GDPR: de 4 grootste mythes over dataverwerking in B2B-marketing

Een veelvoorkomende – en begrijpelijke – misvatting is dat de Algemene Verordening Gegevensbescherming (AVG, of GDPR in het Engels) alleen implicaties heeft voor bedrijven die zich op consumenten richten. Business-to-business-organisaties kunnen echter net zo goed te maken hebben met persoonsgegevens. In deel vier van deze blogserie halen we de vier grootste mythes over de verwerking van persoonsgegevens in B2B-marketing onderuit.

Dit artikel is geschreven in samenwerking met mijn collega Sanne Mulder, legal counsel bij DDMA.

Mythe 1: De AVG is niet van toepassing op B2B-marketing

In de berichtgeving over de AVG wordt veelvuldig gesproken over de rechten van burgers, consumenten, individuen en privépersonen. Het gebruik van deze termen doet vermoeden dat de nieuwe privacywet slechts van toepassing is op bedrijven die zich richten op consumenten, maar dat is niet het geval. De regels gelden voor álle bedrijven die persoonsgegevens verwerken – en dat kunnen dus ook B2B-organisaties zijn.

Medewerkers hebben namelijk ook specifieke persoonsgegevens. Zo is matthiasdebruyne@ddma.nl een persoonsgegeven, net als mijn directe telefoonnummer of mijn LinkedIn-profiel. Het zijn allemaal data waarmee een persoon geïdentificeerd kan worden. Een B2B-marketeer die deze persoonsgegevens verwerkt – en dat zullen de meesten doen – moet zich dan ook aan de AVG houden.

Mythe 2: voor het verwerken van persoonsgegevens moet je altijd toestemming vragen

Zoals in het tweede artikel van deze reeks is besproken, zijn er drie grondslagen voor het verwerken van persoonsgegevens. Eén daarvan is dat je iemands data mag gebruiken als het past binnen je gerechtvaardigd (marketing)belang en de impact op de privacy beperkt is.

Omdat de impact op iemands persoonlijk leven bij B2B-marketing over het algemeen minder groot is dan bij B2C, zal je vaker gebruik kunnen maken van deze grondslag. Dat betekent bijvoorbeeld dat je niet per se ondubbelzinnige toestemming nodig hebt om twee B2B-databases, met in de ene database contactgegevens en in de andere database functietitels, aan elkaar te koppelen

Let op: voor ZZP’ers kan dit anders zijn. De regels voor het verwerken van gegevens van een zzp’er zijn vergelijkbaar die van een consument.

Dit artikel is onderdeel van een reeks over de gevolgen en kansen van GDPR/AVG. Hier vind je alle artikelen in de reeks.

Mythe 3: ZZP’ers kunnen zich niet inschrijven in het Bel-me-niet Register

In tegenstelling tot BV’s en NV’s kunnen ZZP’ers zich wél inschrijven in het Bel-me-niet Register. Omdat zelfstandigen vaak hetzelfde telefoonnummer gebruiken voor werk als privé, heeft de wetgever besloten hen te beschermen. Zoals we hierboven al aangeven, wordt een ZZP’er in veel gevallen volgens de wet behandeld als een consument.

Mythe 4: de regels voor het sturen van e-mails gelden niet voor B2B

Net als bij B2C is het bij B2B-marketing verplicht om een opt-in te vragen voor commerciële, charitatieve en ideële e-mails. Oftewel: een whitepaper sturen omdat iemand die via e-mail heeft aangevraagd mag, maar die persoon zomaar maandelijks je nieuwsbrief toesturen niet. Dit is nu al het geval, maar wij merken aan de vragen die wij krijgen dat hier veel onduidelijkheid over bestaat.

Bovendien – en hier kan wat verwarring optreden – is opt-in voor e-mail niet geregeld via de privacywet, maar via de Telecommunicatiewet, die specifiek toeziet op privacy van elektronische communicatie. Ook deze Nederlandse wet wordt binnen afzienbare tijd vervangen door een Europese variant: de ePrivacy Verordening. Deze ePrivacy-wetgeving gaat over alle kanaalspecifieke regels, zoals cookies, e-mail, telemarketing, maar ook fingerprinting en targeting in bredere zin.

Er is alleen nog veel onduidelijkheid over wat deze verordening precies gaat inhouden, dus we gaan er hier nu niet te uitgebreid op in. Omdat het opt-in-onderdeel van de ePV in de bedrijfsvoering nauw verbonden is met de AVG, is het wel verstandig hier nu al mee aan de slag te gaan. Zeker als je toch al bezig bent om je organisatie AVG-ready te maken.

Kortom: de AVG geldt ook voor B2B-marketing

Ook B2B-organisaties die persoonsgegevens verwerken krijgen vanaf 25 mei 2018 te maken met de nieuwe Europese privacywet. Als marketeer in zo’n organisatie zullen en mogen begrippen als een verwerkersovereenkomst, privacy impact assessment en administratieplicht dan geen onbekende begrippen meer voor je zijn.

Is jouw organisatie klaar voor de AVG? En wil je weten of de vorderingen van jullie AVG-voorbereidingen vergelijkbaar zijn met andere organisaties? Doe dan de gratis DDMA AVG Status Check.