CloseContact | Digitale marketing en de GDPR | CloseContact

Digitale marketing en de GDPR

Digitale marketing en de GDPR

Gaat de Europese privacywet datagedreven marketing hinderen?

Artificial intelligence (A.I.) in de marketing

Door data uit veel bronnen aan elkaar te knopen, komt een schat aan informatie beschikbaar. Gegevens die worden verzameld over de individuele klant, worden door marketing automation platforms met behulp van Artificial Intelligence geanalyseerd om toekomstig gedrag te voorspellen. De inzet van kunstmatige intelligentie maakt het eenvoudig om persoonlijk relevante mails te sturen. De consument heeft hier baat bij, want die wordt alleen benaderd met wat voor hem of haar interessant is. Een luchtvaartmaatschappij als KLM, met 599 bestemmingen, kan aanbiedingen afstemmen op de interesses en het reisgedrag van de klant; een webwinkel als Wehkamp, met 180.000 artikelen, kan de samenstelling van een nieuwsbrief baseren op individueel zoek- en aankoopgedrag.

Relevant of irritant

De inzet van A.I. zorgt voor relevantie in marketinguitingen, maar hoever mogen organisaties en bedrijven gaan bij het verwerken van persoonsgegevens? Stel je voor dat elke aanmelding voor een autoverzekering wordt getoetst op basis van voorspeld rijgedrag. Bepalen de door de klant bezochte websites en gebruikte zoektermen (boetes.nl, autoschade) of uitingen op Twitter en Facebook (een selfie met de deuk in mijn auto) straks hoe hoog de premie wordt? Wat voor een verzekeraar nuttig lijkt, is waarschijnlijk onwenselijk voor de klant. Hoe zit het met de digitale privacy?

Er is een nieuwe Europese privacywet aangenomen. De AVG (Algemene Verordening Persoonsgegevens of in het Engels: GDPR (General Data Protection Regulation) is al van kracht, en gaat vanaf 25 mei 2018 gehandhaaft worden. De boetes bij overtreding liegen er niet om: maximaal 20 miljoen Euro, of 4% van de jaaromzet, als dat bedrag hoger is. Deze wet is, als het goed is, toekomstbestendig en beter geschikt voor het digitale tijdperk.

Waarom de AVG / GDPR?

Voor bedrijven en organisaties die in meerdere landen zaken doen, levert het veel werk en soms hoge juridische kosten op om per land uit te zoeken en bij te houden wat er wel en niet mag. De EU wil met de nieuwe wet de regels versimpelen, de burger meer zeggenschap over zijn data geven en het makkelijker maken om ook controle te houden over data over de landsgrenzen van de lidstaten.

Alle EU-lidstaten hadden voorheen nationale wetgeving m.b.t. het verzamelen en verwerken van persoonsgegevens. Die wetten waren gebaseerd op de EU-privacyrichtlijn uit 1995.  Om even een idee te geven: De EU telde toen 15 leden (nu -nog- 28), Ajax won de Champions League, Sony introduceerde de Playstation, SBS6 begon met uitzenden, en gewone mensen hadden nauwelijks internettoegang (in 1995 0,6% van de wereldbevolking,  in 2014 was dat al 39% en het wordt nog steeds meer).

Alle verschillende privacywetten en -regels binnen Europa worden per 25 mei 2018 vervangen door de AVG/GDPR. Die datum komt snel dichterbij en door recente berichtgeving in o.a. het FD (artikel te lezen na gratis registratie), lijkt het nu opeens door te dringen bij veel organisaties en bedrijven hoe ingrijpend de nieuwe wet is.

Wat staat er in die AVG?

Er komt nogal wat bij kijken om te voldoen aan de eisen. Enkele belangrijke aandachtspunten:

Wat zijn persoonsgegevens: De definitie is ruim: “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Behalve naam, adres, geboortedatum en e-mailadressen, gaat het bijvoorbeeld ook om klantnummers, kentekens, telefoonnummers, foto’s, online nicknames en IP- of MAC-adressen.

Rechten van de burger: Elke natuurlijke persoon is eigenaar van zijn persoonsgegevens. Hij/zij heeft recht op inzage, rectificatie in het geval van onjuistheid of verwijdering uit een database. En ook op bezwaar tegen verwerking van data voor direct marketing. Ook dataportabiliteit is geregeld, personen hebben straks (onder voorwaarden) het recht om hun gegevens in een standaardformaat te ontvangen. Zo kunnen zij deze doorgeven aan een andere leverancier van eenzelfde soort dienst, ook in andere Europese landen.

Toestemming voor gebruik: Burgers moeten middels een actieve handeling toestemming geven voor het gebruik van hun gegevens. Voor elk specifiek doel waarvoor deze gebruikt gaan worden, moet apart toestemming worden verkregen. In het geval van personen onder de 16 moet iemand met ouderlijk gezag mede toestemming geven.

Aansprakelijkheid: Ook partijen die in opdracht gegevens bewerken of verwerken, kunnen straks aansprakelijk worden gesteld voor overtredingen. Het is daarom van belang om een goede verwerkersovereenkomst te sluiten.

