Marketeer, let op je data want dit gaat er allemaal veranderen

 

Honderdtien miljoen euro bedroeg de boete die Facebook in mei door de Europese Commissie kreeg opgelegd. Reden: Facebook had na de overname van WhatsAppp de gebruikersgegevens van de twee bedrijven stilletjes aan elkaar gekoppeld.

Van dat bedrag zal het bedrijf niet wakker hebben gelegen. Maar als straks de nieuwe Algemene Verordening Gegevensbescherming van kracht wordt, kan zo’n boete een stuk hoger uitvallen. Waar voor een ‘gemiddeld’ bedrijf een maximum van 20 miljoen euro geldt, kan de boete voor giganten als Google, Facebook en Amazon oplopen tot 4 procent van hun jaaromzet.

 

Boetes zijn natuurlijk vervelend, maar nog vervelender is de imagoschade. We zien steeds vaker bedrijven die publiekelijk aan de schandpaal worden genageld en daardoor direct de beurskoersen zien dalen. Ook al gaat er iets fout bij een onderaannemer van een outsourcingpartij, de opdrachtgever is en blijft verantwoordelijk en zit met de spreekwoordelijke gebakken peren. Marketeers moeten dus alleen partijen selecteren die zich houden aan de wet- en regelgeving.

 

En kijk dan ook eens kritisch naar de datastromen binnen de eigen organisatie. Welke data zijn er voorhanden? Geef je data door aan andere bedrijven of krijg je data van andere bedrijven? En zijn die binnen of buiten Europa gevestigd? Is het voor consumenten en klanten inzichtelijk wat er met hun data gebeurt?

 

Marketeers moeten verder rekening houden met de volgende aandachtpunten:

 

1. Wetgeving op het gebied van profiling: De oorspronkelijke privacywetgeving is vastgelegd bij de start van het internet. Inmiddels zijn er veel nieuwe aspecten, waar bestaande wetgeving niet maar de nieuwe wetgeving wél rekening mee houdt. Een van de belangrijkste is de wetgeving rondom profiling, targetten en retargetten. Het is volgens de nieuwe wetgeving niet toegestaan om mensen die nog geen klant zijn te targetten. Via de mail (opt-in, opt-out) mocht dit al niet, maar vanaf 2018 mag dit ook niet via bannering of andere online advertising methoden. Met de cookies die achter de diverse platformen zitten wordt een profiel opgebouwd van een persoon. Daarover mag deze persoon volgens de nieuwe wetgeving controle hebben. Dus als je gezocht hebt naar een weekendje Londen, zal je daarna niet meer gespamd worden met allerlei goedkope tickets naar Londen als je dat niet wilt.

Voor bestaande klanten gelden andere regels. Net zoals de Ikea vijftien jaar geleden al een Ikea-gids naar je mocht sturen omdat je de winkel had bezocht, mogen marketeers bestaande klanten wel targetten.

 

2. Transparantie voor alles: Consumenten moeten goed op de hoogte zijn van wat er met hun data gebeurt. De bal ligt nu nog vooral bij de adverteerder, maar met de nieuwe wetgeving verschuift de verantwoordelijkheid grotendeels naar de dienstverleners, dus de bureaus en de marketingsoftwarebedrijven.

Dienstverleners moeten hun klanten, de adverteerders, helpen bij het compleet krijgen van dit beeld. Onlangs bleek dat veel adverteerders niet wisten dat ze op GeenStijl en Dumpert adverteerden; de bureaus die dit voor ze regelen hanteren een ‘haalplicht’ van informatie, geen ‘brengplicht’. Met de nieuwe wetgeving is dit wat persoonsgegevens betreft heel anders. Dienstverleners krijgen een grote verantwoordelijkheid. Ook als de klant vraagt om bepaalde activiteiten die niet mogen volgens de nieuwe richtlijnen, is de dienstverlener verplicht om dit te weigeren. Zaak is dus zo snel mogelijk een goed inzicht te krijgen in wat wel en niet mag binnen je specifieke werkterrein.

