Wat je als digital marketeer over de AVG/GDPR moet weten
Wellicht komt het je bekend voor als datum: 25 mei 2018. Op die datum treedt de nieuwe privacywetgeving in werking, beter bekend als “algemene verordening gegevensbescherming” (AVG) of internationaal als “general data protection regulation” (GDPR). Veel organisaties zijn intern een stapsgewijs traject gestart om compliant te worden aan deze nieuwe wetgeving. Welke praktische consequenties heeft deze flinke beteugeling van data uitwisseling en de toegenomen controle van de eindgebruiker hierop?
De verordening is groter dan marketing alleen en raakt alle data in de organisatieprocessen. De uitdaging is organisatiebreed, waarbij sommige organisaties een Functionaris Gegevensbescherming (FG) / Data Protection Officer (DPO) moeten aanstellen, om de wetgeving in primaire organisatieprocessen te waarborgen.
We focussen in dit artikel alleen op de voor marketeer meest relevante aspecten van de AVG/GDPR. Want juist in marketing is de verandering enorm. Het wijst erop dat als je het hebt over de AVG/GDPR, je praat over de toekomst van digital marketing. In navolging hierop komt de ePrivacy (ePR) wetgeving hier op termijn nog bij. Deze heeft op dezelfde wijze impact op wat je precies mag doen met de data die je verzamelt en verwerkt.
Wissel komt hard dichterbij, met impact op formulieren, opt-ins, trackingscripts als Google Analytics, profiling en targeting
Tot nu toe week de wetgeving in de EU op een aantal vlakken af, die doorgaans via de EU/VS-privacyshield constructie werden afgevangen. Voor veel marketeers niet meer dan een regeltje in het privacybeleid. Met de nieuwe wetgeving kiest de EU vanaf 2018 duidelijk een ander spoor. De wissel komt nu hard dichterbij en de consequenties overzien is noodzakelijk om tijdig klaar te zijn: formulieren, opt-in’s, trackingscripts als Google Analytics, profiling en targeting/remarketing, enzovoort.
Serie over GDPR/AVG
Dit is het eerste deel in een serie over de impact van GDPR/AVG.
- In het tweede deel lees je over wat de nieuwe wet betekent voor e-mailmarketing.
- In deel drie wordt dieper ingegaan op de impact op tracking en analytics.
- Deel vier, dat later op Marketingfacts verschijnt, zal gaan over de gevolgen van advertising.
Handhaving: waarschuwing of torenhoge boete
In Nederland geldt de Wet bescherming persoonsgegevens (Wbp) al veel langer en op internationaal gebied zijn marketeers doorgaans leken. Nu het voor heel Europa gelijk is getrokken, moet het makkelijker worden om in alle landen compliant te zijn aan de wetgeving. Wat ook gelijk getrokken wordt is de handhaving. Vooral dat heeft nu al impact. Er kunnen boetes tot 20 miljoen of 4% van de jaaromzet worden opgelegd. In de wetgeving is het melden van privacyovertredingen mede in de handen van de gebruikers gelegd, die nu zelf naar de Autoriteit Persoonsgegevens kunnen stappen. De Autoriteit Persoonsgegevens neemt ook als nationale autoriteit de handhaving, die per land is geregeld, op zich. De verschillende nationale handhavers geven al aan meer te zullen samenwerken op internationaal gebied.
Hoe dit precies in de praktijk er uit gaat zien weet nog niemand. Er zijn nog geen uitspraken geweest (jurisprudentie) en de handhaving heeft zich nog niet laten zien. Iedereen zal het uitblijven van strikte handhaving op de cookiewetgeving nog kunnen herinneren, waardoor sommige sites tot op de dag van vandaag nog geen melding hebben. Maar nu de eventuele consequenties/boetes zo helder zijn en de implementatie complex is, staat er meer op het spel dan destijds. Vergeet die vergelijking dan ook vanaf nu. Het lijkt erop dat in eerste instantie waarschuwingen gegeven gaan worden voorafgaand aan boetes, maar dat de aard en intentie van de overtreding daarin een rol speelt.
Als organisatie kun je ook de morele basis van de wetgeving omarmen en je marketing transparant en permission-based uitvoeren
Een ander aspect is dat voor veel organisaties de reputatie op het spel staat, nu er verhoogde aandacht is voor het onderwerp. Uiteraard kan je als organisatie ook de morele basis van de wetgeving ten volle omarmen en je marketing transparant en permission-based uitvoeren.
