D-Day voor GDPR: welk risico lopen bedrijven écht?
Vandaag is D-Day als het gaat om de Europese privacywet, of beter gezegd: GDPR-Day. In de afgelopen dagen zijn we allemaal murw geslagen door een schier eindeloze stroom van GDPR-mailtjes. Veel bedrijven vragen zich ondertussen vertwijfeld af of zij niet ook zulke mails zouden moeten versturen. Maar vooral: komen er direct torenhoge boetes voor bedrijven die zich niet precies houden aan de Algemene Verordening Gegevensbescherming (AVG)? Marketingfacts klikte door op de waarschuwingsmails en vroeg een paar experts om AVG-advies.
“Nee hè, niet weer zo’n GDPR-mailtje!” Sommige bedrijven (zoals Contenture) proberen met een begripvol grapje het ijs te breken in de mail die ze ons noodgedwongen door Europa moeten sturen. Walkie Talkie uit België maakt er zelfs een Pokémon-spelletje van: “Another GDPR mail! Collect them all!”
“Dit is waarschijnlijk je duizendste mailtje over de nieuwe privacywet AVG”
Andere bedrijven slaan juist weer een bloedserieuze toon aan, want met privacy en klantdata valt niet te spotten. “Uw privacy is belangrijk voor ons”, hoor je een strenge bedrijfsjurist van FD Mediagroep denken als je de onvermijdelijke mail van dit mediabedrijf openklikt. Soms slaan organisaties zelfs een beetje door en gaan ze je meteen opjagen. Zo schrijft Entertainment One: “Zou u zo spoedig mogelijk uw gegevens willen controleren en/of aanvullen?” Ja, ho eens even! Het is niet mijn probleem dat jij je aan een nieuwe wet moet houden. Hoe arbeidsintensief en onpraktisch hij ook moge zijn.
Slimme GDPR-mailtjes
Goed, voor we de experts aan het woord laten over de rampspoed die ons vanaf vandaag boven het hoofd hangt, pikt Marketingfacts eerst even een paar krenten uit de toch overwegend zuur smakende pap van GDPR-mails. Hoe kun je die saaie boodschap over toestemming vragen zodanig verpakken dat die mailtjes nog enigszins te pruimen zijn – of zelfs hoogst vermakelijk? Neem een voorbeeld aan de onderstaande AVG-teksten.
- House of Rebels: “Ja hoor, nóg een mail over de nieuwe ontwikkelingen rondom de AVG. Dit is waarschijnlijk al de twintigste mail die je hierover hebt gekregen (als het niet meer is), dus we houden het kort!”
- Zuid Creatives: “Dit is waarschijnlijk je duizendste mailtje over de nieuwe privacywet AVG. Ook wij hebben jouw toestemming nodig om je af en toe een mailtje te sturen over bijvoorbeeld het feit dat we het gloednieuwe magazine van Bruynzeel Keukens hebben gemaakt en drie kersverse Zuiderlingen hebben aangenomen. Dat was-ie. Bedankt voor je tijd. Fijne dag!”
- The Others: “Zoals je ongetwijfeld weet door de 98.676 mails die je al gekregen hebt over AVG / GDPR zijn jouw gegevens van jou. Ook wij vinden dat belangrijk want Mark Zuckerberg moet zich aan de wet houden, en wij dus ook.”
Twintig, duizend of bijna honderdduizend… er bestaan overtreffende trappen van overdrijving, maar in essentie is deze grappende, relativerende toon heel prettig. Begrip tonen voor de overdaad aan dit soort mailtjes werkt. Geef toe: de kans dat je een dergelijke mail daadwerkelijk léést is groter dan een fijngeslepen juristenmail. Ook al blijft deze tsunami aan AVG-mails bloedirritant.
Goed, maar dat kan natuurlijk nog veel gevatter en scherper. De volgende zakelijke mails sprongen er voor ons echt uit.
Grappig zijn is het beroep van Gregory Shapiro, stand-up comedian en vooral bekend als de Fake Donald Trump in de ‘Netherlands Second’-viral van VPRO-komiek Arjen Lubach (toen die nog op Facebook zat). Hij mailde deze week:
“ANOTHER GDPR request? Thanks, EU! My name is Greg Shapiro, and I’m a spammer. Just click through to keep getting a joke a week in your inbox. So I can keep trying to make a ‘Daily Show’ for the EU. Unless this GDPR BS turns into too big a WTF, then I’m joining anti-EU Viktor Orban. PLEASE CLICK THRU to type in your email by May 25, 2018. (today). And if you don’t want me in your inbox, click Unsubscribe at any time.”
