Veel bedrijven keken met vrees naar de handhaving van de Algemene Verordening Gegevensbescherming (AVG). Het zou allerlei drempels opwerpen voor direct marketing en overtredingen zouden worden beboet met enorme boetes. Zijn na negen maanden de doemscenario’s uitgekomen of is het business as usual?
Het uitsturen van een factuur, een nieuwsbrief sturen en nabellen of direct marketing zou na 25 mei 2018 totaal veranderen. De handhaving van de privacywet zouden de gegevens van EU-burgers beter beschermen, maar zou het bedrijven een stuk lastiger maken. De AVG-stress werd verder aangewakkerd door de aangekondigde boetes tot wel 20 miljoen euro of 4 procent van de wereldwijde omzet.
Privacygevoelige gegevens, niet versleuteld: 20.000 euro boete
Zijn er grote boetes uitgedeeld? Tot nu toe werden 59.000 lekken gemeld. Slechts 91 kregen een boete waaronder het Duitse social platform Knuddels. Het flirtportal had 800 duizend e-mailadressen en bijna 2 miljoen gebruikersnamen gelekt. Bovendien had men wachtwoorden als platte tekst opgeslagen. Omdat ze niet de juiste technische maatregelen hadden getroffen, kregen ze een boete van 20.000 euro. Het versleutelen van deze gegevens had ze deze boete en de bijhorende imagoschade bespaard.
Niet eerlijk over datalekken: 600.000 euro boete
Uber maakte het nog bonter en kreeg in november 2018 een boete van 600.000 euro opgelegd van de Nederlandse Autoriteit Persoonsgegevens. Het taxiplatform had een groot datalek van 57 miljoen gebruikers, waaronder 174.000 Nederlanders niet gemeld. Bovendien betaalde Uber hackers om het datalek met namen, e-mailadressen en telefoonnummers stil te houden.
Niet transparant naar gebruikers: 50 miljoen boete
De hoogste boete tot nu toe was voor Google. De zoekgigant moest 50 miljoen aan de Franse toezichthouder CNIL overmaken omdat het de privacy-voorwaarden niet toegankelijk had gemaakt. Daarnaast moesten gebruikers te veel handelingen uitvoeren om hun gegevens in te zien en haalde Google te veel informatie op zonder de uitdrukkelijke toestemming van burgers.
Wat is er veranderd in de praktijk?
Deze boetes maakten maken duidelijk wat organisaties wél moeten doen om AVG-compliant te werken. Is er voor marketeers en dataverwerkers veel veranderd? Niet heel veel, er was al uitdrukkelijk toestemming nodig om mensen te mailen. Opt-in e-mailbestanden kun je gewoon huren en inzetten in campagnes. Databases met persoonsgegevens die voor de ingang van de AVG zijn samengesteld, mogen overigens zonder problemen gebruikt en verhandeld worden.
Toch business as usual?!
Ook telemarketing-kantoren hoeven de deuren niet te sluiten na de invoering van de AVG. Staat een persoon niet in het Bel-me-niet Register, dan is deze met een gerust hart te bellen. Rechtspersonen als BV’s mogen altijd zonder toestemming gebeld worden. Er komt wel een verbod op ongevraagde telefonische verkoop naar consumenten. Deze nieuwe regel gaat gelden zodra de ePrivacy verordening van kracht gaat. Er is niet heel veel veranderd, al is het belangrijk dataprivacy goed te regelen in de hele organisatie. Van de IT-afdeling tot marketing en administratie moet met elkaar aan tafel om te zorgen dat alle processen en procedures op orde zijn.
Altijd AVG-compliant campagnes
De redenen van de uitgedeelde boetes maken meteen duidelijk wat organisaties wél moeten doen om AVG-compliant te werken. Voor de rest is er niet veel veranderd. Desondanks kent de AVG-wetgeving toch enkele schemerzones. Natuurlijk heb je privacy goed geborgd in je organisatie en dat wil je graag zo houden. BoldData garandeert dat jouw (internationale) marketingcampagnes altijd voldoen aan de nieuwste wet- en regelgeving. Advies of een database voor jouw direct marketing campagne nodig? Neem dan contact op met Pieter Jansen.
