Innovatie

Dé GDPR-aandachtspunten voor digital marketeers

0

De AVG of GDPR heeft veel impact op digital marketing en raakt vrijwel alle vakgebieden. Van analytics en conversie-optimalisatie tot display advertising, social media en de inzet van Google AdWords of Bing Ads. In dit artikel ga ik in op de voor (digital) marketeers relevante achtergrond van de AVG. Daarnaast deel ik enkele praktische aandachtspunten waar je direct mee aan de slag kunt.

AVG staat voor Algemene Verordening Gegevensbescherming. De AVG is een directe afgeleide van de Europese verordening genaamd GDPR: General Data Protection Regulation. Met AVG en GDPR wordt dus naar dezelfde wetgeving verwezen. De AVG, die per 25 mei 2018 gehandhaafd wordt, vervangt de huidige Wet bescherming persoonsgegevens (Wbp).

De voorgangers: de Wbp en ‘cookiewet’

De Wbp is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens (95/46/EG) en is sinds 1 september 2001 van kracht. In 2012 werd daarnaast de cookiewet ingevoerd; feitelijk een aanscherping van de Telecommunicatiewet artikel 11.7a. De cookiewet eiste voorafgaande toestemming voor het plaatsen van cookies of op een andere manier opslaan van persoonlijk identificeerbare gegevens. Dit leidde tot het gebruik van cookiebars en cookiewalls zoals we die nu kennen. In 2015 werd de cookiewet versoepeld, waardoor functionele cookies en analytische cookies onder voorwaarden werden uitgesloten van de noodzaak tot voorafgaande instemming.

Waarom de AVG?

De AVG of GDPR is in werking getreden op 25 mei 2016 met de afspraak dat deze pas twee jaar later, op 25 mei 2018, gehandhaafd zou worden. Zo werd een overgangsperiode gecreëerd tussen de huidige Wbp en de AVG. De AVG brengt een uitbreiding van de privacyrechten, legt meer verantwoordelijkheid bij de organisaties die persoonsgegevens verzamelen en bewerken en biedt de toezichthouders steviger mogelijkheden tot handhaving. De Autoriteit Persoonsgegevens heeft als toezichthouder onder andere de mogelijkheid tot het opleggen van forse boetes. Deze lopen op tot €20.000.000 of 4 procent van de wereldwijde jaaromzet bij forse overtredingen (wat hoger is).

gdpr netwerk

Lex specialis: de ePrivacy Verordening

Naast de AVG is er een zogeheten ‘lex specialis’. Dit is een specifieke wetgeving die meer duiding geeft aan hoe de Algemene Verordening Gegevensbescherming geïnterpreteerd moet worden: de ePrivacy Verordening. De ePrivacy Verordening specificeert de wijze waarop de vertrouwelijkheid van de inhoud van elektronische communicatiegegevens geborgd dient te worden. De ePrivacy Verordening zou oorspronkelijk tegelijk met de AVG in werking treden op 25 mei 2018. Maar in december 2017 werd door het Europees Parlement tot uitstel besloten, waardoor op het moment van schrijven onduidelijk is wanneer de verordening precies van kracht wordt. Hierdoor is een soort vacuüm ontstaan, waardoor het nog moeilijk te bepalen is hoe de Autoriteit Persoonsgegevens als toezichthouder de wet zal interpreteren. Naar de letter, of met enige pragmatische speelruimte? Totdat er jurisprudentie is zal deze onduidelijkheid op veel vlakken blijven.

Het is niet ondenkbaar dat de nieuwe ePrivacy Verordening de komende maanden nog wordt versoepeld. Een dergelijke versoepeling zou ertoe kunnen leiden dat, onder voorwaarden, tracking van data voor functionele en analytische doeleinden op geaggregeerd niveau alsnog zonder expliciete toestemming mogelijk wordt. Vooralsnog moet het uitgangspunt voor digital marketeers echter zijn dat voor alle vormen van tracking opt-in/opt-out vereist is.

Belangrijke juridische aspecten van de AVG/GDPR

Als (digital) marketeer is het belangrijk om op de hoogte te zijn van de ethische en juridische aspecten van je vakgebied. Niet op de laatste plaats omdat overtredingen van de wet ook forse (financiële) consequenties kunnen hebben. We zetten daarom enkele belangrijke juridische aspecten van de AVG voor je op een rij.

3 rollen voor betrokkenen

De AVG onderscheidt in beginsel drie verschillende rollen voor betrokkenen bij de verwerking van persoonsgegevens. Namelijk:

  1. Data subject/betrokkene: de natuurlijk persoon van wie de persoonsgegevens worden verwerkt, bijvoorbeeld een bezoeker, lead, klant of sollicitant, et cetera
  2. Controller/verantwoordelijke: de (rechts)persoon die het doel en de middelen van gegevensverwerking bepaalt, bijvoorbeeld je eigen organisatie
  3. Processor/verwerker: de (rechts)persoon die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Denk hierbij aan partners/leveranciers zoals je digital mediabureau, Google als eigenaar van Google Analytics of die freelancer die je soms inschakelt ter ondersteuning van de digitalmarketing-afdeling.