Dan hier nog een paar andere slimme copywriters:
- Beer in a Box: “Compleet nieuwe site, privacy, update, data en bier! De Beer heeft zo hard op z’n nieuwe Privacy Statement gepoetst, dat ie na lang werken opeens een compleet nieuwe site had! Hij vindt hem zelf nogal mooi, maar laat die beoordeling liever over aan jou. Heb je al gekeken? En dan over de GrowlDPR (in de volksmond ook wel GDPR, of AVG, of nieuwe privacywet). Die schrijft voor dat je je nieuwe privacy statement moet delen als ‘ie verandert. Nou, bij deze! (je toestemming om je te mailen had de Beer al.) Je kunt je altijd afmelden van de e-mails van de Beer als die je geen waarde bieden. Dat kan onderaan deze mail. De Beer dankt je voor je spaarzame tijd. Gaat heen, bekijkt websites en bestelt bier!”
- Jan Willem Alphenaar, spreker en trendwatcher: “Word jij ook gek van die AVG/GDPR-mailtjes? Hier nog één! Als je mijn nieuwsbrief niet meer wilt ontvangen, dan kun je je direct uitschrijven. De enige informatie die ik in dit systeem over jou heb opgeslagen is een e-mailadres. Verder niets. Waarom blijven? Mijn volgende nieuwsbrief wordt echter wel interessant. Die gaat namelijk ook een aantal leuke, onbekende, features van LinkedIn behandelen. Dus misschien een reden om je niet uit te schrijven. Oftewel, je hoeft niets te doen als je dit wilt weten. Waarom weggaan? Als je al te veel mail krijgt, mij als persoon niet aardig vindt of als je helemaal geen interesse in LinkedIn hebt, dan zou ik me zo snel mogelijk uitschrijven.”
- Bark Europe (iets met boten, maar dat blijkt wel uit de mail): “Blijf je ook na 25 mei aan boord? Wij houden je graag aan boord voor oceaan updates en persuitnodigingen! Omdat per 25 mei AVG van kracht wordt gooien we een lijntje uit en vragen we jou om toestemming om op de hoogte te worden gehouden via e-mail. Als je niet reageert ontvang je geen updates meer. Wij gooien een lijntje uit, klik jij op akkoord?”
- Massive Music: “So, don’t know if you heard of it before but, apparently, there is this new daunting law called GDPR that is all about greater security and control of your personal data. In all honesty, our first reaction was – Oh, it probably stands for Great Dancing People, Reallybut hey, maybe it’s just us. All this to say that you’re receiving our newsletters because either you decided to turn up at one of our events or visited our website and signed up from there. Or maybe it was that time we had a lovely conversation and you gave us permission to use the email address on your business card whilst spilling your Piña Colada on our t-shirt. We would like to reassure you that the only data we collected from you is your name, email and company’s name. So if you’re cool we’re cool and we will keep on keeping it cool.”
En je kunt natuurlijk meteen zaken proberen te zoen, zoals Referro B2B Marketing:
“Heb jij al last van slapeloze nachten voor wat betreft de AVG? Het is 25 mei 2018 en dat betekent dat de nieuwe Europese wet rondom gegevensverwerking en privacy in werking treedt. De AVG, ook wel GDPR genoemd, heeft een behoorlijke impact op je bedrijfsvoering. Daar zijn de meesten intussen wel van op de hoogte. Maar weet jij precies op welke onderdelen je als B2B-organisatie moet concentreren? En wanneer je in B2B marketing compliant aan de AVG bent? Wij helpen je graag door de bomen het bos te zien. In deze nieuwsbrief lees je wat de AVG specifiek voor de B2B-marketing betekent… En als je tot de 40% hoort die al wel compliant is, heb je in ieder geval een handig controlemiddel om te zien of je echt niks vergeten bent.”
Wat vinden de GDPR-experts?
Tot zo ver de crème de la spam die je de afgelopen dagen in je inbox ontving. De vraag is natuurlijk: what’s next? Loop je als bedrijf vanaf vandaag serieus risico op waarschuwingen of zelfs boetes?
“Het grote verschil met de tijd voor de komst van de AVG is dat er vanaf 25 mei toezicht op gehouden gaat worden”, zegt Jasmijn Hemersma, e-mailmarketeer bij Adwise. “Er is al een wetgeving voor e-mailmarketing. Voor opt-ins geldt dat die nu óók al op de juiste manier moeten worden verzameld. Het belangrijkste is dus dat je vanaf nu kan aantonen dat je de opt-ins correct hebt verzameld. Dus als je je altijd al aan de regels hebt gehouden, veranderd er voor dit onderdeel eigenlijk niets voor je.”
