Wat je als digital manager over GDPR moet weten

De marketinggroep GDPR1

Wat je als digital manager over GDPR moet weten

Wat je als digital marketeer over GDPR moet weten

Wellicht komt het je bekend voor als datum: 25 mei 2018. Op die datum treedt de nieuwe privacywetgeving in werking, beter bekend als  “general data protection regulation” (GDPR). Veel organisaties zijn intern een stapsgewijs traject gestart om compliant te worden aan deze nieuwe wetgeving. Welke praktische consequenties heeft deze flinke beteugeling van data uitwisseling en de toegenomen controle van de eindgebruiker hierop?

De verordening is groter dan marketing alleen en raakt alle data in de organisatieprocessen. De uitdaging is organisatiebreed, waarbij sommige organisaties een Functionaris Gegevensbescherming (FG) / Data Protection Officer (DPO) moeten aanstellen, om de wetgeving in primaire organisatieprocessen te waarborgen.

We focussen in dit artikel alleen op de voor marketeer meest relevante aspecten van de GDPR. Want juist in marketing is de verandering enorm. Het wijst erop dat als je het hebt over de GDPR, je praat over de toekomst van digital marketing. In navolging hierop komt de ePrivacy (ePR) wetgeving hier op termijn nog bij. Deze heeft op dezelfde wijze impact op wat je precies mag doen met de data die je verzamelt en verwerkt.

Tot nu toe week de wetgeving in de EU op een aantal vlakken af, die doorgaans via de EU/VS-privacyshield constructie werden afgevangen. Voor veel marketeers niet meer dan een regeltje in het privacybeleid. Met de nieuwe wetgeving kiest de EU vanaf 2018 duidelijk een ander spoor. De wissel komt nu hard dichterbij en de consequenties overzien is noodzakelijk om tijdig klaar te zijn: formulieren, opt-in’s, trackingscripts als Google Analytics, profiling en targeting/remarketing, enzovoort.

Handhaving: van melding tot waarschuwingen en torenhoge boetes

Nu het voor heel Europa gelijk is getrokken, moet het makkelijker worden om in alle landen compliant te zijn aan de wetgeving. Wat ook gelijk getrokken wordt is de handhaving. Vooral dat heeft nu al impact. Er kunnen boetes tot 20 miljoen of 4% van de jaaromzet worden opgelegd. In de wetgeving is het melden van privacyovertredingen mede in de handen van de gebruikers gelegd, die nu zelf naar de Autoriteit Persoonsgegevens kunnen stappen. De Autoriteit Persoonsgegevens neemt ook als nationale autoriteit de handhaving, die per land is geregeld, op zich. De verschillende nationale handhavers geven al aan meer te zullen samenwerken op internationaal gebied.

Hoe dit precies in de praktijk er uit gaat zien weet nog niemand. Er zijn nog geen uitspraken geweest (jurisprudentie) en de handhaving heeft zich nog niet laten zien. Iedereen zal het uitblijven van strikte handhaving op de cookiewetgeving nog kunnen herinneren, waardoor sommige sites tot op de dag van vandaag nog geen melding hebben. Maar nu de eventuele consequenties/boetes zo helder zijn en de implementatie complex is, staat er meer op het spel dan destijds. Vergeet die vergelijking dan ook vanaf nu. Het lijkt erop dat in eerste instantie waarschuwingen gegeven gaan worden voorafgaand aan boetes, maar dat de aard en intentie van de overtreding daarin een rol speelt.

Een ander aspect is dat voor veel organisaties de reputatie op het spel staat, nu er verhoogde aandacht is voor het onderwerp. Uiteraard kan je als organisatie ook de morele basis van de wetgeving ten volle omarmen en je marketing transparant en permission-based uitvoeren.

Velen zullen echter de kat uit de boom kijken en eerst “GDPR-compliant” willen zijn. Helaas is dit geen strikte richtlijn, want de wetgeving is abstract omschreven en niet doorvertaald naar praktijksituaties.

Marketeers zijn geen juristen, wat is GDPR-compliant?

