GDPR bij Frankwatching: de stappen & struikelblokken
Hoewel de datum al zeker twee jaar bekend was, hing 25 mei 2018 vooral de laatste maanden als een donderwolk boven onze hoofden. De dag dat de GDPR of AVG definitief gehandhaafd zou worden. De dag waarop je alles rondom privacy in orde wilde hebben. Inmiddels zijn we bij Frankwatching grotendeels GDPR-compliant (er moeten nog wat kleine puntjes op de i worden gezet). Hoe hebben we dat aangepakt? We vertellen graag meer over ons proces en onze struikelblokken. Wij hebben immers ook maar ‘gewoon’ ons best gedaan.
We hebben als Frankwatching een voorbeeldfunctie in de markt. Althans: dat denken we, en dat merken we aan reacties en vragen van onze lezers. En dat hebben we ook ervaren toen 6 jaar geleden de cookiewet werd aangepast. De eerste dag dat deze wet werd gehandhaafd, stond Autoriteit Consument & Markt (ACM) al bij ons op de stoep, omdat we nog niet volledig compliant waren. Dat moest nu dus anders.
Meer dan 15 uur per week
Zo vanaf april 2017 kregen we op de redactie steeds meer artikelen van experts binnen over de nieuwe privacywet die eraan zat te komen. Gaandeweg ontstond ook bij ons het besef: we moeten aan de slag. Vanaf november is Sanne een substantieel deel van haar tijd gaan besteden aan het onderwerp. Denk aan: inlezen, werkprocessen inventariseren, richtlijnen schrijven, acties uitzetten en takenlijstjes afwerken. GDPR is ook heel technisch: naast de toestemmingen en verwerkersovereenkomsten leunt het op device management, rechten van medewerkers en wachtwoordmanagers. De laatste weken is het uitgegroeid tot meer dan de helft van haar werktijd.
GDPR is niet zwart-wit
Op het moment dat je in het onderwerp duikt, kun je nog denken: ‘oké, formulieren, overeenkomsten, check. Het is te managen.’ Maar de GDPR is typisch zo’n onderwerp dat groeit als je ermee bezig bent, je hebt (als relatieve leek op het vlak van privacywetgeving) last van een sneeuwbaleffect. Daarbij komt ook nog dat de GDPR geen zwart-witsituatie is. Er is veel discussie over de onderwerpen en de Autoriteit Persoonsgegevens heeft de basisinformatie en stappenplannen online staan. Het juist interpreteren en toepassen van deze regels is nou net de grootste uitdaging. Dan hebben wij gelukkig nog experts zoals Charlotte Meindersma in ons netwerk.
GDPR is óók cookies
Om een voorbeeld te noemen: in het begin leefde het onderwerp cookies & GDPR niet echt. Dat kwartje viel pas later, in het eerste kwartaal van 2018. Cookies zijn voor een grote uitgever als Frankwatching een behoorlijke uitdaging. Van de meeste cookies van derden weet je als website-eigenaar niet wat ze doen. Soms weet je niet eens dat je ze hebt. Zie ze maar eens op te sporen, op een site van onze grootte: meer dan 12.000 artikelen met allerlei embeds. Eén embed van de New York Times leverde 62 cookies op, maar ook YouTube en andere social media plaatsen cookies. Dat weet je pas als je je site onder de loep neemt met een cookies-scanner.
De volgende stap was dus: een onwijs hoog aantal cookies de site uit werken. Niet alleen vanwege de wet, maar die wet was wel de trigger. Bovendien willen we niet allerlei informatie van onze bezoekers tracken. Wat betreft de cookies van partijen als LinkedIn of YouTube fungeren wij als doorgeefluik – zelf kunnen en willen wij niets met deze cookies doen.
Omdat je bezoekers per verwerkingsdoel toestemming moeten kunnen geven voor cookies, is een cookiewall niet GDPR-compliant. Daarom kwamen we uit op een cookiebanner met vinkjes die bezoekers aan en uit kunnen zetten (tip: zet het marketingvinkje wél aan, anders zijn video’s, Slideshares en embeds van Twitter en Facebook niet meer zichtbaar).
Stort de markt van tracking, pixels en profiling in?
Nog een voorbeeld: het was onduidelijk of de vinkjes in de cookiebanner vooraf aangevinkt mogen staan. Onze partner CookieInfo vroeg Autoriteit Persoonsgegevens hierover een standpunt in te nemen. Het antwoord: nee, dat mag niet. Wij kwamen dus voor de keuze te staan: gaan wij heel strikt, als het braafste jongetje van de klas, de Autoriteit Persoonsgegevens volgen? Wij besloten van wel.
Gelukkig is onze business nauwelijks afhankelijk van cookies, en zou het voor ons geen direct issue zijn als de markt van tracking, pixels en profiling in zou storten. Want wij merken al sinds onze cookiebanner live staat: het aantal mensen dat toestemming geeft, is extreem laag (en dat aantal krijgen we nooit écht hoog). Maar veel organisaties moeten kiezen tussen de wet en hun bedrijf – of de wet op een slimme manier zien te vertalen in iets wat het bedrijf niet ondermijnt. En dus zijn er diensten die on hold worden gezet of zelfs stoppen vanwege de GDPR.
