Perlindungan Data Pelanggan dalam Pemasaran yang Sesuai dengan GDPR: Praktik Terbaik

Intro

Peraturan Perlindungan Data Umum (GDPR) mulai berlaku beberapa tahun yang lalu, dan seiring berjalannya waktu, muncul pertanyaan untuk berbagai industri: bagaimana GDPR memengaruhi pemasaran? Jawabannya adalah bahwa GDPR memang memengaruhi pendekatan pemasaran secara signifikan. Semua organisasi dengan berbagai ukuran dan di hampir semua industri yang bekerja dengan Uni Eropa dan Inggris harus mematuhi peraturan ini untuk menghindari masalah hukum. Oleh karena itu, GDPR bersifat regional namun sebenarnya bersifat global.

Dalam artikel ini, kami menjelaskan apa arti GDPR bagi pemasar dan memberikan praktik terbaik yang dapat dilakukan oleh organisasi dalam pemasaran untuk melindungi informasi pelanggan di bawah GDPR secara lebih efektif. Praktik-praktik ini dapat membantu Anda mengurangi kemungkinan terkena masalah hukum, penurunan reputasi, dan denda yang serius.

Apa itu GDPR untuk Pemasar?

GDPR diperkenalkan oleh Komisi Eropa dan mulai berlaku pada tahun 2018 dengan tujuan untuk meningkatkan perlindungan data penduduk Uni Eropa. Dalam bidang ini, GDPR mendefinisikan cara dan sarana untuk melindungi data pengguna dari pencurian, penyalahgunaan, dan penjualan oleh entitas yang tepat. GDPR mendefinisikan dua entitas dengan tanggung jawab mereka di bawah hukum yang berbeda: pengontrol data (entitas yang memegang dan menyimpan data sensitif) dan pengolah data (entitas yang mengoperasikan data untuk kepentingan pengontrol).

Prinsip-prinsip utama GDPR yang menjadi fokus utama dari keseluruhan undang-undang ini adalah:

• Keabsahan, transparansi, dan keadilan
• Batasan tujuan
• Minimalisasi data
• Akurasi
• Batasan penyimpanan
• Keamanan
• Akuntabilitas

Bagi para pemasar, GDPR berarti perlunya mengembangkan pendekatan yang jujur dan transparan terhadap data pelanggan. Lebih tepatnya, data sensitif yang dapat berharga atau mengidentifikasi seseorang harus diperlakukan dengan hormat. Sebuah organisasi hanya dapat mengumpulkan data tersebut setelah mendapatkan persetujuan yang jelas dari pemilik data (pelanggan), mengambil catatan yang diperlukan secara eksklusif, dan memastikan keakuratan data. Hal penting lainnya adalah kewajiban organisasi untuk menggunakan sarana yang diperlukan untuk melindungi data pelanggan secara andal.

Praktik Terbaik untuk Keamanan Data Pelanggan dalam Pemasaran GDPR

Bagaimana cara perusahaan melindungi informasi pelanggan di bawah GDPR? Khusus untuk pemasar, ada solusi dan praktik yang telah teruji yang membantu memastikan perlindungan data sensitif serta kepatuhan terhadap undang-undang Peraturan Perlindungan Data Umum. Periksa dan terapkan rekomendasi di bawah ini untuk meningkatkan efisiensi perlindungan data organisasi Anda secara umum, dan untuk melindungi data pelanggan secara lebih andal.

Kumpulkan hanya data yang diperlukan dan dapatkan persetujuan klien

Mengurangi jumlah data yang dikumpulkan adalah salah satu cara yang paling efektif bagi organisasi untuk mengurangi risiko kehilangan data dan pembobolan. Peretas bertujuan untuk membobol basis data dengan data sebanyak mungkin karena jumlah yang lebih besar dan jenis catatan yang lebih luas yang mereka akses secara langsung dapat meningkatkan keuntungan mereka. Jika sebuah organisasi tidak menyimpan data pelanggan dalam jumlah besar, penjahat siber dapat memilih untuk tidak menargetkan basis data ini.

Sebagai pemasar, Anda dapat dan harus mengumpulkan hanya data yang diperlukan untuk tujuan pemasaran saat ini. Tinjau alur kerja dan templat pengumpulan data Anda, dan analisis praktik data untuk memeriksa apakah data yang Anda kumpulkan benar-benar digunakan. Jika beberapa data tidak digunakan atau tidak memberikan dampak yang signifikan terhadap pengalaman klien Anda, pertimbangkan untuk menolak mengumpulkan jenis data tersebut dan hapus catatan yang sudah Anda miliki.