In grote lijnen betekent de AVG/GDPR dat je veel meer dan voorheen specifieke toestemming van de eindgebruiker nodig hebt, indien je als organisatie met de persoonlijke of naar een individuele persoon herleidbare (pseudo-anoniem gemaakt) data wilt werken.

Voor de duidelijkheid zijn er 3 categorieën:

  • Persoonsgegevens: alle informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon. Bijvoorbeeld NAW-gegevens, e-mailadres, IP-adres, geboortedatum, huidige locatie, maar ook device-ID’s.
  • Psuedoanonieme data: persoonsgegevens dusdanig verwerkt dat de data niet langer herleid kan worden zonder gebruik van aanvullende informatie, maar wel een persoon individualiseerbaar maakt. Bijvoorbeeld versleuteld e-mailadres, gebruikers-ID of een klantnummer dat alleen via een goed beveiligde interne database gelinkt is aan overige data. Dit valt ook binnen de scope van de AVG/GDPR.
  • Anonieme data: gegevens waar alle persoons gerelateerde data die het terug herleiden toestaat, verwijderd is. In de praktijk vaak moeilijk haalbaar of lastig aan te tonen, tenzij de persoonsgegevens überhaupt niet weggeschreven worden in eerste instantie. Dit valt buiten de scope van AVG/GDPR.

Voor marketing zijn de volgende AVG/GDPR-bepalingen het meest belangrijk:

  • Persoonsgegevens en pseudo-anonieme data mogen vervolgens met expliciete opt-in en opt-out toestemming worden gebruikt voor “gespecificeerde, expliciete en rechtmatige doeleinden” en “niet verder worden verwerkt op manieren die niet verenigbaar zijn met deze doeleinden”.
  • Profilering om geautomatiseerde analyse en/of voorspelling van het gedrag van personen op basis van deze gegevens moet worden benoemd. De consequenties voor de persoon moeten worden benoemd, met de mogelijkheid tot een opt-out voor deze functionaliteit.
  • Persoonsgegevens moeten door de gebruiker verwijderd (recht te worden vergeten) of opgevraagd kunnen worden (dataportabiliteit)

Er komen dus verschillende scenario’s waarin je specifieke opt-in’s moet gaan verzamelen indien je met de persoonsgegevens wilt werken en/of actie onderneemt richting de gebruiker met deze data in de vorm van automatische analyse en profilering. Het gemis van praktische voorbeelden is een handicap die iedere marketeer op dit moment heeft. Dat houdt echter niet tegen dat je prima in kaart kan brengen welke activiteiten die je nu doet verband houden met deze regelgeving.

Deze blogpost is te kort om de volledige gids te bieden, maar biedt de algemene how-to: een basis voor een ‘modale’ digitale marketeer. Het advies is om de grootste risico’s af te dekken die expliciet verboden zijn, om zo je marketing klaar te maken om flexibel om te gaan met het ‘grijze gebied’. Er geldt een documentatieplicht, waarmee je moet aan kunnen tonen dat je organisatorische en technische maatregelen hebt genomen. Als commerciële marketeer wil je natuurlijk ook dat snel in kan worden gespeeld op kansen en risico’s die onvermijdelijk ontstaan zodra de markt zich ontwikkelt. Daarvoor heb je flexibiliteit nodig en moet je het speelveld begrijpen.

De wetgevende macht in de EU zal beïnvloed worden hoe grote techreuzen omgaan met de wetgeving. Wellicht vindt er handhaving plaats door waarschuwingen en boetes die duidelijkheid verschaffen. Ook de impact op de massapsychologie is niet te onderschatten: wat gebeurt er als gebruikers straks overal expliciet goedkeuring voor moeten geven? Denk ook hier weer aan de irritatie over cookie-walls die cookie wetgeving op nationaal niveau opriep. Hoe gaat de massa hierop reageren en wat wordt de UX best-practice om opt-ins te verkrijgen?

De AVG/GDPR schaal met 5 niveaus als handvat

Om het praktisch te houden is het belangrijk om terug te gaan naar de basis. Zoals benoemd leidt de AVG/GDPR tot opt-in/out situaties, duidelijkheid wat er met de data gebeurt en eigenaarschap van de persoon in kwestie. Dit leidt tot een aantal categorieën die adblock-adviseur Pagefair helder heeft ingedeeld, waarin activiteiten rondom digital marketing op impact en risico worden beoordeeld.

