CloseContact | Digitale marketing en de GDPR | CloseContact

Digitale marketing en de GDPR

Digitale marketing en de GDPR

Gaat de Europese privacywet de inzet van A.I. voor marketing hinderen?

2017 is het jaar van artificial intelligence (A.I.)

Door data uit veel bronnen aan elkaar te knopen, komt een schat aan informatie beschikbaar. Gegevens die worden verzameld over de individuele klant, worden door marketing automation platforms met behulp van Artificial Intelligence geanalyseerd om toekomstig gedrag te voorspellen. De inzet van kunstmatige intelligentie maakt het eenvoudig om persoonlijk relevante mails te sturen.

De consument heeft hier baat bij, want die wordt alleen benaderd met wat voor hem of haar interessant is. Een luchtvaartmaatschappij als KLM, met 599 bestemmingen, kan aanbiedingen afstemmen op de interesses en het reisgedrag van de klant; een webwinkel als Wehkamp, met 180.000 artikelen, kan de samenstelling van een nieuwsbrief baseren op individueel zoek- en aankoopgedrag.

Relevant of irritant

De inzet van A.I. zorgt dus voor relevantie in marketinguitingen, maar hoever mogen organisaties en bedrijven gaan bij het verwerken van persoonsgegevens? Stel je voor dat elke aanmelding voor een autoverzekering wordt getoetst op basis van voorspeld rijgedrag. Bepalen de door de klant bezochte websites en gebruikte zoektermen (boetes.nl, autoschade) of uitingen op Twitter en Facebook (een selfie met de deuk in mijn auto) straks hoe hoog de premie wordt? Wat voor een verzekeraar nuttig lijkt, is waarschijnlijk onwenselijk voor de klant.

En dan is er nog de Algemene Verordening Persoonsgegevens (AVG), oftewel de General Data Protection Regulation (GDPR), de nieuwe privacywet voor de hele Europese Unie. In hoeverre wordt hiermee het onbeperkt vergaren, combineren en analyseren van data serieus aan banden gelegd?

Waarom de AVG / GDPR?

Voor bedrijven en organisaties die in meerdere landen zaken doen, levert het veel werk en soms hoge juridische kosten op om per land uit te zoeken en bij te houden wat er wel en niet mag. De EU wil met de nieuwe wet zowel de regels versimpelen, als de burger meer zeggenschap over zijn data geven.

Alle EU-lidstaten hebben nu nationale wetgeving m.b.t. het verzamelen en verwerken van persoonsgegevens. Die wetten zijn gebaseerd op de huidige EU-privacyrichtlijn. Deze richtlijn stamt uit 1995.  Om even een idee te geven: Er waren toen 15 lidstaten (nu 28), Ajax won de Champions League, Sony introduceerde de Playstation, SBS6 begon met uitzenden, en gewone mensen hadden nauwelijks internettoegang (0,6% van de wereldbevolking, ten opzichte van 39% in 2014).

Alle verschillende privacywetten en -regels binnen Europa worden per 25 mei 2018 vervangen door de AVG/GDPR. Die datum komt snel dichterbij en door recente berichtgeving in o.a. het FD (artikel te lezen na gratis registratie), lijkt het nu opeens door te dringen bij veel organisaties en bedrijven hoe ingrijpend de nieuwe wet is.

Wat staat er in die nieuwe wet?

Er komt nogal wat bij kijken om volledig te voldoen aan alle eisen. Enkele belangrijke aandachtspunten:

Wat zijn persoonsgegevens: De definitie is ruim: “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Behalve naam, adres, geboortedatum en e-mailadressen, gaat het bijvoorbeeld ook om klantnummers, kentekens, telefoonnummers, online nicknames en IP- of MAC-adressen.

Rechten van de burger: Elke natuurlijke persoon is eigenaar van zijn persoonsgegevens. Hij/zij heeft recht op inzage, rectificatie in het geval van onjuistheid of verwijdering uit een database (het recht om vergeten te worden). En ook op bezwaar tegen verwerking van data voor direct marketing. Ook dataportabiliteit is geregeld, personen hebben straks (onder voorwaarden) het recht om hun gegevens in een standaardformaat te ontvangen. Zo kunnen zij deze doorgeven aan een andere leverancier van eenzelfde soort dienst, ook over de grens.

Toestemming voor gebruik: Burgers moeten middels een actieve handeling toestemming geven voor het gebruik van hun persoonlijke gegevens. Voor elk specifiek doel waarvoor de gegevens gebruikt worden, moet apart toestemming worden verkregen. In het geval van personen onder de 16 moet iemand met ouderlijk gezag mede toestemming geven.

Aansprakelijkheid: Ook partijen die in opdracht gegevens bewerken of verwerken, kunnen straks aansprakelijk worden gesteld voor overtredingen. Het is daarom van belang om een goede verwerkersovereenkomst te sluiten met alle partijen.

