Martin Groen

5 stappen om uw kanalen voor te bereiden op de GDPR

Door Martin Groen

decision treeGDPR heeft een grote impact op iedere organisatie die persoonlijke gegevens verwerkt. Er is veel buzz rondom GDPR als het gaat over het verwijderen van backups, controle vanuit IT en business perspectief, privacy statements, juridisch adviseurs etc. Hoewel de GDPR is bedoeld om mensen controle te geven over wat er met hun persoonlijke gegevens gebeurt, lijkt er weinig 'buzz' te bestaan rond de menselijke kant van deze wetgeving. De customer life cycle, de customer journeys, de manier waarop rechten kunnen worden uitgevoerd, hoe om te gaan met bezoekers die geen klanten zijn, voormalige klanten enz. 

Als user experience consultant is het mijn werk om de 'gebruiker' te vertegenwoordigen wanneer organisaties mij vragen om hun kanalen vorm te geven. Dat zijn vooral websites en apps. Bij mijn werkzaamheden ben ik tot de conclusie gekomen dat je je kanalen als organisatie kunt voorbereiden door vijf stappen te doorlopen. Er is natuurlijk meer te doen dan alleen de kanalen voor te bereiden, dus laten we de impact van de GDPR op je organisatie eerst opsplitsen: dit artikel gaat alleen over je voorbereidingen in de contacten met de buitenwereld, niet die rond je personeel. 

De GDPR vraagt voorbereidingen van je interne organisatie die het publiek niet waar zal nemen en voorbereidingen of maatregelen die het publiek wel te zien krijgt. Die laatste categorie kan opgesplitst tussen de 'user interface' en de 'system interface'. Om vanuit een gebruikersperspectief de kanalen voor te bereiden op de  GDPR kunnen de volgende stappen worden doorlopen.

Stap 1: Bereid notificaties voor in geval van een data lek

Laten we hopen dat dit bij jouw organisatie niet gebeurt. Maar als het wel gebeurt, kan je er maar beter op voorbereid zijn. Zorg dat je sjablonen klaar hebt staan om hectische werkzaamheden in een stressvolle situatie te vermijden. Je bent verplicht binnen de GDPR tijdslimieten te blijven bij het informeren van de personen wiens gegevens zijn gelekt. Wanneer het ontwikkelen van de communciatie meer tijd vraagt, heb je een probleem. Ontvang een sjabloon om je eigen notificatie te ontwerpen

Stap 2: Richt een data beschermings center in

De GDPR vereist dat EU burgers eenvoudig hun rechten kunnen uitoefenen. Ik raad dan ook aan om een plek in te richten waar op één online locatie alle toegang tot die rechten samen komt. Daarnaast moet een tweede punt beschikbaar zijn voor mensen die niet in staat zijn om die online faciliteiten te gebruiken (b.v. ouderen of mensen met een handicap). Voor je eigen efficiëntie is het verstandig om vanuit alle apps, e-mails en helpdesks naar dit centrum te verwijzen.  Ik adviseer een “Uw gegevens beschermen” link in je footer, wat je verantwoordelijkheid rond het beschermen van die data benadrukt.  Vraag een sjabloon aan om je eigen data protection center te ontwerpen.

Stap 3: Update “cookie” en privacy meldingen

Wanneer je een “cookie” bericht hebt dat er op is gericht om persoonlijke gegevens te vewerken, bijvoorbeeld voor tracking, advertenties of personalisatie, dan moet je manier waarop je toestemming vraagt heroverwegen. Een sjabloon hiervoor staat beschreven in mijn whitepaper. Je privacy statement moet waarschijnlijk ook opnieuw onder de loep genomen worden, zodat de bescherming van data hierin staat beschreven. Download de whitepaper met een sjabloon voor GDPR proof cookie meldingen.

Stap 4: Faciliteer GDPR rechten

De GDPR biedt EU burgers verschillende rechten om te bepalen wat er met hun persoonlijke data gebeurt. Deze rechten moet je faciliteren. Elk recht kan faciliteren op een schaal tussen twee uitersten.

scale selfservice or full service

How you can facilitate EU citizens using their data protection rights.

  • Zelfbediening - Dat betekent dat je iemand volledig in staat stelt om zijn rechten uit te oefenen in een self-service systeem. Je verlaagt de impact op de werkzaamheden van je personeel, maar het vraagt wel een technische inspanning om dit te realiseren. Deze manier van faciliteren is vooral aan te bevelen wanneer je verwacht dat grote aantallen mensen dit recht zullen uitoefenen.  Vraag een sjabloon aan om je eigen Zelfbediening systeem te ontwerpen.

  • Niet-zelfbediening - Dit betekent dat een persoon een opdracht kan opsturen om een recht uit te oefenen, bijvoorbeeld in de vorm van een webformulier. Een medewerker moet dit formulier dan verwerken en bevestigen dat deze is uitgevoerd. Deze manier van werken verhoogt de belasting van de medewerkers, maar kent een lage technische impact. Het is vooral aanbevolen voor kleine volumes. Vraag een sjabloon aan om je eigen Niet-zelfbedienings systeem te ontwerpen.

Stap 5: Maak je toestemming GDPR proof

Wanneer je persoonlijke data wilt verwerken, is een wettelijke basis vereist. Een door de persoon zelf gegeven GDPR proof toestemming is een van de manieren om die wettelijke basis te krijgen. Wanneer ik de wetgeving bestudeer, bestaan er maar liefst 18 eisen waar het verkrijgen van toestemming aan moet voldoen. Die eisen staan beschreven met voorbeelden in mijn  whitepaper “With your permission - How GDPR impacts consent from your audience”  en het bijbehorende praktische “GDPR Consent Workbook”. Het bevat een handige GDPR ConsentCreator, een formule om je eigen compliant toestemmingstekst samen te stellen. 

De GDPR verschuift het gedachtenpatroon van een organisatie naar een "eerst toestemming" kader. 

Een eerste reactie is wellicht om in paniek te raken over de omvang van dit onderwerp. Een andere manier om met de GDPR om te gaan is te denken vanuit de intentie: een transparante, toegankelijke en respectvolle manier van omgaan met persoonlijke gegevens. 

Ga naar whitepaper download pagina