Zo zet je een AVG-proof marketingcampagne op

Ruim een jaar nadat de AVG van kracht is gegaan, worstelen bedrijven nog steeds met de eisen van de AVG. Vooral MKB’ers en bureaus hebben moeite om te voldoen aan de privacywetgeving, blijkt uit de AVG Status Check van branchevereniging DDMA. Toch is het ook voor deze kleinere organisaties, die vaak geen eigen legal afdeling hebben, mogelijk om privacybewuste AVG-proof marketingcampagnes op te zetten.

In de aanloop naar de startdatum van de AVG in mei 2018 werd duidelijk dat er bij de meeste Nederlandse organisaties veel achterstallig onderhoud was op het gebied van privacy. Grote bedrijven met een eigen juridische afdeling hebben inmiddels de inhaalslag kunnen maken, maar voor kleine organisaties blijft de privacywetgeving een uitdaging. Dat is begrijpelijk bij zo’n complexe wet, maar de noodzaak om aan de eisen te voldoen is hoog, zeker nu de Autoriteit Persoonsgegevens heeft aangekondigd strenger te gaan handhaven. Deze zomer deelde de toezichthouder zelfs al de eerste AVG-boete uit aan het HagaZiekenhuis.

“De noodzaak om aan de eisen te voldoen is hoog, zeker nu de Autoriteit Persoonsgegevens strenger gaat handhaven”

Het is belangrijk om te beseffen dat voldoen aan de AVG geen eenmalige activiteit is en dat privacy-by-design steeds meer de norm wordt. Bij elke marketingcampagne zijn er een aantal aspecten uit de wet waar je rekening mee kan en moet houden. Hieronder zet ik er drie op een rij.

1. Zorg dat er een grondslag is voor de verwerking van persoonsgegevens

Hoe je campagne er ook uitziet, de kans is groot dat je persoonsgegevens verwerkt, bijvoorbeeld bij het versturen van een mailing of het uitzetten van een Facebook-advertentiecampagne. Zorg ervoor dat er altijd een grondslag is voor deze verwerking (én dat je kunt bewijzen dat en hoe je van deze grondslag gebruikmaakt).

Er zijn een aantal opties. Een mogelijke grondslag is toestemming van de klant, zoals een actief gegeven opt-in voor een nieuwsbrief. Ook het hebben van een betaalde overeenkomst met de klant geldt als grondslag voor het verwerken van data, bijvoorbeeld voor de afhandeling van een online bestelling. Als laatste is er het gerechtvaardigd belang van bedrijven om via marketing nieuwe klanten te werven. Het is uiteraard wel belangrijk het privacybelang van de mensen van wie je persoonsgegevens verwerkt hierbij te respecteren. Met een goede balans tussen het bedrijfsbelang en het privacybelang én een heldere uitleg, is dit een geldige grondslag.

2. Zorg ervoor dat je privacystatement goed vindbaar is

Dat het hebben van een privacystatement verplicht is onder de AVG, is bij de meeste bedrijven inmiddels wel bekend. Maar het is natuurlijk ook van belang dat klanten dit privacystatement ook begrijpen én weten te vinden. Uit ons onderzoek blijkt dat 25 procent van de honderd deelnemende MKB’ers en bureaus niet weet of hun privacystatement eenvoudig te vinden is.

“Zorg ervoor dat je er alles aan doet om het privacystatement zichtbaar te maken”

Zorg ervoor dat je er alles aan doet om het statement wél zichtbaar te maken: neem een link mee in elke campagne-uiting, verwijs er actief naar tijdens online registratieprocessen en zet het prominent op je website en social media. Zo kunnen klanten en bezoekers gemakkelijk en snel lezen hoe je met persoonsgegevens omgaat en wat zij kunnen verwachten.

Het is daarbij ook belangrijk dat deze informatie zo compleet en begrijpelijk mogelijk is omschreven. In de DDMA Privacy Improver leggen we verder uit wat je allemaal in het privacystatement moet opnemen.

3. Zorg voor een verwerkersovereenkomst

Bij elke marketingcampagne is er sprake van een verantwoordelijke, oftewel degene die bepaalt wat er met de persoonsgegevens gebeurt en waarom deze worden verzameld, en eventueel een of meerdere verwerkers. Een verwerker kan bijvoorbeeld een marketingbureau zijn dat de campagne in opdracht uitvoert, maar ook het mailsysteem dat je gebruikt geldt als verwerker. In deze gevallen is het verplicht om verwerkersovereenkomsten af te sluiten. Hierin maken verantwoordelijken en verwerkers onderling afspraken over onder meer het doel van de verwerking en de beveiliging van de gegevens. Dit is voor veel kleinere bedrijven een belangrijk aandachtspunt: ons onderzoek laat namelijk zien dat slechts 31 procent gebruikmaakt van verwerkersovereenkomsten.

“Privacy-by-design wordt steeds meer de norm en klanten verwachten op dit vlak ook steeds meer”

Door deze drie tips in acht te nemen, richt je je marketingcampagnes in in lijn met de AVG. Maar er is nog een bijkomend voordeel: je laat zien dat je zorgvuldig met hun persoonsgegevens omgaat. Privacy-by-design wordt steeds meer de norm en klanten verwachten op dit vlak ook steeds meer van bedrijven. Het is belangrijk dat je daar als marketeer al vanaf de start van de ontwikkeling van je campagne rekening mee houdt.