5 juridische vereisten

Daarnaast kent de AVG vijf cruciale juridische vereisten om altijd in het achterhoofd te houden:

  1. Opt-in/opt-out: de betrokkene dient volledige controle te hebben over wie op welk moment over welke persoonsgegevens beschikt
  2. Duidelijkheid over de wijze en doelmatigheid van gegevensverwerking: de betrokkene moet te allen tijde op toegankelijke wijze worden geïnformeerd omtrent het wie, wat, hoe en waarom van gegevensverwerking. Denk hierbij niet alleen aan de vindbaarheid van informatie, maar ook aan bijvoorbeeld duidelijk taalgebruik
  3. Eigenaarschap: de betrokkene is en blijft eigenaar van de persoonsgegevens die op hem of haar betrekking hebben. Verantwoordelijken voor gegevensverwerking dienen deze persoonsgegevens in sommige gevallen ook porteerbaar of overdraagbaar te maken
  4. Privacy by design: bij de ontwikkeling van producten en diensten (maar dus ook bij de ontwikkeling van een website), moet de verzameling, beveiliging en bewaartermijn van gegevens worden afgestemd op het doel waarvoor de gegevens worden verwerkt
  5. Privacy by default: houdt in dat je de technische en organisatorische maatregelen neemt om ervoor te zorgen dat je standaard alléén de gegevens verwerkt die noodzakelijk zijn voor het doel waarvoor je ze verzamelt

Persoonsgegevens vs. pseudo-anonieme gegevens

Met de introductie van de AVG is ook de definitie van persoonsgegevens aangescherpt. Bij de verwerking van data kan grofweg onderscheid worden gemaakt tussen persoonsgegevens, pseudo-anonieme gegevens en anonieme gegevens. Onderstaande tabel toont enkele voor digital marketing relevante voorbeelden.

 PersoonsgegevensPseudo-anonieme gegevensAnonieme gegevens
DefinitieGeïdentificeerd of identificeerbaar persoonNiet herleidbaar naar een natuurlijk persoon zonder aanvullende informatie, wel individualiseerbaarBuiten de scope van AVG
VoorbeeldenNAW-gegevensHashed e-mailadres
TelefoonnummerGebruikersID
E-mailadresOrderID
IP-adresKlantID
MAC-adres (deviceID)Data via tracking scripts
Geboortedatum
Locatiegegevens (gps)

Met de invoering van de AVG vallen dus meer datatypen onder persoonsgegevens dan onder de huidige wetgeving. Maar er zijn meer belangrijke verschillen met grote impact voor je website en digitalmarketing-activiteiten.

Impact van AVG op formulieren op je website

Vrijwel alle formulieren op je website vragen om persoonsgegevens. Denk aan NAW-gegevens voor offerte- of bestelformulieren, of het e-mailadres voor een nieuwsbriefinschrijving. De privacy by design- en privacy by default-uitgangspunten van de AVG vereisen dat dergelijke gegevens versleuteld verzonden worden via https. Daarnaast mogen niet meer gegevens worden gevraagd dan noodzakelijk voor het doel waarvoor de gegevens worden verwerkt. Ook mogen checkboxes waarmee om instemming wordt gevraagd niet zomaar standaard aangevinkt staan, omdat er dan geen sprake meer is van expliciete toestemming.

Privacy- & cookiestatement

De kans is groot dat de AVG ook consequenties heeft voor het privacy- en cookiestatement op je website. Dit zijn enkele belangrijke aandachtspunten waarop je je huidige privacyverklaring kunt controleren:

  • Eenvoudig taalgebruik: precieze en volledig beschrijving van gegevensverwerking
  • Doelmatigheid en/of wettelijke basis
  • De bewaartermijn van data, voor elk van de typen data die je verzamelt
  • Vereiste ondubbelzinnige toestemming, opt-in- en opt-out-mogelijkheden
  • Profilering die plaatsvindt
  • Vermelding van de (rechts)personen waarmee data wordt gedeeld (‘verwerkers’)
  • Recht tot inzage, wijziging, verwijdering of overdracht van gegevens
  • Mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens
  • Naast bedrijfsgegevens ook de naam en contactgegevens van de persoon die namens de organisatie verantwoordelijk is voor privacy en gegevensverwerking

Let er specifiek bij de eerste drie punten op dat je dit doet voor elk van de verschillende doeleinden van gegevensverwerking. Met andere woorden: als je website meerdere formulieren bevat die data verzamelen voor verschillende doeleinden, dan moet je elk van die doeleinden beschrijven. Bijvoorbeeld een bewaartermijn kan voor gegevens uit een bestelformulier (data subject/betrokkene wordt daarmee klant) anders zijn dan voor bijvoorbeeld een sollicitatieformulier (data subject/betrokkene) wordt daarmee sollicitant).

privacystatement

Gespecificeerde en expliciete opt-in/opt-out

Onder de huidige wetgeving is in sommige gevallen impliciete toestemming op basis van ‘een handeling van actieve wilsbestemming’ genoeg. Een voorbeeld van zo’n handeling is het doorklikken vanaf de webpagina van binnenkomst naar een volgende pagina op de website – nadat de bezoeker in een cookiebar is geïnformeerd over het gebruik van cookies. Op deze tweede pagina wordt vervolgens data verzameld.