Selain itu, menurut GDPR, Anda harus memberi tahu klien Anda tentang data yang Anda kumpulkan dan menerima izin eksplisit dari mereka untuk pengumpulan tersebut. Di sisi lain, kesempatan untuk memilih keluar kapan saja harus disediakan. Di bawah GDPR, pengumpulan data sensitif tanpa izin klien dapat dikenakan denda hukum.

Daftar milis audit

Sekali lagi, semakin besar jumlah data dalam penyimpanan organisasi Anda, semakin tinggi risiko pelanggaran data. Dengan demikian, audit rutin terhadap milis adalah praktik GDPR pemasaran email yang harus Anda integrasikan. Klien yang berhenti berlangganan promo email, buletin, dan materi pemasaran lainnya harus dihapus informasinya dari database. Selain itu, Anda mungkin perlu mengurutkan alamat klien menurut kategori langganan email mereka untuk menghindari pengiriman materi pemasaran yang tidak ingin mereka terima.

Pertimbangkan untuk mengotomatiskan proses pembersihan daftar pemasaran email untuk mematuhi GDPR dalam pemasaran, menghemat waktu, dan meningkatkan pengalaman pengguna dengan email yang lebih personal.

Membentuk tim manajemen data

Organisasi modern, bahkan yang lebih kecil sekalipun, mengumpulkan, menyimpan, dan memproses terabyte data untuk pemasaran dan tujuan lainnya. Dengan adanya tim manajemen data, Anda bisa membuat catatan dikategorikan, diprioritaskan untuk digunakan, dan dikontrol sesuai dengan persyaratan hukum untuk perlindungan data. Pakar manajemen data yang berkualifikasi dapat membantu Anda memastikan tingkat keamanan data pelanggan yang lebih tinggi dan juga menghemat biaya dan waktu dalam alur kerja penyimpanan, pencarian, dan perlindungan.

Tinjau cara Anda mengumpulkan data pribadi

Hal ini setidaknya mencakup alur kerja untuk pengumpulan data dan jalur yang dilalui data sebelum direkam dalam penyimpanan Anda. Pertimbangkan untuk memeriksa formulir halaman arahan yang Anda gunakan untuk meminta klien memberikan data yang diperlukan. Selain itu, GDPR menginginkan organisasi untuk menambahkan pop-up notifikasi informasi bagi pengunjung situs web tentang pengumpulan data, dan sekali lagi, untuk mendapatkan persetujuan eksplisit dari mereka yang mengizinkan Anda mengumpulkan data pribadi.

Langkah penting berikutnya di sini adalah memantau sumber data sensitif lainnya (jika organisasi Anda memilikinya sebagai pengumpul atau pemroses data sesuai dengan persyaratan kontrak). Terakhir, Anda perlu memahami pihak ketiga mana saja yang dapat mengakses data tersebut. Ingatlah bahwa GDPR mewajibkan kontrak hukum yang dibuat antara berbagai entitas yang bekerja dengan informasi klien yang sensitif, dan pertimbangkan untuk mengecualikan pihak ketiga yang tidak memiliki tanggung jawab kontrak dari rantai pasokan data Anda.

Membatasi dan mengontrol akses data

Sama seperti kontraktor pihak ketiga, melindungi data pelanggan di dalam organisasi adalah masalah kontrol akses. Analisis data dan akses mana yang diperlukan oleh departemen dan anggota tim untuk menjalankan tugasnya. Kemudian, berikan tingkat akses data dan izin yang mereka perlukan kepada departemen dan anggota tim tersebut. Pertahankan prinsip hak istimewa terkecil (PoLP) dan integrasikan solusi kontrol akses berbasis peran (RBAC) untuk mengelola izin akses data secara efektif dan cepat untuk tim.

Mendidik staf Anda

Sekali lagi, GDPR adalah tindakan kompleks yang wajib bagi organisasi mana pun yang mengumpulkan data pribadi penduduk Uni Eropa. Dampak hukum dan denda di bawah undang-undang ini sangat berat, dan bahkan kesalahan kecil dari anggota staf dapat memicu proses hukum. Dengan demikian, karyawan dan manajer harus mengetahui persyaratan dan nuansa undang-undang GDPR untuk mengurangi kemungkinan kesalahan manusia. Pertimbangkan untuk mengadakan pelatihan kepatuhan bagi setiap karyawan baru dan perkenalkan tes topikal, misalnya, setahun sekali untuk menjaga kualifikasi GDPR karyawan tidak hanya di tim pemasaran Anda, tetapi juga di departemen lain.