Niveau 5
Organisaties/tools die werken met data van derden, zoals nu veel gebeurt in het verhandelen van persoonsdata in de vorm van cookies of andere profielen. Deze partijen of afnemers daarvan zijn technisch niet in staat om de eindgebruiker te bereiken en opt-in te vragen, dus per definitie niet compliant. Een uitdaging voor datamanagementplatformen.

Niveau 4
Verwerking waar opt-in nodig is maar waar een gebruiker weinig aanzet zal hebben om dit te geven op dit specifieke doeleinde, zoals retargeting of persoonlijke advertenties op basis van je interesses.

Niveau 3
‘Reguliere’ opt-ins voor bijvoorbeeld een nieuwsbrief of andere scenario’s waar gebruiker directe functionaliteit terugkrijgt.

Niveau 2
Waar profilering wordt gebruikt voor analyse of personalisatie, waar een opt-out constructie nodig is.

Niveau 1
Waarbij de activiteit niet sterk afhankelijk is van persoonsgegevens, en deze door enkele aanpassingen te anonimiseren is.

Implementatie: 6 raakvlakken

Door het juridische karakter maakt het toepassen per onderdeel volgens de letter van de wet vaak complex, omdat juridische taal immers niet overeenkomt met de concepten en jargon van (digitale)marketing. We maken daarom een snelle vlucht langs de 6 belangrijkste raakvlakken. Deze blogpost is een kick-off voor mijn collega’s die je vanaf dit punt verder meenemen in best-practices van de eerste 3 onderdelen: e-mailmarketing, analytics & dataverzameling en tenslotte advertising met derde partijen. Deze artikelen verschijnen de komende twee weken op Marketingfacts.

1. E-mailmarketing

De nieuwe regels zetten op e-mailmarketingvlak een aantal dingen op scherp. Zo zal je bepaalde doelgroepen en e-mailflows moeten ontvlechten omdat de doeleinden van elkaar verschillen, de opt-in/out systemen verdienen dus hernieuwde aandacht. Zo zal je ervoor moeten zorgen dat je niet alleen een opt-out verzorgt, maar de gebruiker grondig moet kunnen wissen op alle plekken indien verzocht. Er zal ook kritisch gekeken moeten worden naar welke profielinformatie wordt bewaard wat het doeleinde van deze informatie is. En hoe ga je om met flows die gebruikers profileren, kan je huidige software dit wel uitschakelen of transparant over zijn?

2. Analytics & dataverzameling en beveiliging

In digital marketing is het al jaren een sport om de volledige customer journey meetbaar te maken van begin tot eind, gebaseerd op het tracken van individuele gebruikers. Uiteraard niet altijd met als doel om op persoonsniveau analyses uit te voeren, maar paden te kunnen leggen tussen verschillende databronnen die anders ‘silo’s’ vormen.

Door pseudonimisering toe te passen was dit steeds meer mogelijk, een digitale ‘vingerafdruk’ die de ‘touchpoints’ kan volgen. Volgens de letterlijke interpretatie is exact dit niet langer mogelijk zonder toestemming, waardoor dit onder niveau 4 valt. Denk hierbij ook aan heatmapanalyse, waarbij opnames van individuele sessies worden opgeslagen. Bij sommige tools tot de toetsaanslagen aan toe – erg ver buiten het ‘grijze gebied’.

Waar je persoonsgegevens verzameld, moet dit ook beveiligd zijn. Veel websites zijn al over naar HTTPS, maar een formulier verzenden zoals een nieuwsbriefinschrijving of offerteaanvraag zonder HTTPS is dus expliciet verboden. Anderzijds wordt ook verwacht dat de opslag en verwerking voldoende versleuteld en beveiligd plaatsvindt.

Veel marketeers denken bij analytics en privacy ook direct aan cookies. Hoewel de cookiewet pas volledig wordt vervangen met de ePrivacy-wetgeving, heeft de GDPR nu al impact op wat je mag verzamelen en op welke manier. Het is dus zaak de trackingscripts en cookies na te lopen en deze tegen de bovengenoemde richtlijnen te houden, en waar nodig te verwerken in de cookiemelding.