Velen zullen echter de kat uit de boom kijken en eerst “GDPR-compliant” willen zijn. Helaas is dit geen strikte richtlijn, want de wetgeving is abstract omschreven en niet doorvertaald naar praktijksituaties.
Veel richtlijnen zijn te vergelijken met alsof je een APK-keurmeester bent, die als inspectiepunt heeft dat de “inrichting om het voertuig te stoppen niet versleten zijn”. De praktische vertaalslag naar de dikte van een remschijf mist. Zo geldt dat ook voor sommige dataverwerking opt-in regels. Zo moet je onder andere “specifiek” aangeven wie er wat met de persoonlijke data gaat doen. Labels als “verbetering van gebruikservaring”, “marketingdoeleinden” of “toekomstige analyse” zullen hier niet aan voldoen. De vraag is: wat dan wel?
Marketeer is geen jurist: wat is GDPR-compliant?
In grote lijnen betekent de AVG/GDPR dat je veel meer dan voorheen specifieke toestemming van de eindgebruiker nodig hebt, indien je als organisatie met de persoonlijke of naar een individuele persoon herleidbare (pseudo-anoniem gemaakt) data wilt werken.
Voor de duidelijkheid zijn er 3 categorieën:
-
Persoonsgegevens: alle informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon. Bijvoorbeeld NAW-gegevens, e-mailadres, IP-adres, geboortedatum, huidige locatie, maar ook device-ID’s.
-
Psuedoanonieme data: persoonsgegevens dusdanig verwerkt dat de data niet langer herleid kan worden zonder gebruik van aanvullende informatie, maar wel een persoon individualiseerbaar maakt. Bijvoorbeeld versleuteld e-mailadres, gebruikers-ID of een klantnummer dat alleen via een goed beveiligde interne database gelinkt is aan overige data. Dit valt ook binnen de scope van de AVG/GDPR.
-
Anonieme data: gegevens waar alle persoons gerelateerde data die het terug herleiden toestaat, verwijderd is. In de praktijk vaak moeilijk haalbaar of lastig aan te tonen, tenzij de persoonsgegevens überhaupt niet weggeschreven worden in eerste instantie. Dit valt buiten de scope van AVG/GDPR.
Voor marketing zijn de volgende AVG/GDPR-bepalingen het meest belangrijk:
-
Persoonsgegevens en pseudo-anonieme data mogen vervolgens met expliciete opt-in en opt-out toestemming worden gebruikt voor “gespecificeerde, expliciete en rechtmatige doeleinden” en “niet verder worden verwerkt op manieren die niet verenigbaar zijn met deze doeleinden”.
-
Profilering om geautomatiseerde analyse en/of voorspelling van het gedrag van personen op basis van deze gegevens moet worden benoemd. De consequenties voor de persoon moeten worden benoemd, met de mogelijkheid tot een opt-out voor deze functionaliteit.
-
Persoonsgegevens moeten door de gebruiker verwijderd (recht te worden vergeten) of opgevraagd kunnen worden (dataportabiliteit)
Hoe gaat de massa op GDPR reageren en wat wordt de UX best-practice om opt-ins te verkrijgen?
Er komen dus verschillende scenario’s waarin je specifieke opt-in’s moet gaan verzamelen indien je met de persoonsgegevens wilt werken en/of actie onderneemt richting de gebruiker met deze data in de vorm van automatische analyse en profilering. Het gemis van praktische voorbeelden is een handicap die iedere marketeer op dit moment heeft. Dat houdt echter niet tegen dat je prima in kaart kan brengen welke activiteiten die je nu doet verband houden met deze regelgeving.
Deze blogpost is te kort om de volledige gids te bieden, maar biedt de algemene how-to: een basis voor een ‘modale’ digitale marketeer. Het advies is om de grootste risico’s af te dekken die expliciet verboden zijn, om zo je marketing klaar te maken om flexibel om te gaan met het ‘grijze gebied’. Er geldt een documentatieplicht, waarmee je moet aan kunnen tonen dat je organisatorische en technische maatregelen hebt genomen. Als commerciële marketeer wil je natuurlijk ook dat snel in kan worden gespeeld op kansen en risico’s die onvermijdelijk ontstaan zodra de markt zich ontwikkelt. Daarvoor heb je flexibiliteit nodig en moet je het speelveld begrijpen.
