CloseContact | Digitale marketing en de GDPR | CloseContact

Digitale marketing en de GDPR

Digitale marketing en de GDPR

Gaat de Europese privacywet de inzet van A.I. voor marketing hinderen?

2017 wordt het jaar van artificial intelligence (A.I.)

Opeens lees je het overal: Het tijdperk van marketing automation met behulp van predictive analytics is aangebroken. Oftewel in goed Nederlands: geautomatiseerd e-mail versturen op basis van voorspeld gedrag.

Door data uit veel bronnen aan elkaar te knopen, komt een schat aan informatie beschikbaar. Gegevens die worden verzameld over de individuele klant, worden door marketing automation platforms met behulp van Artificial Intelligence geanalyseerd om toekomstig gedrag te voorspellen. De inzet van kunstmatige intelligentie maakt het eenvoudig om persoonlijk relevante mails te sturen.

De consument heeft hier baat bij, want die wordt alleen benaderd met wat voor hem of haar interessant is. Een luchtvaartmaatschappij als KLM, met 599 bestemmingen, kan aanbiedingen afstemmen op de interesses en het reisgedrag van de klant; een webwinkel als Wehkamp, met 180.000 artikelen, kan de samenstelling van een nieuwsbrief baseren op individueel zoek- en aankoopgedrag.

Relevant of irritant

De inzet van A.I. zorgt dus voor relevantie in marketinguitingen, maar hoever mogen organisaties en bedrijven gaan bij het verwerken van persoonsgegevens? Stel je voor dat elke aanmelding voor een autoverzekering wordt getoetst op basis van voorspeld rijgedrag. Bepalen de door de klant bezochte websites en gebruikte zoektermen (boetes.nl, autoschade) of uitingen op Twitter en Facebook (een selfie met de deuk in mijn auto) straks hoe hoog de premie wordt? Wat voor een verzekeraar nuttig lijkt, is waarschijnlijk onwenselijk voor de klant.

Een complicerende factor in deze ontwikkeling is de General Data Protection Regulation (GDPR), de nieuwe privacywet voor de hele Europese Unie. In hoeverre wordt hiermee het onbeperkt vergaren, combineren en analyseren van data serieus aan banden gelegd?

Waarom de GDPR?

Alle EU-lidstaten hebben nu nationale wetgeving m.b.t. het verzamelen en verwerken van persoonsgegevens. Die wetten zijn gebaseerd op de huidige EU-privacyrichtlijn. Deze richtlijn stamt uit 1995. Er waren toen 15 lidstaten (nu 28). Om even een idee te geven: Ajax won dat jaar de Champions League, Sony introduceerde de Playstation, SBS6 begon met uitzenden, en gewone mensen hadden nauwelijks internettoegang (0,6% van de wereldbevolking, ten opzichte van 39% in 2014).

Voor bedrijven en organisaties die in meerdere landen zaken doen, levert het veel werk en soms hoge juridische kosten op om per land uit te zoeken en bij te houden wat er wel en niet mag. De EU wil met de nieuwe wet zowel de regels versimpelen, als de burger beter beschermen.

Wat staat er in de GDPR?

Alle verschillende wetten en regels binnen Europa worden per 25 mei 2018 vervangen door de General Data Protection Regulation (GDPR). Die datum lijkt nog ver weg, maar (digitale) marketers moeten aan de slag, er komt namelijk nogal wat bij kijken om volledig te voldoen aan alle eisen. Enkele belangrijke onderwerpen zijn:

Wat zijn persoonsgegevens: De definitie is ruim: “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Behalve naam, adres, geboortedatum en e-mailadressen, gaat het bijvoorbeeld ook om klantnummers, kentekens, telefoonnummers, online nicknames en IP- of MAC-adressen.

Rechten van de burger: Elke natuurlijke persoon is eigenaar van zijn persoonsgegevens. Hij/zij heeft recht op inzage, rectificatie in het geval van onjuistheid of verwijdering uit een database (het recht om vergeten te worden). En ook op bezwaar tegen verwerking van data voor direct marketing. Ook dataportabiliteit is geregeld, personen hebben straks (onder voorwaarden) het recht om hun gegevens in een standaardformaat te ontvangen. Zo kunnen zij deze doorgeven aan een andere leverancier van eenzelfde soort dienst, ook over de grens.

Toestemming voor gebruik: Burgers moeten middels een actieve handeling toestemming geven voor het gebruik van hun persoonlijke gegevens. Voor elk specifiek doel waarvoor de gegevens gebruikt worden, moet apart toestemming worden verkregen. In het geval van personen onder de 16 moet iemand met ouderlijk gezag mede toestemming geven.