“Doordat minder mensen cookies zullen accepteren, wordt de omvang van retargeting en interest-based segmentatie kleiner”
Wolter Tjeenk Willink, directeur van Traffic Builders: “Na vrijdag gaat er naar mijn verwachting op korte termijn weinig veranderen met betrekking tot handhaving, simpelweg omdat de toezichthouder er nog onvoldoende op is ingericht. Wel verwacht ik als gevolg van de mogelijke megaboetes bij overtreding veel minder ongevraagde mailings. Een ander heel zichtbare wijziging zal zijn dat cookiewalls verdwijnen en er meer te kiezen valt voor internetgebruikers met betrekking tot hun privacy- en cookie-instellingen.”
Boetes verwacht Tjeenk Willink pas op z’n vroegst in het derde kwartaal van 2018. “Een van de ontwikkelingen die ik ook wel verwacht is dat op middellange termijn de tarieven van met name video- en display-advertising zullen stijgen, als gevolg van een krimpende hoeveelheid inventory. Doordat minder mensen marketing-cookies zullen accepteren, wordt de omvang van bijvoorbeeld retargeting en interest-based segmentatiegroepen kleiner, terwijl het advertentieaanbod in elk geval in eerste instantie gelijk zal blijven. Wellicht dat dit op langere termijn tot gevolg heeft dat sommige adverteerders budgetten gaan heralloceren, of dat tarieven door marktwerking uiteindelijk weer op het oude niveau terugvallen. Hoe dan ook verwacht ik wel dat de AVG een afnemende groei van de digital ad spend tot gevolg gaat hebben.”
Qua concrete effecten signaleert Traffic Builders de volgende zaken:
- Nieuwe bezoekers: De websitebezoeker wordt bewuster van het feit hoe en wanneer hij digitale gegevens deelt. Het nadeel met hiervoor is dat dit enigszins invloed zal hebben op digital advertising, omdat de marketingcookies nu standaard uitgevinkt staan. Wanneer de bezoeker wel toestemming verleent, laat je aan de andere kant als organisatie wel weer zien hoe er met de privacygegevens omgegaan wordt. Dat moet deze nieuwe bezoeker vertrouwen geven.
- Huidige relaties: Je stelt je CRM op orde. Relaties die wél toestemming verlenen zijn je ambassadeurs. Deze privacy-wetgeving is daarom geen bedreiging, maar juist een kans om het nóg beter te doen.
“We zien dat er nu vooral, los van boetes of handhaving, veel rondom privacy in het nieuws is geweest”, zegt Daan Loohuis, senior digital strategist bij Adwise. “Een gemiddelde bezoeker is zich iets meer bewust van privacy en er zullen fanatiekelingen zijn die rechten willen uitoefenen. Hier moet je als organisatie rekening mee houden, want dat kost tijd en werk, zeker als je nog achter loopt met de processen die horen bij het recht van vergetelheid of het aantonen van toestemming waar nodig. Een goed beleid en heldere, transparante toestemming die grotere organisaties voeren zal mogelijk ook een uitstraling geven die kwaliteit, professionaliteit en betrouwbaarheid overbrengt. In die organisaties worden marketeers ook meer uitgedaagd om helderder te zijn over het delen van persoonsgegevens en de ‘what’s in it for me’ voor de eindgebruiker. Dat kan even pijn doen, maar uiteindelijk is dit een win/win-situatie met minder volumes maar betere kwaliteit en doelmatigheid. Ook zullen tools en processen van bijvoorbeeld SAAS-providers steeds meer AVG-proof worden waardoor je als marketeer makkelijker in je processen kan voldoen aan de regelgeving, waar veel leveranciers nog achter lopen met de GDPR-roadmap op dit moment.”
“Het kan goed zijn dat de Duitse toezichthouder veel harder optreedt”
Wat de boetes betreft verwacht Loohuis een gericht beleid: “De Autoriteit Persoonsgegevens heeft herhaaldelijk aangegeven dat het vooral zaken oppakt die om schaalgrootte gaan of te maken hebben met gevoelige gegevens. Voor de meeste marketingorganisaties zullen de boetes waarschijnlijk niet in de miljoenen lopen. Dit zijn de bovengrenzen die worden aangehouden bij extreme uitwassen of tegen de techreuzen als Google en Facebook. In de meeste andere gevallen zal het vaak eerst bij waarschuwingen blijven.”
Maar de AVG is groter dan Nederland, waarschuwt Loohuis. “Het kan goed zijn dat bijvoorbeeld de Duitse toezichthouder veel harder optreedt en er minder tot geen waarschuwingen op nahoudt. Het is interessant een keer in Groot-Brittannië een kijkje te nemen hoe ICO omgaat met boetes op dit moment. Daar was al reeds geldende (strengere) nationale wetgeving. Ze zijn erg transparant over handhaving, de hoogte van de boetes en hoe de ernst van het vergrijp wordt geïnterpreteerd.”