Merevisi pendekatan data dan keamanan Anda

Ancaman keamanan siber berkembang setiap saat karena penjahat siber menemukan cara-cara baru untuk menyusup ke sistem yang terlindungi dan mengakses data sensitif. Apa pun langkah keamanan Anda, sebagai pemasar, Anda harus selalu berupaya meningkatkan perlindungan data pemasaran. Untuk melakukannya secara efektif, Anda perlu menyiapkan alur kerja revisi keamanan TI yang membuat Anda selalu mengikuti tren perlindungan dunia maya terbaru.

Pertimbangkan untuk menerapkan alur kerja pengujian penetrasi skala penuh secara teratur dengan seorang profesional keamanan yang mencoba menembus perlindungan organisasi. Dengan demikian, Anda dapat menemukan kerentanan pada lapisan keamanan Anda dan kemudian melakukan perbaikan sebelum peretas dapat menggunakannya untuk melakukan pelanggaran yang sebenarnya. Kompleksitas infrastruktur modern serta evolusi alat serangan siber membuat pembuatan perimeter perlindungan yang tak terkalahkan hampir tidak mungkin dilakukan.

Selain itu, Anda juga harus meninjau data yang Anda simpan. Jika ada data yang tidak Anda gunakan untuk tujuan pemasaran (dan tidak akan Anda gunakan di masa mendatang), pertimbangkan untuk menghapus data tersebut. Dengan melakukan hal itu, Anda mengurangi potensi kerentanan organisasi Anda, dan juga menurunkan kemungkinan kebocoran data sensitif bahkan setelah pembobolan yang berhasil.

Melakukan pencadangan secara teratur

Apa salah satu risiko terbesar dari sebuah organisasi yang menyimpan data pelanggan? Biasanya, orang akan mengatakan bahwa itu adalah pencurian atau kebocoran data. Namun, GDPR menyatakan hukuman untuk konsekuensi lain yang sering terjadi dari pelanggaran keamanan: kehilangan data. Selain itu, kehilangan data sensitif seperti basis pelanggan setelah, misalnya, serangan ransomware yang berhasil, dapat menyebabkan kesulitan yang signifikan untuk aktivitas dan profitabilitas organisasi di masa depan.

Terlepas dari langkah-langkah keamanan yang diterapkan pada infrastruktur organisasi Anda, penyerang selalu selangkah lebih maju daripada pertahanan apa pun. Itu artinya, perlindungan Anda akan gagal cepat atau lambat, membahayakan data Anda.

Cadangan, yang merupakan salinan data yang dapat dipulihkan secara mandiri yang disimpan di penyimpanan yang berbeda, adalah satu-satunya

cara yang dapat diandalkan untuk tetap mengontrol data yang diperlukan setelah bencana kehilangan data besar. Pertimbangkan untuk menggunakan NAKIVO Backup & Replication jika Anda menggunakan produk Microsoft untuk mengatur pertukaran dan manajemen data di organisasi Anda. Apa pun infrastruktur TI-nya, usahakan untuk mengotomatiskan pencadangan data sensitif dan memastikan pemulihan yang cepat untuk memenuhi permintaan kepatuhan GDPR setiap saat.

Kesimpulan

Undang-undang Peraturan Perlindungan Data Umum adalah wajib bagi organisasi yang mengumpulkan data pribadi penduduk Uni Eropa. Untuk memastikan kepatuhan terhadap GDPR dan meningkatkan perlindungan data pelanggan dalam aktivitas pemasaran, Anda harus

• Meminimalkan pengumpulan data: kumpulkan dan simpan hanya yang Anda perlukan;
• Melakukan audit surat secara teratur;
• Membentuk tim manajemen data untuk mengoptimalkan pengumpulan, penggunaan, dan perlindungan data sensitif;
• Ketahui bagaimana dan dari mana Anda mendapatkan data;
• Batasi akses data dengan model RBAC dan pertahankan prinsip hak istimewa yang paling sedikit;
• Pastikan karyawan mengetahui persyaratan GDPR dan mematuhinya;
• Perbarui pendekatan perlindungan data Anda secara teratur;
• Mengintegrasikan alur kerja pencadangan di lingkungan TI organisasi Anda.