GDPR & het open karakter van Frankwatching
Frankwatching heeft altijd een open karakter gehad. Frankwatching staat voor delen van kennis en inzichten en van elkaar leren. Dat doen wij immers met onze artikelen, trainingen, webinars en events. Niet alleen naar buiten toe, maar ook intern. En dan zoek je dus ook tools die daarbij passen. We gebruiken allemaal Google Drive, zodat we en masse inzichten en gegevens kunnen delen. Door de jaren heen met als gevolg: een wildgroei aan (digitale) kopieën, ook aan kopieën met persoonsgegevens. En als iemand zo’n lijst downloadde, werd het bestand niet altijd even zorgvuldig verwijderd uit de downloadmap. Geen goed idee met het oog op GDPR.
Zou dat betekenen dat we het open karakter zouden moeten loslaten? Dat zou zonde zijn. Maar met de wet in je achterhoofd, wil je zoveel mogelijk documenten dichtzetten en zo min mogelijk delen. Wij willen hier een middenweg in kiezen. Daarom staat niet alles dicht. Maar dat betekent wel dat iedereen zich heel erg bewust moet zijn van de risico’s en het beveiligingsniveau omhoog moet.
Striktere regels voor werkprocessen
GDPR vraagt niet alleen een inspanning van degene die de wet implementeert, maar van alle medewerkers. We hebben nooit een heel strikt IT-beleid gehad, zoals je wel ziet bij grote corporates – die alles hebben dichtgetimmerd. Dat is waarom we interne sessies hebben belegd, waarin iedereen werd bijgepraat over het belang. En geloof ons: niet iedereen was gelukkig met de wijzigingen. Er zijn best wat ‘irritante’ dingen bij gekomen: zo moeten we onze laptop sneller automatisch laten vergrendelen, is onze mobiel beter beveiligd en gebruikt iedereen verplicht een wachtwoordmanager.
Tegelijkertijd werd iedereen betrokken bij een grootscheepse opschoonactie. Niet alleen van onze Google Drive, maar ook alle persoonlijke mapjes: iedereen is braaf documenten gaan verwijderen. Door een heleboel uitleggen, snapt nu iedereen het belang van striktere regels. De manier van werken is hierdoor misschien wel iets anders geworden, maar aan onze basisprocessen en takenpakketten is weinig veranderd.
Ons uitgangspunt is altijd geweest dat we de dingen willen blijven doen zoals we ze doen. Daarom moesten onze processen en werkwijzen getoetst worden aan de wet. Her en der zijn kleine dingen bijgeschaafd. Ons ‘geluk’ is dat we geen bijzondere persoonsgegevens verzamelen. We hebben bijvoorbeeld niet te maken met kinderen of medische gegevens. En we personaliseren wel (de nieuwsbrief bijvoorbeeld), maar tot nu toe doen we dat alleen op basis van profielkenmerken die een bezoeker zelf achterlaat.
Ons ‘geluk’ is dat we geen bijzondere persoonsgegevens verzamelen.
Papierversnipperaar
De opvallendste verandering? Dat is toch wel de papierversnipperaar die sinds kort op kantoor staat. Want hoewel wij bijna alles online doen en al nauwelijks iets printen, richt de GDPR zich natuurlijk ook op offline.
GDPR na 25 mei
GDPR is na 25 mei niet afgelopen. Het gaat over monitoring en handhaving, juist ook na de ingangsdatum. Frankwatching heeft per team een GDPR-verantwoordelijke, die constant in de gaten houdt of er veranderingen ontstaan, of er nieuwe verwerkingsprocessen ontstaan en of er nieuwe klanten zijn met wie een overeenkomst gesloten moet worden.
Hoe zien wij de toekomst? We verwachten een hoop symboolpolitiek. De Autoriteit Persoonsgegevens gaat (op termijn) ongetwijfeld veel organisaties aanschrijven en waarschuwingen uitdelen. Maar als je hoort dat zelfs de Belastingdienst niet compliant is, dan heeft de Autoriteit nog een hoop te doen 😉 . Veel bedrijven zullen erop vertrouwen dat ze eerst een waarschuwing ontvangen, waarna ze hun werkwijze aanpassen. De uitspraak van minister Dekker dat er in het begin ‘schappelijk’ omgegaan wordt met de wet, bevestigt dit. Het is nu dus wachten op de fase waarin de discussie openbaar wordt. Er zullen cases ontstaan, waardoor iedereen veel beter weet waar hij aan toe is.
Intentie achter de wet: heel goed
Wij vinden de basisgedachte achter de wet heel goed. Natuurlijk is het belangrijk om te weten welke gegevens je verwerkt en waarom en hoe. Dat is heel normaal en redelijk, en de enige manier waarop je dat kunt doen is documenteren. De vraag is of de privacy wel beter wordt met dit soort regelgeving. En daarbij: vindt er een bewuste keuze plaats, of ramt iedereen alsnog (al dan niet na verloop van tijd) op de ‘oké’-button? Misschien ligt de echte oplossing in voorlichting en instructie. En bereik je meer als mensen écht snappen wat cookies zijn, hoe tracking werkt en dat ook op internet geldt dat gratis diensten nooit écht gratis zijn.
Bovendien doen veel Amerikaanse bedrijven wél aan keiharde tracking. Ze weten alles van je. Zo’n privacy policy gaat dat niet veranderen. Wat er wel verandert: Europese bedrijven worden benadeeld ten opzichte van concurrenten. Deze concurrenten kunnen nu, meer dan hun Europese collega’s, leren en profiteren van de inzichten die ze krijgen over het gedrag van personen.
Hoe denk jij dat we mensen écht bewust kunnen maken van hun online privacy?