Tekst: Patrick Jordens*
Op 24 mei 2016 is de Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese privacywet, in werking getreden.
Organisaties hebben twee jaar de tijd om hun processen op orde te krijgen, voor de regels van toepassing worden.
Een implementatieperiode van twee jaar lijkt misschien lang, maar deze wet heeft een enorme impact op alle marketing- en advertising-activiteiten. Bedrijven moeten daarom nu al kijken naar hun cookietoestemming, e-mail opt-in en privacy statement.
Er zijn namelijk wat valkuilen.
1. Meer gegevens zijn persoonsgegevens dan je wellicht denkt
Niet alleen gegevens die iemand direct identificeren zijn een persoonsgegeven, maar ook gegevens die gebruikt worden om mensen te individualiseren binnen een groep, dus een gadgetfreak of schoenenliefhebber. Dat betekent dat organisaties goed op het netvlies moeten krijgen welke data zij verzamelen. Bijvoorbeeld data die iets zegt over een bepaald postcodegebied.
Of dat inzicht geeft of mensen een tuin hebben of wat het gemiddelde inkomen is, valt ook onder de definitie. Dat geldt overigens ook voor gegevens die iets zeggen over een device, zoals een cookie-ID of een IP-adres.
Zeker als bedrijven deze data koppelen aan hun database om te profileren en gericht te kunnen adverteren moeten zij nu al starten met de voorbereidingen om op tijd klaar te zijn voor de nieuwe Europese Privacywet.
2. Strengere eisen aan toestemming voor online marketing
Organisaties vragen nu vaak impliciete toestemming voor het plaatsen van cookies. Dit betekent dat doorsurfen op een website onder voorwaarden, ook kan betekenen dat een webbezoeker instemt met het plaatsen van een cookie en het volgen van surfgedrag.
De AVG stelt strengere eisen aan toestemming.
In de toelichting staat dat bij toestemming sprake moet zijn van een verklaring of duidelijke handeling. Dat betekent dat het voor een webbezoeker klip-en-klaar moet zijn waar hij mee akkoord gaat en hoe hij dit doet. ‘Deze website maakt gebruik van cookies’, is dus onvoldoende om toestemming te krijgen voor het bijhouden van surfgedrag, omdat iemand niet weet waar hij ‘ja’ tegen zegt. Tot slot moet iemand zich net zo makkelijk kunnen afmelden als aanmelden. Dat betekent dat een verwijzing naar beveiligingsinstellingen van de browser om cookies te wissen onvoldoende is. Bedrijven moeten zelf een cookie opt-out inrichten.
Nu de tekst van de AVG vaststaat, is de Europese commissie gestart met de herziening van de E-privacy Richtlijn. Hierin staan specifiek regels voor e-mail en cookies. In een voorbereidend onderzoek van de commissie wordt al een expliciete opt-in voor marketingcookies gesuggereerd: “Finally we propose the explicit request of specific, active and prior consent in all cases where cookies or similar techniques are used for direct marketing purposes.”
3. Een privacy statement moet leesbaar zijn
Van oudsher geven bedrijven in een privacy statement informatie over wat ze met gegevens doen.. Die statements zijn inmiddels uitgegroeid tot complexe boekwerken waar een gemiddelde roman bij verbleekt. Daarom zegt de AVG dat ‘Informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk moet zijn, en er moet duidelijke en eenvoudige taal worden gebruikt.’ De toezichthouders zijn voorstander van een gelaagd privacy statement, waarin eerst op hoofdlijnen en dan steeds gedetailleerder wordt uitgelegd hoe een bedrijf omgaat met gegevens.
Het is belangrijk dat het privacy statement eenvoudig toegankelijk is via de website en op alle formulieren van landingspages waar gegevens worden gevraagd. Het taalgebruik moet ook een beetje aansluiten bij de gemiddelde doelgroep. Ooit gezien hoe Coolblue dit doet?
4. Alleen een privacy statement is niet genoeg
Met de komst van online en de toenemende digitalisering zijn de lijnen van de klant naar een bedrijf langer geworden. Alleen al het Nederlandse display advertising landschap laat een wirwar aan organisaties zien. Om te zorgen dat privacy ook in deze tijd geborgd is, zegt de AVG dat de database-eigenaar (de verwerkingsverantwoordelijke) aanspreekpunt is voor de hele keten waarin de data van zijn klanten wordt verwerkt.
Dat betekent dat je als organisatie een privacy-administratie moet inrichten. Als een toezichthouder het vraagt moet een organisatie zijn gegevensverwerking kunnen laten zien. Dat betekent dat er een overzicht moet zijn van welke data, via welke bronnen, in welke systemen worden verzameld, wie hierbij kan en hoe de beveiliging is ingericht.
Daarnaast moet je als bedrijf kunnen aangeven welke organisaties in jouw opdracht data verwerken, denk aan een administratiekantoor of een online bureau. Ook moet een organisatie risicoanalyses uitvoeren.
Uit deze PIA (Privacy Impact Assessment) moet duidelijk worden wat het privacyrisico van een verwerking is voor een klant, of dit risico acceptabel is en welke waarborgen er worden getroffen. Maak je bijvoorbeeld gebruik van Salesforce voor je CRM? Een privacy-risico is dan dat jouw data in de VS worden opgeslagen. Dit risico kan je dan managen door duidelijk te maken dat je alleen bepaalde data in deze systemen opslaat, of door een bewerkersovereenkomst af te sluiten.
5. Privacy is de verantwoordelijkheid van iedereen (en dus van niemand)
Zorg niet dat over twee jaar de dader op het kerkhof ligt: beleg privacy binnen de organisatie. In de AVG staat dat organisaties die op grote schaal mensen monitoren of die bijzondere persoonsgegevens verwerken verplicht een DPO, data protection officer, moeten aanstellen.
Bij ‘monitoren’ moet je bijvoorbeeld denken aan de online advertentienetwerken die mensen volgen over tijd over verschillende websites. Een privacy officer is ook verplicht als je bijzondere persoonsgegevens verwerkt, dit zijn gegevens die kunnen leiden tot discriminatie of uitsluiting, zoals informatie over levensovertuiging, seksuele voorkeur, ras, of gezondheid.
Maar ook als je niet onder deze definitie valt, moet je privacy centraal binnen de organisatie beleggen. En met boetes die kunnen oplopen tot 20 miljoen euro of vier procent van de wereldwijde omzet, zou privacy een onderwerp moeten zijn in iedere boardroom.
*Patrick Jordens is directeur DMCC Nederland
Plaats als eerste een reactie
Ook een reactie plaatsen? Word lid van Adformatie!