidingen. Iets minder dan de helft van de bedrijven maakt plannen en de rest heeft nog helemaal geen voorbereidingen getroffen.

41 procent van de respondenten geeft daarbij aan zelf goed op de hoogte te zijn van de nieuwe regels, 53 procent is gemiddeld geïnformeerd en 5 procent helemaal niet. Een gebrek aan capaciteit (33 procent), tijd (25 procent) en kennis (10 procent) worden als belangrijkste oorzaken genoemd. Voor 15 procent heeft de AVG-voorbereiding geen prioriteit.

Om een beter beeld te krijgen van de precieze stand van zaken hebben we de respondenten ook gevraagd naar de voorbereiding op specifieke onderdelen van de AVG. Aan de antwoorden is duidelijk te zien dat de meldplicht datalekken al sinds begin vorig jaar in Nederland van kracht is. 63 procent heeft daar inmiddels een protocol voor en 21 procent zegt dat deze dit jaar nog komt. De privacyverklaring is bij 36 procent van de ondervraagden bijgewerkt en 47 procent volgt later dit jaar. Het privacybeleid zal bij de helft van de organisaties dit jaar nog herzien worden en 23 procent heeft dat al gedaan.

Ook de administratieplicht, het uitvoeren van een privacy impact assessment, het implementeren van privacy by design, het aanstellen van een data protection officer, het beoordelen van third-party data en het uitvoeren van een medewerkersprogramma om het privacybewustzijn te vergroten staan wel op de radar, maar verdienen nog veel aandacht in de voorbereiding.

Prioriteit en zorgen

De onderwerpen die voor respondenten de hoogste prioriteit hebben om vóór 25 mei 2018 op orde te krijgen, zijn achtereenvolgens het privacy impact assessment, het privacybeleid, de administratieplicht, het medewerkersprogramma en privacy by design. Marketeers maken zich het meeste zorgen over hoe zij moeten omgaan met gegevens uit oude systemen (legacy data), hoe zij toestemming aan gebruikers moeten vragen om gegevens te gebruiken en hoe ze medewerkers het best kunnen trainen. Voor de meeste ondervraagden heeft het trainen van het bestaande team wel duidelijk de voorkeur boven het uitbesteden aan of het in dienst nemen van een specialist.

Belang van de AVG

De onderzoekscijfers maken duidelijk dat er nog veel werk aan de winkel is voor organisaties om tijdig te voldoen aan de AVG. Positief is daarbij wel dat het grootste deel van de ondervraagden het belang inziet van de nieuwe regels, zeker voor consumenten.

Bijna de helft vindt dat de voordelen voor de consumenten zwaarder wegen dan de kosten voor het bedrijfsleven.

Tegelijkertijd verwachten de meeste organisaties zelf ook baat te hebben bij de wet. Tweederde is het niet eens met de stelling dat de AVG alleen voor consumenten voordelig is. De helft ziet de wet ook niet als belemmering voor marketingactiviteiten, eenderde is daar wel bang voor.

Het is van belang om in marketing het vertrouwen van de consument te behouden, en daarmee het recht op privacy te erkennen. De Algemene Verordening Gegevensbescherming vergroot dat bewustzijn bij marketeers. Ook positief is dat de meeste bedrijven lijken te begrijpen wat hun prioriteiten en aandachtspunten zijn.

Het is echter al oktober en over acht maanden zullen de Europese toezichthouders zich op de nieuwe regelgeving storten. Organisaties die een hoge boete willen vermijden, hebben nog veel werk te verzetten de komende tijd. Deze blogserie helpt daar hopelijk een handje bij.

In deel 2 van deze blogserie, dat volgende week verschijnt, beantwoorden we de meest gestelde vragen van marketeers over de AVG.

Is jouw organisatie klaar voor de AVG? En wil je weten of de vorderingen van jullie AVG-voorbereidingen vergelijkbaar zijn met andere organisaties? Doe dan de gratis DDMA AVG Status Check.


Delen

0
2


Er zijn 5 reacties op dit artikel

  • Interessant artikel, ik kan helaas de PDF onderaan je artikel niet openen, het geeft een foutmelding.

    geplaatst op
  • @Leonie: dank voor de tip, de link is gefixt!

    geplaatst op
  • Dank je wel Matthias. Hopelijk schudt dit marketeers wakker, dat ze zullen moeten versnellen. Overigens vind ik het percentage van 41% dat aangeeft goed op de hoogte te zijn, nog verrassend hoog. Maar misschien heeft dat te maken met het feit dat dit onderzoek is gedaan onder 75 bedrijven in de marketingsector. Wat verstaan jullie daar trouwens onder? Ik kan dit niet nalezen omdat ook bij mij het linkje naar de PDF niet werkt.
    Feitelijk is de GDPR voor alle bedrijven relevant, omdat ieder bedrijf in mindere of meerdere mate met persoonsgegevens werkt.

    Marketeers zouden zich moeten realiseren dat de GDPR ook kansen biedt. In mijn blog over de GDPR geef ik vier redenen om als marketing manager het initiatief te nemen:
    http://nectar-marketing.nl/avg-mooie-kans-om-te-leren-scrummen/


    geplaatst op
  • Dank je, Bram, link werkt nu!


    geplaatst op
  • @Hans: onder de marketingsector verstaan we alle organisaties die data inzetten voor marketingdoeleinden. Dit zijn niet alleen de online marketing bureau's, maar ook adverteerders en non-profit organisaties. DDMA vertegenwoordigt deze organisaties.

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.