Onder de AVG geldt als voorwaarde dat ondubbelzinnige toestemming moet zijn gegeven. Persoonsgegevens en pseudo-anonieme gegevens mogen alleen met expliciete opt-in- en opt-out-toestemming worden gebruikt. En dan alleen als sprake is van ‘gespecificeerde expliciete en rechtmatige doeleinden’. Verantwoordelijken voor gegevensverwerking moeten ook kunnen aantonen dat de toestemming op geldige wijze is verkregen.

Dit noodzaakt je als marketeer al snel tot het gebruik van een cookiebar of cookiewall, in combinatie met een tagmanagementsysteem en database of register van opt-ins en opt-outs. Werkt je website nog niet met een tagmanagementsysteem of data management platform (DMP), dan is dit het moment om die opties serieus te overwegen. Zonder een dergelijk systeem is het beheer van alle tools en tracking scripts op de website een serieuze uitdaging, met alle risico’s op overtreding van de AVG van dien.

Profilering

Profilering van bezoekers, bijvoorbeeld voor van de opbouw van interesseprofielen, (re)targetingdoeleinden of on-site personalisatie van content, mag alleen als de precieze werking hiervan en impact voor de bezoeker duidelijk zijn. Beschrijf de werking en doeleinden van profilering dan ook in het privacy- en cookiestatement van je website. Ook moet je beschrijven welke tools worden gebruikt, welke cookies zij plaatsen en hoe je deze als bezoeker ook weer kunt verwijderen.

Maar denk ook aan de contracten of (algemene) voorwaarden die van toepassing zijn op de relatie van je organisatie met klanten. Want als je bijvoorbeeld RLSA binnen Google AdWords of display retargeting gebruikt voor een bezoekerssegment van bestaande klanten (door datacollectie op een bedanktpagina of binnen een ‘mijn-omgeving’ bijvoorbeeld) is daarvoor toestemming vereist. Vermelding van deze vorm van datacollectie voor deze doeleinden in je privacystatement of cookiepolicy is niet langer afdoende.

Recht op vergetelheid & dataportabiliteit

Met de introductie van de AVG krijgen natuurlijke personen naast het recht op inzage ook ‘het recht op vergetelheid’, oftewel het recht om vergeten te worden. Dit betekent dat natuurlijke personen alle informatie die van heb verzameld wordt, op mogen vragen. Ook dienen deze gegevens op eerste verzoek ook verwijderd te worden. Daarnaast kan een persoon een organisatie verzoeken tot het overdragen van informatie in een gestandaardiseerd dataformaat. Zo kunnen gegevens eenvoudig worden overgedragen aan een ander bedrijf dat soortgelijke producten of diensten levert, zoals een verzekeraar. Op de website van de Autoriteit Persoonsgegevens zijn de Nederlandstalige richtlijnen voor dataportabiliteit (pdf) beschikbaar.

Digital marketeer: neem het voortouw!

Zoals je hebt gelezen komt er met de AVG best veel op je af als digital marketeer. In dit artikel heb ik bewust uitgebreid stilgestaan bij de belangrijkste juridische aspecten van de AVG. Waarom? Omdat ik ervan overtuigd ben dat dit je tot een betere gesprekspartner maakt binnen je organisatie, zeker als je in een meer corporate omgeving werkt. Als je als (digital) marketingprofessional niet in de voorhoede deelneemt aan de AVG/GDPR-discussie, loop je al snel achter de feiten aan. Hierdoor loop je het risico dat veel analyse- en advertentiemogelijkheden die belangrijk zijn voor je succes in digital marketing, beperkt of zelfs volledig afgesloten worden. Uit onwetendheid over de precieze technische werking, uit angst voor de juridische consequenties en boetes bij overtreding, of beide.

Als je als (digital) marketingprofessional niet in de voorhoede deelneemt aan de AVG/GDPR-discussie, loop je al snel achter de feiten aan.

Neem dus het voortouw bij het gereedmaken van je organisatie voor de AVG op 25 mei 2018. Met onderstaande punten kun je direct zelf al aan de slag:

  1. Inventariseer:
    1. Welke data je verzamelt
    2. Van wie je dat doet
    3. Met welk specifiek doel
    4. Welke tools en partners (‘verwerkers’) hierbij betrokken zijn
    5. Hoe data wordt verwerkt en opgeslagen
  2. Maak op je website gebruik van https-encryptie, in elk geval voor de formulieren
  3. Zorg voor verwerkersovereenkomsten met belangrijke partners en toolleveranciers
  4. Update je cookiepolicy en privacystatement
  5. Neem het voortouw

Disclaimer: deze blogpost beschrijft onze zienswijze op de impact van de AVG op digital marketing en dient niet te worden geïnterpreteerd als juridisch advies. Raadpleeg een gespecialiseerd juridisch adviseur om de impact van de AVG op je eigen organisatie in kaart brengen.