De wetgevende macht in de EU zal beïnvloed worden hoe grote techreuzen omgaan met de wetgeving. Wellicht vindt er handhaving plaats door waarschuwingen en boetes die duidelijkheid verschaffen. Ook de impact op de massapsychologie is niet te onderschatten: wat gebeurt er als gebruikers straks overal expliciet goedkeuring voor moeten geven? Denk ook hier weer aan de irritatie over cookie-walls die cookie wetgeving op nationaal niveau opriep. Hoe gaat de massa hierop reageren en wat wordt de UX best-practice om opt-ins te verkrijgen?
AVG/GDPR-schaal met 5 niveaus als handvat
Om het praktisch te houden is het belangrijk om terug te gaan naar de basis. Zoals benoemd leidt de AVG/GDPR tot opt-in/out situaties, duidelijkheid wat er met de data gebeurt en eigenaarschap van de persoon in kwestie. Dit leidt tot een aantal categorieën die adblock-adviseur Pagefair helder heeft ingedeeld, waarin activiteiten rondom digital marketing op impact en risico worden beoordeeld.
Niveau 5
Organisaties/tools die werken met data van derden, zoals nu veel gebeurt in het verhandelen van persoonsdata in de vorm van cookies of andere profielen. Deze partijen of afnemers daarvan zijn technisch niet in staat om de eindgebruiker te bereiken en opt-in te vragen, dus per definitie niet compliant. Een uitdaging voor datamanagementplatformen.
Niveau 4
Verwerking waar opt-in nodig is maar waar een gebruiker weinig aanzet zal hebben om dit te geven op dit specifieke doeleinde, zoals retargeting of persoonlijke advertenties op basis van je interesses.
Niveau 3
‘Reguliere’ opt-ins voor bijvoorbeeld een nieuwsbrief of andere scenario’s waar gebruiker directe functionaliteit terugkrijgt.
Niveau 2
Waar profilering wordt gebruikt voor analyse of personalisatie, waar een opt-out constructie nodig is.
Niveau 1
Waarbij de activiteit niet sterk afhankelijk is van persoonsgegevens, en deze door enkele aanpassingen te anonimiseren is.
Nieuwe regels zetten een aantal dingen op scherp qua e-mailmarketing
Implementatie: 6 raakvlakken
Door het juridische karakter maakt het toepassen per onderdeel volgens de letter van de wet vaak complex, omdat juridische taal immers niet overeenkomt met de concepten en jargon van (digitale)marketing. We maken daarom een snelle vlucht langs de 6 belangrijkste raakvlakken. Deze blogpost is een kick-off voor mijn collega’s die je vanaf dit punt verder meenemen in best-practices van de eerste 3 onderdelen: e-mailmarketing, analytics & dataverzameling en tenslotte advertising met derde partijen. Deze artikelen verschijnen de komende twee weken op Marketingfacts.
1. E-mailmarketing
De nieuwe regels zetten op e-mailmarketingvlak een aantal dingen op scherp. Zo zal je bepaalde doelgroepen en e-mailflows moeten ontvlechten omdat de doeleinden van elkaar verschillen, de opt-in/out systemen verdienen dus hernieuwde aandacht. Zo zal je ervoor moeten zorgen dat je niet alleen een opt-out verzorgt, maar de gebruiker grondig moet kunnen wissen op alle plekken indien verzocht. Er zal ook kritisch gekeken moeten worden naar welke profielinformatie wordt bewaard wat het doeleinde van deze informatie is. En hoe ga je om met flows die gebruikers profileren, kan je huidige software dit wel uitschakelen of transparant over zijn?
Meer hierover in het tweede deel in deze serie over AVG/GDPR.
2. Analytics & dataverzameling en beveiliging
In digital marketing is het al jaren een sport om de volledige customer journey meetbaar te maken van begin tot eind, gebaseerd op het tracken van individuele gebruikers. Uiteraard niet altijd met als doel om op persoonsniveau analyses uit te voeren, maar paden te kunnen leggen tussen verschillende databronnen die anders ‘silo’s’ vormen.
Door pseudonimisering toe te passen was dit steeds meer mogelijk, een digitale ‘vingerafdruk’ die de ‘touchpoints’ kan volgen. Volgens de letterlijke interpretatie is exact dit niet langer mogelijk zonder toestemming, waardoor dit onder niveau 4 valt. Denk hierbij ook aan heatmapanalyse, waarbij opnames van individuele sessies worden opgeslagen. Bij sommige tools tot de toetsaanslagen aan toe – erg ver buiten het ‘grijze gebied’.
Waar je persoonsgegevens verzamelt, moet dit ook beveiligd zijn. Veel websites zijn al over naar https, maar een formulier verzenden zoals een nieuwsbriefinschrijving of offerteaanvraag zonder https is dus expliciet verboden. Anderzijds wordt ook verwacht dat de opslag en verwerking voldoende versleuteld en beveiligd plaatsvindt.