Aansprakelijkheid: Ook partijen die in opdracht gegevens bewerken of verwerken, kunnen straks aansprakelijk worden gesteld voor overtredingen. Het is daarom van belang om een goede verwerkersovereenkomst te sluiten met alle partijen.

Actiepunten voor de marketingbranche

Elke organisatie die data verzamelt en bewerkt moet kunnen aantonen dat ze voldoet aan alle verplichtingen uit de GDPR. Iedereen die te maken heeft met het verzamelen en/of verwerken van persoonsgegevens moet zijn administratie al voor 25 mei 2018 goed op orde hebben. Vanaf dan kunnen er door de Autoriteit Persoonsgegevens (of haar equivalent in andere EU-landen) sancties worden opgelegd bij overtredingen. De boetes liegen er niet om: maximaal 20 miljoen euro of 4% van de wereldwijde omzet. Dit zijn belangrijke actiepunten:

Administratie, DPO en PIA: Als opt-ins niet zorgvuldig geadministreerd worden, kan dat uitdraaien op een nachtmerrie als er iets fout gaat. Het is ook belangrijk om uit te zoeken of het nodig is een (interne of externe) Data Protection Officer (DPO) aan te stellen. Bij grote en gevoelige projecten, kan het nodig zijn om een Privacy Impact Assessment (PIA) uit te laten voeren.

Verplicht datalekken melden: Verwerking van persoonsgegevens in het algemeen hoeft, als de nieuwe wet is ingegaan, niet meer te worden aangemeld bij de Autoriteit Persoonsgegevens, maar datalekken moeten binnen 72 uur gemeld worden (in Nederland al sinds januari 2016).

Privacy by Design en Privacy by Default: Privacybeschermende maatregelen moeten in informatiesystemen ingebouwd worden. De standaardinstellingen van een systeem moeten zo privacyvriendelijk mogelijk zijn (vooraf aangevinkte vakjes zijn niet meer toegestaan).

Verwerkersovereenkomst: Hierin worden in elk geval de volgende zaken vastgelegd: doel van de gegevensverwerking, soort persoonsgegevens dat verwerkt wordt, categorieën van betrokkenen die de gegevens zien en verwerken, beveiliging van de gegevens, uitvoeren van audits, en tenslotte: vernietigen of terugleveren van de gegevens aan de verantwoordelijke.

Digitale Marketing en de GDPR

Eigen verantwoordelijkheid van de consument

De privacywetgeving was verouderd en regels die burgers beschermen in de digitale wereld zijn hard nodig. Maar is het niet ook de verantwoordelijkheid van de consument zelf om zijn eigen data te beveiligen?

Je telefoon, thermostaat, tv en zelfs wasmachine zijn via internet gekoppeld. Maar wie gratis gemak wil, betaalt er natuurlijk altijd een prijs voor, bijvoorbeeld door data te verstrekken. De afgelopen paar jaar hebben zowel producenten als consumenten geïnvesteerd in de ontwikkeling en aankoop van slimme producten (en zijn hackers de mogelijkheden van het Internet of Things aan het verkennen).

Net nu deze technieken op grote schaal beschikbaar komen en (meestal) wederzijds voordeel opleveren, grijpt de overheid in met beperkende wetgeving. Misschien is een voorlichtingscampagne over omgaan met je persoonlijke data dan ook een goed idee. (Overigens heeft diezelfde overheid inmiddels ook heel veel data bij elkaar gevoegd. Hiermee sturen ze burgers een keer per jaar een mailing. Opt-out is niet mogelijk, je gegevens inzien ook niet en het recht om vergeten te worden heb je niet. Aan de vooraf ingevulde Aangifte Inkomstenbelasting is helaas niet te ontkomen …)

Wees voorbereid

Kunnen digitale marketeers erop vertrouwen dat marketing automation platforms die gebruik maken van kunstmatige intelligentie zich aan de Europese wet houden? Wie controleert de zelfstandig opererende algoritmes van A.I.? Misschien moeten we de eerste boete of rechtszaak afwachten om zekerheid te krijgen. Het enige dat de marketingbranche voorlopig kan doen, is zorgen dat zij haar zaken op orde heeft voor 25 mei 2018. Wie nog niet aan de voorbereiding begonnen is, komt waarschijnlijk in de problemen. De verwachting is bijvoorbeeld, dat de vraag naar gekwalificeerde Data Protection Officers het aanbod zal overstijgen.

Pim van den Boogaard en Anja Bart

Meer achtergrondinformatie en tips:

Het Britse Advocatenkantoor White & Case heeft inmiddels een heel naslagwerk gepubliceerd over de juridische gevolgen van de GDPR, die ondanks de voorgenomen Brexit ook in het VK zal gaan gelden.

Andere informatiebronnen:

DDMA

Autoriteit Persoonsgegevens

de Europese Commissie

 

Comments are closed.