Hoe doet de GDPR straks haar intrede? Luidruchtig, met opdringerige pop-ups en dwingende opt-ins? Of geruisloos, met wat extra alinea’s in een goed verborgen privacystatement? Als bedrijven zich 100% aan de nieuwe Europese privacywet gaan houden, ziet je online surfervaring er na 25 mei zo uit.
1. Privacystatements zijn ineens leesbaar
Je maakt een account aan bij een webshop en bent benieuwd hoe ze met jouw gegevens omgaan. Je opent het privacystatement, onderdrukt alvast een gaap en wat blijkt: daar staat heel fris en helder uitgelegd wat het bedrijf met jouw gegevens doet!
Op de website van IKEA kun je voor elke service bekijken welke gegevens
gebruikt worden en met welk doel. Erg gebruiksvriendelijk.
2. Je wordt voor élk wissewasje om toestemming gevraagd
Voor veel gegevens die niet strikt noodzakelijk zijn om hun diensten te verlenen, hebben bedrijven jouw expliciete, ondubbelzinnige toestemming nodig. En dan niet één ‘ja’ voor alle soorten datagebruik, nee, ze moeten voor elk type gebruik jouw toestemming vragen.
Er zijn 3 momenten waarop je dat verzoek om toestemming kunt verwachten:
• De eerste keer dat je op een website of app komt. De informatie wordt dan misschien met de cookiemelding gecombineerd. Sommige bedrijven zullen een overzicht van alle gegevensverwerking tonen, met veldjes die je naar hartenlust kunt aanvinken.
• Het moment dat je gegevens achterlaat. Bijvoorbeeld bij het invullen je e-mailadres voor een bestelling. Daarop kan dan de vraag volgen: ‘Mogen we jouw e-mailadres voortaan ook gebruiken voor onze wekelijkse nieuwsbrief?’
• Het moment dat niet jij maar het bedrijf zelf een bepaalde handeling wil uitvoeren. Bijvoorbeeld gepersonaliseerde reclame tonen. Op de plek van de banner of het reclameblok kan dan iets staan als: ‘Wij willen hier een aanbieding tonen die echt bij jou past. We zouden daarvoor graag informatie over jouw locatie en klikgedrag gebruiken. Vind je dat goed?’
3. Je gaat opt-innen (twee keer zelfs)
Als je nu online iets bestelt, downloadt of aanvraagt, moet je meestal zelf het veldje ‘ik ga akkoord met de algemene voorwaarden’ aanklikken, terwijl het veld daaronder met ‘ik blijf graag op de hoogte van aanbiedingen en nieuws’ al is aangevinkt.
Na 25 mei gaat dat anders. De GDPR vereist een ondubbelzinnige toestemming voor veel datagebruik. Veldjes zijn dus niet meer standaard aangevinkt, maar zijn in principe leeg. Pas als je het vakje zelf aanvinkt (opt-in), geef je toestemming, en bij voorkeur bevestig je die toestemming daarna nog (een dubbele opt-in).
4. Minder verplichte velden
Nu word je nog regelmatig verplicht informatie op te geven die niet ter zake doet. Bij de kassa: ‘Wat is je postcode?’ Bij een webinar-inschrijving: ‘Wat is je telefoonnummer?’
Ook dit verandert na 25 mei. Bedrijven mogen je straks alleen nog verplichten informatie te geven die op dat moment écht nodig is. Het aantal verplichte velden in formulieren zal dus drastisch dalen. Als je die niet-noodzakelijke gegevens niet wilt afstaan, mag een bedrijf zijn diensten niet weigeren. Je mag het webinar dus gewoon zien, ook zonder telefoonnummer.
5. Je blijft eigenaar van je gegevens
Ook al heb je volmondig toestemming gegeven voor het gebruik van je data, je hebt er nog steeds van alles te zeggen: je mag het inzien, wijzigen, verwijderen en doorsturen. Bedrijven hebben je data als het ware te leen en niet in bezit.
Wat dit betekent, zal variëren. Facebook biedt bijvoorbeeld een optie om je complete dossier in te zien en te downloaden. Andere bedrijven tonen informatie in hun customer portals of vragen je om te mailen met je verzoek. Grote bedrijven zullen dit soort processen automatiseren, terwijl kleinere bedrijven – zeker in het begin – verzoeken waarschijnlijk handmatig verwerken.
Look who’s laughing now
Als bedrijven straks jouw toestemming nodig hebben voor het gebruik van je gegevens, moeten ze al hun charmes in de strijd gooien. Best leuk. In plaats van te laten zien wat jouw data hen oplevert, gaan ze je vertellen wat jouw data jou oplevert.
Dit is een belangrijke verschuiving in de communicatie. Maar of het zo’n vaart loopt, is de vraag. 100% compliant zullen veel bedrijven niet zijn, zeker niet direct na 25 mei. To be continued dus.
