Volgens de branche-vereniging voor data-driven marketing, de DDMA, is de aankomende meldplicht datalekken ook van belang bij het gebruik van data voor marketing. Om die reden heeft de branche een handleiding opgesteld voor de informatievoorziening aan consumenten met betrekking tot datalekken. In de gids kan worden gelezen hoe consumenten op een juiste manier kunnen worden geïnformeerd.
Data Driven Marketing Association (DDMA), de branchevereniging voor data-driven marketing, heeft een handleiding van vier pagina’s opgesteld over de aankomende meldplicht datalekken, speciaal gericht op Nederlandse marketeers. DDMA-directeur Diana Janssen verklaart dat de branche-vereniging voorstander is van correct gebruik van data voor marketing. ‘Beveiliging en openheid zijn daarbij enorm belangrijk, zeker als het om privacygevoelige gegevens van consumenten gaat.’
Volgens Janssen is de meldplicht niet alleen een zaak van de it- en juridische afdeling, maar ook voor de informatievoorziening aan consumenten. Ten eerste hebben consumenten het recht om te weten waar ze aan toe zijn, meent zij. Ook kan de manier waarop een organisatie zijn klant of donateur over een datalek informeert volgens haar het consumentenvertrouwen en de reputatie schaden of juist verstevigen. Om die reden is het volgens de DDMA belangrijk om voorbereid te zijn.
Voorbereiding
Organisaties moeten volgens de handleiding voorbereid zijn om te voldoen aan de wettelijke informatieverplichting aan de betreffende personen. Ook moeten ze voorbereid zijn op aandacht van de media. ‘Data en privacy zijn onderwerpen die in een brede belangstelling staan. Wees voorbereid om vragen van de media en op social media op te vangen.’
De gids geeft tips waarop organisaties zich op deze twee punten kunnen voorbereiden en deelt zelfs een voorbeeld-notificatie die organisaties kunnen opsturen naar hun klanten wanneer er een datalek is geweest. De gids kan hier gratis worden gedownload.
Meldplicht datalekken
De meldplicht datalekken gaat per 1 januari 2016 in. Dit houdt in dat vanaf die datum een ernstig datalek moet worden gemeld bij de Autoriteit Persoonsgegevens, tot die tijd College bescherming persoonsgegevens (CBP) genaamd. Het CBP heeft al aangegeven niet coulant te zijn bij de invoering van de meldplicht. De boete voor het niet voldoen aan de meldplicht kan oplopen tot 820.000 euro per overtreding of 10 procent van de jaaromzet. Computable-expert Jeroen Renard beschreef in zijn opinie al een aantal actiepunten om boetes als gevolg van een datalek te voorkomen.