3. Advertentietargeting en tools van andere partijen

Er worden momenteel veel vragen gesteld over het businessmodel van dataverkopers, die data aanbieden op datamanagementplatformen waar adverteerders en publishers op aansluiten om doelgroepen te profileren en gerichter te benaderen. Dat valt duidelijk in categorie 5. Hoe dan ook heeft dit grote consequenties voor de ad-tech bedrijven. Mogelijk wordt contextueel adverteren belangrijker ten opzichte van programmatic advertising (wat niet erg hoeft te zijn).

Veel huidige advertisingtools zijn gebouwd op profilering, of staan toe om je eigen data te uploaden om bijvoorbeeld look-alike-doelgroepen op te bouwen, wat onder categorie 4 valt. Ook remarketing, waarbij je een groep gebruikers opnieuw benadert, valt hieronder. Daarbij komen ook nog technische uitdagingen kijken, waarbij het bijvoorbeeld niet mogelijk is om 1 persoon uit een remarketinglijst uit te sluiten of echt ‘te vergeten’, wat wel nodig is om aan de regelgeving te voldoen.

4. Privacystatements, disclaimers en de gebruiker in controle

Privacystatements en disclaimers op de website en digitale kanalen moeten worden herzien, omdat hier nieuwe eisen aan worden gesteld op het gebied van specificering, locatie van de data, toegang en verwerkers. Veelal kan je gebruik maken van modelteksten, hoewel we altijd adviseren om deze met een juridische specialist na te lopen.

Als je gebruik maakt van persoonsgegevens in je marketing of bijvoorbeeld profilering en personalisatie toepast, zal een vorm van ‘control center’ praktisch zijn. Daarin kan de gebruiker deze voorkeuren beheren en inzien om data op te vragen of te verwijderen.

5. Verwerkersovereenkomsten met partners

Een verwerkersovereenkomst, voorheen “bewerkersovereenkomst” , neemt een belangrijke plek in binnen de GDPR.  Wellicht heb je deze al met bepaalde partijen waarmee je persoonsgegevens uitwisselt. Dit was namelijk al nodig onder de huidige Wbp, maar er was amper handhaving op. De GDPR stelt nieuwe eisen. Je vindt bijvoorbeeld de bewerkersovereenkomst van Google Analytics die je kan accepteren onder accountinstellingen. Maar je dient er ook een af te sluiten met de (leverancier van) je e-mailmarketing, hostingpartij, of eventuele klanten waar je mee werkt, enzovoort.

In sommige situaties is het voldoende om persoonsgegevens niet te delen indien dat niet noodzakelijk is. Hoewel het uiteraard al verboden was om even snel een e-maildatabase op de mail te zetten zonder een overeenkomst, is dit in de nieuwe situatie helemaal uit den boze en goed voor de helft (tot 10 miljoen of 2% van de jaaromzet) van het maximale boetebedrag.

6. Je eigen unieke situatie

Zoals benoemd is een enkele blogpost veel te kort voor de volledige scope. Je hebt vast lopende marketingprojecten en -initiatieven die raakvlak hebben met de nieuwe wetgeving. Een campagne, nieuwe e-mailflows, een nieuwe release van een mijn-omgeving of portal? Zorg ervoor dat ook deze klaar zijn voor de toekomst door ze tegen de regelgeving aan te houden.

Tenslotte: wees niet puur afhankelijk van externe kennis, begrijp het zelf ook. De GDPR raakt de kern van marketing en adverteren. De dynamiek van komend jaar is onvoorspelbaar. Wellicht gaan businessmodellen op de kop of vindt er een verschuiving plaats naar permissie-gebaseerde marketing. De achtergrond kennen zorgt ervoor dat je deze makkelijker kan volgen. Indien de handhaving er is, zal het speelveld in ieder geval gelijk blijven en de grijze gebieden duidelijker zwart of wit worden. Dan is de transparantie en toestemming die nodig is een winst voor de marketeers die relevantie en creativiteit voorop kunnen zetten.

Bron: Daan Loohuis, Adwise op marketingfacts.nl