Op 25 mei 2018 treedt de nieuwe Europese privacywetgeving in werking, in Nederland bekend als de Algemene Verordening Gegevensbescherming (AVG). Een wetgeving die de nodige veranderingen gaat brengen voor alle organisaties die iets doen met gegevens van hun medewerkers, klanten of in het geval van de sport, fans. We hebben de belangrijkste wijzigingen voor de laatste groep op een rij gezet en geven je daarnaast een aantal praktische adviezen mee.
Wat houdt de AVG nu precies in?
De nieuwe regelgeving brengt alle privacy gerelateerde wetgeving bij elkaar onder een noemer. Nu zit de wetgeving nog verspreid over Wet Bescherming Persoonsgegevens, de Telecomwet (voor alles gerelateerd aan e-mail) en de code van de branchevereniging voor data driven marketing. Hoewel de laatste geen wet is, beschrijven de codes wel best practices voor e-mailmarketing en andere vormen van direct marketing. Uit deze best practices, de bestaande wetgeving én vanuit het advies van verschillende betrokken partijen uit Europa is uiteindelijk de AVG ontstaan, de privacywetgeving voor de 21e eeuw.
Video: AVG uitgelegd
De zes belangrijkste wijzigingen
En deze wet gaat het nodige veranderen. Hieronder volgt een aantal voorbeelden van goede direct marketing best practises die nu vastgelegd worden in de nieuwe wetgeving. We hebben niet alle wijzigingen meegenomen, maar dit zijn naar ons idee de wijzigingen die direct van toepassing zijn op (fan)marketing gerelateerde functies of activiteiten:
1. Fans moeten expliciet (en met een actieve handeling) toestemming geven voor het gebruiken en opslaan van hun persoonsgegevens (opt-in) en mensen moeten zich kunnen afmelden voor het ontvangen van e-mails (opt-out).
Dat is op zich niet wezenlijk anders dan de huidige situatie, maar voor de volledigheid, onder meer vooraf aangevinkte 'checkboxes' zijn niet meer toegestaan. En laten we eerlijk zijn, waarom zou je als marketeer willen communiceren met klanten die aangegeven hebben niet geïnteresseerd te zijn?
2. Fans hebben het recht om vergeten te worden.
Dat betekent tegenstrijdig genoeg dat je zogenaamde suppressielijsten bij moet gaan houden van mensen die geen communicatie meer wensen te ontvangen. Dit om te voorkomen dat mensen, per abuis, weer ingevoerd worden in het systeem.
3. Inactieve fans moeten, na een redelijke termijn, verwijderd worden uit het bestand.
Hoewel het relatief complex is inactiviteit te meten, heeft dit ook weer voordelen voor de direct marketeer. Een database met heel veel inactieve gebruikers geeft tenslotte een geflatteerd beeld van de werkelijkheid. Tevens is inactiviteit voor voetbalclubs behoorlijk subjectief, je bent immers in veel gevallen een fan voor het leven.
4. De fans hebben recht om de vastgelegde data op te vragen, in te zien en te ontvangen en wel in zo’n formaat dat de fan het kan hergebruiken.
Dit is een punt waarbij datamanagement loont, een sportorganisatie beheert natuurlijk op vrij veel plekken data van hun fans. Een vraag van een fan om de data in te mogen zien zal dan ook een tijdrovende klus kunnen worden, met name omdat de data uit verschillende bronnen moeten worden gehaald.
5. Toestemming van ouders is nodig om jongere fans onder de 16 jaar te benaderen.
Dit is wellicht de meest lastige wijziging, want hoe registreer je de toestemming van de ouders en hoe zorg je voor hernieuwde toestemming als de fan 16 jaar is geworden? Dat kan op verschillende manieren, maar allemaal vereisen ze werk vanuit de club door op het juiste moment de juiste vraag te stellen. Maar automatiseren kan ook, zoals bijvoorbeeld bij de clubs die gebruik maken van de Single Sign On oplossing van Sports Alliance. Als een fan na zijn of haar 16e verjaardag inlogt wordt diegene direct gevraagd om de toestemming aan te passen.
6. De wet schrijft ondubbelzinnigheid voor.
Oftewel, wees direct, open en eerlijk over wat er met de data van een fan gebeurt. Een privacy statement zal altijd een juridische basis moeten hebben, maar het hoeft geen onbegrijpelijke tekst te worden. In veel gevallen zijn de teksten nu nog moeilijk te doorgronden. Dat hoeft niet altijd zo te zijn, dat bewijst althans de commerciële tv-zender Channel4 met een 'Viewer promise'.
Is dat alles? Nee, belangrijke componenten binnen de nieuwe wetgeving zijn de bestuurlijke aansprakelijkheid, ketenaansprakelijkheid en de verhoogde boetes. Of die boetes ook gegeven gaan worden bij overtredingen hangt natuurlijk af van onder andere de capaciteit bij de Autoriteit Persoonsgegevens, het orgaan wat gaat toezien op naleving van de nieuwe wetgeving en uiteraard de fans zelf.
Zoals gezegd bestaat de wet uit meer dan alleen bovenstaande wijzigingen, kijk voor de rest op de officiële website van de Autoriteit Persoonsgegevens.
7 Adviezen voor sportorganisaties
1. Wees open, eerlijk en duidelijk wat je met de data van de fans wilt gaan doen! Het zijn allereerst fans, geen klanten. Dus zorg dat alles begrijpelijk is en ondubbelzinnig zodat de fans weten wat er gebeurt met hun gegevens.
2. Data worden steeds waardevoller daarom is goed datamanagement belangrijk. Datamanagement bestaat, naast beveiliging van data, onder meer uit beheer van opt-ins, bijhouden van suppressielijsten en het 'meten' van activiteit van een record. De afdeling IT kan helpen bij databeveiliging, de rest van deze datamanagementtaken is werk voor specialisten, in veel gevallen niet voor een afdeling IT.
3. De waarde van een database zit hem niet in de omvang, maar in de kwaliteit van de database. Praat met sponsors over relevante doelgroepen voor hun diensten, niet over aantallen e-mailadressen. 100.000 e-mailadressen klinkt als heel veel maar als je scheermessen verkoopt zijn alleen mannen ouder dan 15 een relevante doelgroep. Dit vraagt een wezenlijk andere aanpak en manier van communiceren.
4. Elke geregistreerde actie van een fan maakt zijn record weer langer actief (bijv. 2 jaar). Integreer daarom zoveel als mogelijk touchpoints zodat de kans op het vastleggen van een actie heel hoog wordt.
5. Werk volgens het 'privacy by design' principe, en stel privacy centraal bij de ontwikkeling van een nieuwe website of app. Denk daarbij aan het centraal beheren van profielinformatie, opt-ins etc.
6. Breng alle systemen van de club die persoonsgegevens bevatten in kaart. Bekijk per systeem waar de data fysiek worden beheerd. Als de data niet op een locatie van de club worden beheerd, sluit dan met deze leveranciers een bewerkingsovereenkomst af. Dat is belangrijk omdat er bij eventuele lekken gekeken zal worden welke maatregelen een club getroffen heeft om de data te beschermen. Een bewerkingsovereenkomst is een goede beschermingsmaatregel.
7. Maak gebruik van model bewerkingsovereenkomsten en laat die controleren door een eigen jurist, dat bespaart tijd en geld. Modelovereenkomsten zijn verkrijgbaar via onder andere brancheorganisaties.
