AVG: Wat moet je ermee? Deel V

 In Privacy

Bas Ter Burg is managing partner van Add to Favorites, een bedrijf dat organisaties helpt effectief met klanten te communiceren via kanalen als e-mail. Daarnaast adviseert Bas organisaties over de privacywetgeving. “Er is een enorme behoefte aan mensen die zowel de theorie kennen als de praktijk. En vanuit de praktijk weet ik: bijna niemand heeft het geregeld op de werkvloer. De meeste marketeers vinden het gewoon niet sexy en men vreest voor verlies van omzet.” In dit interview gaat Bas in op de uitdagingen waar marketeers mee te maken krijgen na invoering van de AVG.

Behoefte aan ervaringsdeskundigen
De afgelopen vijftien jaar heb ik me toegelegd op alles wat met de privacywetgeving te maken heeft. Denk aan de Wet Bescherming Persoonsgegevens die nu de AVG is, maar ook de Telecommunicatiewet die straks de e-Privacy verordening wordt. Deze wetten zijn nauw verbonden met een belangrijk vakgebied van Add to Favorites: e-mailmarketing. Dus puur uit interesse ben ik hier in gedoken. Daarbij komt dat er veel behoefte is aan ervaringsdeskundigen. Juristen zijn over het algemeen meer theoretisch van aard, waardoor zij de marketeer niet altijd begrijpen, en vice versa.

Honderd verschillende antwoorden
Ik merk dat marketeers vanuit de organisatie geen handvatten hebben gekregen over hoe ze de AVG moeten interpreteren. De AVG is in werkgroepjes en torenkamertjes belegd, maar niet met de personen die dagelijks met deze materie moeten werken. Marketeers zijn hierdoor buiten de organisatie op zoek gegaan naar informatie. Maar stel je honderd mensen dezelfde vraag over privacywetgeving, dan krijg je evenzo veel verschillende antwoorden en interpretaties. Mijn advies was en is dan ook om bewustwordingssessies te organiseren vanuit een eigen interpretatie van de wet. Die moet leidend zijn, níet die van de concurrent. Je bent immers verantwoordelijk voor je eigen bedrijf, niet voor het bedrijf van een ander.

Saai, niet sexy
Veel marketeers hadden er ook geen zin in. Het is saai, het is niet sexy; het is een last. En vooral: er zijn veel dingen die niet mogen. Maar met zo’n instelling ben je geen vakman. Helemaal als je gespecialiseerd bent in e-mailmarketing of digital advertising moet je in elk geval weten hoe je zaken nu moet toetsen. Een betere instelling is: je moet weten wat je wél mag.

Maak beloftes ook waar
Wat mij verder opvalt is dat bedrijven hun privacy beleid hebben omschreven in een privacy statement en denken dat ze daarmee klaar zijn, maar wat ze regelmatig vergeten is die processen ook te borgen. Een treffend voorbeeld daarvan is het mailtje dat bedrijven massaal hebben verstuurd de afgelopen weken, met de mededeling dat zij hun beleid hebben aangepast. In dat beleid staan beloftes die nu waargemaakt moeten worden. In de nieuwe wetgeving staat bijvoorbeeld dat je als betrokkene recht hebt op inzage in je gegevens. Dit hebben bedrijven keurig overgenomen in hun privacy beleid. Maar wat doe je als een klant daadwerkelijk belt met het verzoek om gegevens in te zien, te verwijderen of te transporteren naar een andere leverancier? Zet je die gegevens op de mail naar die persoon? En hoe weet je of de persoon die je aan de lijn hebt, is wie hij zegt te zijn?

“Ga je voor wetgeving of commercieel belang? Dat is nu de kwestie.”

De dagelijkse praktijk
In de dagelijkse praktijk gaat het vaak zo: een marketeer heeft een acuut probleem. Als die marketeer met preferred suppliers werkt die geen tijd hebben, gaat hij op zoek naar een partij die zijn probleem wél kan oplossen. Daar zijn marketeers heel pragmatisch in. Wat die marketeer zich dan niet realiseert, is dat er tussen die andere partij en zijn organisatie (nog) geen verwerkersovereenkomst bestaat. Toch worden er bijvoorbeeld via e-mail persoonsgegevens gedeeld waar iets mee moet gebeuren. Dat is dan eigenlijk al een datalek. Hoewel de inkoopafdeling (bij grotere bedrijven) verantwoordelijk is voor de overeenkomsten tussen klanten en leveranciers, zoals een verwerkersovereenkomst, gebeurt dit allemaal uit het zicht van die afdeling. Omdat ‘inkoop’ pas om de hoek komt kijken bij de grotere, steady opdrachten.

Eenvoudige checklist
De marketeer moet daarom precies weten wat hij moet toetsen, voordat hij gegevens deelt met een partij die niet valt onder de preferred suppliers. Check bijvoorbeeld of dit een Nederlandse partij is, of er een protocol is voor het veilig verstrekken van gegevens (dus niet via de mail), en of die partij gegevens host binnen Europa. Dit soort vragen kun je in tien minuten met een eenvoudige checklist getackeld hebben. In een later stadium kun je dan zaken verder formeel maken, als er meer rust is.

Uitdagingen voor de toekomst
Waar ik nieuwsgierig naar ben, is hoe wij zullen reageren op opdrachten die niet AVG-compliant zijn. Stel, wij worden benaderd door een grote (bestaande) klant die zegt: ik heb hier een adressenbestand waarvan ik niet weet hoe ik eraan kom. Kun je aan al die adressen een mail sturen? Tegen zo’n opdracht zou je nee moeten zeggen. Maar wat als die klant dan naar de concurrent dreigt te gaan? Een dilemma waar veel marketeers, organisaties en leveranciers mee in hun maag zitten omdat dit hun bestaansrecht raakt.

Het gaat dus echt om wetgeving versus commerciële belangen. Dat was al zo, maar dat is nu nijpender geworden. Ik ben benieuwd of we dan echt allemaal zo stoer zijn om nee te zeggen. Ik hoop natuurlijk van wel.

Conclusie
Organisaties moeten zelf bepalen hoe zij de wet interpreteren en uitvoeren. Dan kun je hooguit twisten met de Autoriteit Persoonsgegevens of dit de juiste manier is. Als je geen privacy beleid hebt, sta je 1-0 achter. Heb je wel een proces ingericht, maar had het allemaal wat beter en strakker gekund, dan krijg je eerst een waarschuwing en heb je de kans het nog goed te maken voordat je daadwerkelijk moet gaan betalen. Maar helemaal niks geregeld hebben is killing.

Deel V is het einde van de serie AVG: wat moet je ermee? Heb je de overige interviews gemist? Je vindt ze hier.

Recommended Posts
Tripolis AVG/GDPR