 

3. Technologische uitdagingen: Als consumenten willen dat je hun gegevens wist omdat ze nooit meer iets van je willen ontvangen, kom je voor een aantal technologische uitdagingen te staan. Als je de gegevens wist, kun je niet garanderen dat ze nooit meer ongewenste informatie ontvangen. Er zijn namelijk meerdere manieren om bij een onlineprofiel uit te komen. Je kunt het nooit helemaal waterdicht maken, maar als je dat wel probeert moet je toch de gegevens van mensen verwerken zodat ze op een lijst komen die je als adverteerder moet vermijden. Dit is voor consumenten heel dubbel, maar als adverteerder kun je daar weinig aan doen. Des te belangrijker dus aan consumenten te laten weten wat je doet en waarom. Praat daarom met je technologieaanbieders en bevraag ze kritisch hoe zij hiermee omgaan en of ze de gegevens echt kunnen wissen.

 

4. Europese aangelegenheid: De wetgeving is een Europese aangelegenheid, in de Verenigde Staten bijvoorbeeld gelden andere regels. Je mag de gegevens van Europese burgers dan ook niet zomaar met andere landen delen. Grote partijen hebben dit dichtgetimmerd met contracten, maar niet iedereen is hier goed van op de hoogte. Onderzoek niet-Europese oplossingen die wellicht klantdata buiten Europa bewaren daarom grondig.

 

5. Outsourcing ook transparant: Er wordt steeds meer gebruik gemaakt van outsourcing van marketingactiviteiten. Een partij als Mailchimp bijvoorbeeld maakt weer gebruik van een infrastructuur en apparatuur buiten de eigen organisatie. Hier heb je als corporate organisatie geen grip op, maar je bent er wel verantwoordelijk voor. De hele keten moet op 25 mei 2018 daarom transparant zijn en de opdrachtgever moet weten met welke partijen er welke afspraken zijn. Ook moeten klanten een seintje krijgen als er nieuwe partijen worden ingeschakeld. Dit vormt alles bij elkaar een flinke administratieve klus.

 

6. Privacy officer verplicht: Doordat er over dit wetsartikel binnen Europa veelvuldig is onderhandeld, is het wetsartikel een compromis geworden, maar in principe is elk bedrijf dat stelselmatig en op grote schaal data verzamelt, verplicht om een privacy officer aan te stellen die de wet kent en een onafhankelijke status heeft binnen het bedrijf. Voordelen zijn dat zo’n privacy officer richting klanten vertrouwen schept en niet op de loonlijst hoeft te staan; zijn of haar takenpakket zal zo gauw 40 uur per week vergen.

 

Grote corporates laten bij toeleveranciers tegenwoordig vaak een zogenaamd privacy impact assessment uitvoeren. Wat zijn de risico’s voor de privacy? Wat is er al gedaan? En wat moet er nog gebeuren? Met dit onderzoek in de hand besluit een opdrachtgever of hij met jouw bedrijf in zee wil of niet.

Kortom, begin vandaag nog met een inventarisatie van waar je als organisatie staat en wat er nog moet gebeuren. En ga in gesprek met je technologiepartners. Daarna kun je eventueel maatregelen nemen om alles op orde te krijgen; liefst vóór 28 mei 2018.

 

 

Het internationale advocaten- en notariskantoor Taylor Wessing heeft een Global Data Protection Guide (GDPG) uitgebracht. Deze interactieve gids bevat informatie over de wetgeving op het gebied van gegevensbescherming in meer dan 60 landen. Vragen die aan de orde komen zijn onder meer:

· Is er sprake van nationale wetgeving op het gebied gegevensbescherming?

· Is er sprake van handhaving door een toezichthouder van de meldplicht van gegevensverwerking?

· Bestaan er regels op het gebied van gegevensoverdracht?

· Wat zijn de richtlijnen voor wat betreft het controleren van werknemers?

 

De GDPG zal regelmatig worden bijgewerkt waardoor deze alle belangrijke veranderingen op het gebied van gegevensbescherming wereldwijd omvat, zoals de invoering van de Algemene Verordening Gegevensbescherming (‘AVG’) in mei 2018. Je kunt de gids hier downloaden.