Ook met het oog op de privacyregels houdt een owned audience belangrijke troeven in. Omdat de leden ervan hun contactgegevens vrijwillig met je hebben gedeeld, in ruil voor (en in afwachting van nieuwe) relevante content, is een eerste essentiële toetssteen van de GDPR namelijk automatisch ingelost.
Toch is dat niet het enige criterium van consent. Zo zijn er specifieke regels rond die zogenaamde opt-in en de bijhorende vraag om transparantie. En word je los van die geïnformeerde toestemming geacht een gedegen databeheer op poten te zetten, waarbij de ethische afwegingen soms verder reiken dan de wettelijke.
Toestemming
Binnen het raamwerk van de Algemene Verordening Gegevensbescherming (AVG) of de General Data Protection Regulation (GDPR) en dan specifiek voor nieuwsbriefdatabases (of databases met vergelijkbare doelstellingen) is opt-in een sleutelwoord. Mensen moeten zich eigenhandig inschrijven voor je communicatie; hen ongevraagd toevoegen aan de database kan niet.
Die inschrijving moet bovendien actief en expliciet gebeuren, via een bewuste en bevestigende actie, zoals het zelf aanduiden van een checkbox. Een reeds aangevinkt vakje kan niet door de beugel.
De GDPR is overigens niet het enige regelgevende kader dat deze regels voorschrijft, benadrukt Bastiaan Bruyndonckx, partner bij Lydian en specialist binnen de rechtsdomeinen Governance & Data Protection en Information & Communication Technology. “Het Wetboek Economisch Recht en het Koninklijk Besluit van 4 april 2003 vullen de GDPR aan en stellen duidelijk dat reclame via elektronische post, digitale marketing via e-mail of andere kanalen enkel mogelijk is na consent. Die wet omvat wel een uitzondering voor de bestaande klanten, maar ook die is gebonden aan een hele reeks strikte voorwaarden.” En die sluiten nauw aan bij wat de GDPR vooropstelt.
Geïnformeerde toestemming
Bij de expliciete toestemming in de privacyregelgeving hoort ook duidelijkheid over de doeleinden van de dataverzameling, en bijgevolg een transparantie- en informatieplicht. Helder weergeven welke gegevens je hoe, hoe lang en om welke redenen opslaat, is het devies. Dat kan via een privacyverklaring, waarvan je de link meeneemt op elk inschrijvingsformulier.
Vervolgens is het zaak om al die beloften effectief na te komen, zonder de grenzen van de toestemming op te zoeken. Wil je de data na verloop van tijd ook op een andere manier inzetten? Vraag dan opnieuw toestemming.
Intrekbare geïnformeerde toestemming
De rechten die de gebruiker kan uitoefenen, stoppen niet bij het verlenen van consent. Zo hebben mensen steeds het recht om hun gegevens in te kijken en waar gewenst aan te passen, en moeten ze zich op elk moment kunnen uitschrijven. Bastiaan: “Het recht om verzet aan te tekenen tegen het verder ontvangen van elektronische reclame is eveneens expliciet opgenomen in de GDPR. Net als het recht om je toestemming in te trekken, zonder die beslissing te moeten motiveren.”
Een opt-out-link of unsubscribe-knop voorzien, is dus noodzakelijk. Maar ook daar gaan bepaalde vereisten mee gepaard, met eenvoud als voornaamste klemtoon: het uitschrijven moet minstens even vlot verlopen als het inschrijven. “Consent geven via een simpel online formulier maar nadien 10 schermen en 37 vragen moeten doorlopen om je uit te schrijven, daar kan zowel de klant als de Gegevensbeschermingsautoriteit niet mee lachen.”
Waarschuwing of boete?
Dat de Gegevensbeschermingsautoriteit (GBA) hierop toekijkt, betekent dat er ook een sanctiebeleid rond bestaat. “De GBA stelt zich eerst de vraag of het wel om reclame gaat, maar dat is doorgaans het geval. De interpretatie van reclame is zeer extensief.” En dus vallen ook de meeste vormen van content marketing onder de definitie.
“Wanneer je de uitspraken van de Geschillenkamer doorneemt, zie je dat klachten niet uitzonderlijk zijn – en dat de GBA best streng is.” Zo komt het bijvoorbeeld vrij vaak voor dat mensen zich uitschrijven maar toch nog e-mails of WhatsApp-berichten blijven ontvangen. “Qua sancties speelt de context wel een belangrijke rol: een kleine kmo of zelfstandige zal eerder een waarschuwing en minder gauw een stevige boete krijgen dan een groot, gevestigd merk.”
Segmentatie- en beveiligingsregels
Een database hoeft zich niet te beperken tot contactgegevens of basic persoonsgegevens. Meer nog: wie op een waardevolle segmentatie mikt – wat cruciaal is binnen een op relevantie gericht vakgebied als content marketing – heeft méér (types) data nodig. “En ook daar besteedt de GDPR aandacht aan, met specifieke regels rond profilering”, weet Bastiaan. “Die neem je best even door.”
Hetzelfde geldt voor het op een correcte manier omspringen met de verzamelde data. “Zo hanteert de GDPR via artikel 32 het algemene principe dat degene die verantwoordelijk is voor de verwerking van de gegevens, ook de beveiliging van de gegevens moet garanderen.”
De verwachte graad van beveiliging hangt onder meer af van de gevoeligheid van de gegevens. “Het spreekt vanzelf dat je voorzichtiger omgaat met medische data. Maar ook financiële data vragen aandacht. Hoewel die niet op het GDPR-lijstje van gevoelige gegevens staan, beschouwen de meeste gegevensbeschermingsautoriteiten, waaronder de Belgische, ze wel als behoorlijk gevoelig.”
Ethisch databeheer
Dat de GBA in bepaalde (ernstige) situaties verwacht dat merken alle betrokkenen inlichten wanneer er een datalek optreedt, is niet de enige reden waarom zulke incidenten te vermijden zijn. “Het is bovenal een kwestie van reputatie”, stipt Bastiaan aan. “Als je aan je klanten moet melden dat hun persoonsgegevens door jouw schuld openbaar zijn gemaakt, keldert hun vertrouwen in jouw producten of diensten én content.”
Daarin schuilt ook de moraal van dit verhaal: volg de wetgevende kaders nauwgezet op, maar durf ook een stapje verder te gaan. Hoe ethischer je omgang met data, hoe groter het consumentenvertrouwen.
“Het is absoluut mogelijk om extra accenten te leggen. Zo kan je het publiek via een online self service-tool bijkomende inspraak en dus rechten geven in de verwerking van de data, vrijwillig een Data Protection Officer aanstellen of een uitgebreid privacycharter uitwerken. Merken die hierin een voortrekkersrol opnemen, worden ongetwijfeld beloond.”