Beleid op directieniveau

Elke organisatie die data verzamelt en bewerkt moet kunnen aantonen dat ze voldoet aan alle verplichtingen van de AVG/GDPR. Zoals al gezegd: vanaf 25 mei 2018 zullen er door de Autoriteit Persoonsgegevens (of haar equivalent in andere EU-landen) sancties worden opgelegd bij overtredingen.

Het is niet genoeg om even het privacystatement te herschrijven: het gaat ook om achtergrondprocessen als het zorgvuldig documenteren van opt-ins, het kunnen voldoen aan verzoeken om inzage, aanpassing, portabiliteit en zelfs het compleet wissen van persoonsgegevens uit een database. Het is geen zaak om aan de IT- of marketingafdeling over te laten. Dit vraagt om kennis en beleid op ‘C’ niveau binnen een organisatie.

Actiepunten voor verwerkers en beheerders van persoonsgegevens

DPO en PIA: Het is belangrijk om uit te zoeken of het nodig is een (interne of externe) Data Protection Officer (DPO) aan te stellen. Bij grote en gevoelige projecten, is het vaak nodig om een Privacy Impact Assessment (PIA) uit te laten voeren.

Verplicht datalekken melden: Verwerking van persoonsgegevens in het algemeen hoeft niet meer te worden aangemeld bij de Autoriteit Persoonsgegevens, maar datalekken moeten binnen 72 uur gemeld worden (in Nederland is dat al zo sinds januari 2016).

Administratie, Privacy by Design en by Default: Een CRM of  Marketing Automation systeem moet bijhouden wanneer en waarvoor een opt-in is gegeven. De standaardinstellingen van een systeem moeten zo privacyvriendelijk mogelijk zijn (vooraf aangevinkte vakjes zijn niet toegestaan). Het moet uiteraard eenvoudig zijn om een opt-out te geven.

Verwerkersovereenkomst tussen verantwoordelijke (opdrachtgever) en verwerker: Hierin worden in elk geval de volgende zaken vastgelegd: doel van de gegevensverwerking, soort persoonsgegevens dat verwerkt wordt, wie kan de gegevens inzien en verwerken, beveiliging, uitvoeren van audits, en vernietigen of terugleveren van de gegevens aan de verantwoordelijke.

Digitale Marketing en de GDPR

Nulmeting

Het is een goed idee om een inventarisatie maken van alle systemen en processen waarmee u persoonsgegevens (al dan niet bijzonder) verwerkt. Zorg dat u weet welke gegevens u verzamelt, waarom, hoe en op welke grondslag u deze verwerkt, hoelang u ze bewaart, hoe de beveiliging is geregeld en of u op verzoek van de betrokkenen binnen een redelijke termijn in staat bent de gegevens te wijzigen, verwijderen of in een gangbaar formaat over te dragen.

Wees voorbereid

Kunnen we erop vertrouwen dat Marketing Automation die gebruik maakt van kunstmatige intelligentie zich aan de Europese wet houdt? Sommige mensen maken zich zorgen dat kunstmatige breinen zich zo gaan ontwikkelen dat ze niet meer te beheersen zijn. Misschien moeten we de eerste boete of rechtszaak in het kader van de AVG afwachten om zekerheid te krijgen. Het enige dat de marketingbranche en de beheerders van persoonsgegevens voorlopig kunnen doen, is zorgen dat zij hun zaken op orde hebben. Wie nog niet aan de voorbereiding begonnen is, komt waarschijnlijk in de problemen. De verwachting is bijvoorbeeld, dat de vraag naar gekwalificeerde Data Protection Officers het aanbod zal overstijgen.

Eigen verantwoordelijkheid van de consument

De privacywetgeving was allang ingehaald door de techniek en de nieuwe regels die burgers beschermen zijn dan ook nodig. Telefoon, energiemeters, tv, koelkast en zelfs wasmachine zijn tegenwoordig ‘smart’ en met het internet verbonden. Maar wie gratis gemak wil, betaalt daar natuurlijk altijd een prijs voor, bijvoorbeeld door (niet altijd bewust) data te verstrekken. De afgelopen paar jaar hebben zowel producenten als consumenten geïnvesteerd in de ontwikkeling en aankoop van slimme producten (en zijn hackers de mogelijkheden van het Internet of Things aan het verkennen).

Het is ook de verantwoordelijkheid van de consument zelf om zijn eigen data te beveiligen. Sterker nog: de nieuwe wetgeving is speciaal bedoeld om Europese burgers de volledige controle te geven over hun eigen persoonsgegevens. Misschien is een voorlichtingscampagne voor de consument over omgaan met persoonlijke data dan ook een goed idee.

 Anja Bart en Pim van den Boogaard, CloseContact

Dit artikel is aangevuld en geactualiseerd op 14 augustus 2017 en nogmaals bijgewerkt op 14 september

Meer achtergrondinformatie en tips:

Het Britse Advocatenkantoor White & Case heeft inmiddels een heel naslagwerk gepubliceerd over de juridische gevolgen van de AVG/GDPR, die ondanks de voorgenomen Brexit ook in het VK zal gaan gelden.

Andere informatiebronnen:

DDMA

Autoriteit Persoonsgegevens

de Europese Commissie

 

Comments are closed.