Elke organisatie die data verzamelt en bewerkt moet kunnen aantonen dat ze voldoet aan alle verplichtingen van de AVG/GDPR. Iedereen die te maken heeft met het verzamelen en/of verwerken van persoonsgegevens moet zijn systeem tijdig op orde hebben. Vanaf 25 mei 2018 kunnen er door de Autoriteit Persoonsgegevens (of haar equivalent in andere EU-landen) sancties worden opgelegd bij overtredingen.

De belangrijke actiepunten voor verwerkers en beheerders van persoonsgegevens

Het is niet genoeg om even het privacystatement te herschrijven: het gaat ook om achtergrondprocessen als het zorgvuldig documenteren van opt-ins, het kunnen voldoen aan verzoeken om inzage, aanpassing, portabiliteit en zelfs het compleet wissen van persoonsgegevens uit een database.

DPO en PIA: Het is belangrijk om uit te zoeken of het nodig is een (interne of externe) Data Protection Officer (DPO) aan te stellen. Bij grote en gevoelige projecten, kan het nodig zijn om een Privacy Impact Assessment (PIA) uit te laten voeren.

Verplicht datalekken melden: Verwerking van persoonsgegevens in het algemeen hoeft, als de nieuwe wet is ingegaan, niet meer te worden aangemeld bij de Autoriteit Persoonsgegevens, maar datalekken moeten binnen 72 uur gemeld worden (in Nederland al sinds januari 2016).

Administratie, Privacy by Design en Privacy by Default:  Als opt-ins niet zorgvuldig geadministreerd worden, kan dat uitdraaien op een ramp als er iets fout gaat. Een CRM of  Marketing Automation systeem moet bijhouden wanneer en waarvoor een opt-in is gegeven . Privacybeschermende maatregelen moeten in informatiesystemen ingebouwd worden. De standaardinstellingen van een systeem moeten zo privacyvriendelijk mogelijk zijn (vooraf aangevinkte vakjes zijn niet meer toegestaan). Het moet uiteraard eenvoudig zijn om een opt-out te geven.

Verwerkersovereenkomst: Hierin worden in elk geval de volgende zaken vastgelegd: doel van de gegevensverwerking, soort persoonsgegevens dat verwerkt wordt, categorieën van betrokkenen die de gegevens zien en verwerken, beveiliging van de gegevens, uitvoeren van audits, en tenslotte: vernietigen of terugleveren van de gegevens aan de verantwoordelijke.

Digitale Marketing en de GDPR

Wees voorbereid

Kunnen we erop vertrouwen dat Marketing Automation platforms die gebruik maken van kunstmatige intelligentie zich aan de Europese wet houden? Sommige mensen maken zich zorgen dat kunstmatige breinen zich zo gaan ontwikkelen dat ze voor mensen niet meer te volgen zijn. Misschien moeten we de eerste boete of rechtszaak afwachten om zekerheid te krijgen. Het enige dat de marketingbranche en de beheerders van persoonsgegevens voorlopig kunnen doen, is zorgen dat zij hun zaken op orde hebben. Wie nog niet aan de voorbereiding begonnen is, komt waarschijnlijk in de problemen. De verwachting is bijvoorbeeld, dat de vraag naar gekwalificeerde Data Protection Officers het aanbod zal overstijgen.

Eigen verantwoordelijkheid van de consument

De privacywetgeving was verouderd en regels die burgers beschermen in de digitale wereld zijn hard nodig. Maar is het niet ook de verantwoordelijkheid van de consument zelf om zijn eigen data te beveiligen?

Telefoon, thermostaat, tv en zelfs wasmachine zijn tegenwoordig ‘smart’ en met het internet berbonden. Maar wie gratis gemak wil, betaalt er natuurlijk altijd een prijs voor, bijvoorbeeld door data te verstrekken. De afgelopen paar jaar hebben zowel producenten als consumenten geïnvesteerd in de ontwikkeling en aankoop van slimme producten (en zijn hackers de mogelijkheden van het Internet of Things aan het verkennen).

Net nu deze technieken op grote schaal beschikbaar komen en (meestal) wederzijds voordeel opleveren, grijpt de overheid in met beperkende wetgeving. Misschien is een voorlichtingscampagne voor de consument over omgaan met persoonlijke data dan ook een goed idee.

 

 Anja Bart en Pim van den Boogaard, CloseContact

Dit artikel is aangevuld en geactualiseerd op 14 augustus 2017

Meer achtergrondinformatie en tips:

Het Britse Advocatenkantoor White & Case heeft inmiddels een heel naslagwerk gepubliceerd over de juridische gevolgen van de AVG/GDPR, die ondanks de voorgenomen Brexit ook in het VK zal gaan gelden.

Andere informatiebronnen:

DDMA

Autoriteit Persoonsgegevens

de Europese Commissie

 

Comments are closed.