Veel marketeers denken bij analytics en privacy ook direct aan cookies. Hoewel de cookiewet pas volledig wordt vervangen met de ePrivacy-wetgeving, heeft de AVG/GDPR nu al impact op wat je mag verzamelen en op welke manier. Het is dus zaak de trackingscripts en cookies na te lopen en deze tegen de bovengenoemde richtlijnen te houden, en waar nodig te verwerken in de cookiemelding.
Meer hierover in het derde deel in deze serie over AVG/GDPR.
3. Advertentietargeting en tools van andere partijen
Er worden momenteel veel vragen gesteld over het businessmodel van dataverkopers, die data aanbieden op datamanagementplatformen waar adverteerders en publishers op aansluiten om doelgroepen te profileren en gerichter te benaderen. Dat valt duidelijk in categorie 5. Hoe dan ook heeft dit grote consequenties voor de ad-tech bedrijven. Mogelijk wordt contextueel adverteren belangrijker ten opzichte van programmatic advertising (wat niet erg hoeft te zijn).
Veel huidige advertisingtools zijn gebouwd op profilering, of staan toe om je eigen data te uploaden om bijvoorbeeld look-alike-doelgroepen op te bouwen, wat onder categorie 4 valt. Ook remarketing, waarbij je een groep gebruikers opnieuw benadert, valt hieronder. Daarbij komen ook nog technische uitdagingen kijken, waarbij het bijvoorbeeld niet mogelijk is om 1 persoon uit een remarketinglijst uit te sluiten of echt ‘te vergeten’, wat wel nodig is om aan de regelgeving te voldoen.
Meer hierover in het vierde deel in deze serie over AVG/GDPR.
Privacystatements en disclaimers moeten worden herzien, omdat nieuwe eisen worden gesteld aan specificering, locatie van data, toegang en verwerkers
4. Privacystatements, disclaimers en de gebruiker in controle
Privacystatements en disclaimers op de website en digitale kanalen moeten worden herzien, omdat hier nieuwe eisen aan worden gesteld op het gebied van specificering, locatie van de data, toegang en verwerkers. Veelal kan je gebruik maken van modelteksten, hoewel we altijd adviseren om deze met een juridische specialist na te lopen.
Als je gebruik maakt van persoonsgegevens in je marketing of bijvoorbeeld profilering en personalisatie toepast, zal een vorm van ‘control center’ praktisch zijn. Daarin kan de gebruiker deze voorkeuren beheren en inzien om data op te vragen of te verwijderen.
5. Verwerkersovereenkomsten met partners
Een verwerkersovereenkomst, voorheen “bewerkersovereenkomst” (in de Wbp), neemt een belangrijke plek in binnen de AVG/GDPR. Wellicht heb je deze al met bepaalde partijen waarmee je persoonsgegevens uitwisselt. Dit was namelijk al nodig onder de huidige Wbp, maar er was amper handhaving op. De AVG/GDPR stelt nieuwe eisen. Je vindt bijvoorbeeld de bewerkersovereenkomst van Google Analytics die je kan accepteren onder accountinstellingen. Maar je dient er ook een af te sluiten met de (leverancier van) je e-mailmarketing, hostingpartij, of eventuele klanten waar je mee werkt, enzovoort.
In sommige situaties is het voldoende om persoonsgegevens niet te delen indien dat niet noodzakelijk is. Hoewel het uiteraard al verboden was om even snel een e-maildatabase op de mail te zetten zonder een overeenkomst, is dit in de nieuwe situatie helemaal uit den boze en goed voor de helft (tot 10 miljoen of 2% van de jaaromzet) van het maximale boetebedrag.
6. Je eigen unieke situatie
Zoals benoemd is een enkele blogpost veel te kort voor de volledige scope. Je hebt vast lopende marketingprojecten en -initiatieven die raakvlak hebben met de nieuwe wetgeving. Een campagne, nieuwe e-mailflows, een nieuwe release van een mijn-omgeving of portal? Zorg ervoor dat ook deze klaar zijn voor de toekomst door ze tegen de regelgeving aan te houden.
Tenslotte: wees niet puur afhankelijk van externe kennis, begrijp het zelf ook. De GDPR/AVG raakt de kern van marketing en adverteren. De dynamiek van komend jaar is onvoorspelbaar. Wellicht gaan businessmodellen op de kop of vindt er een verschuiving plaats naar permissie-gebaseerde marketing. De achtergrond kennen zorgt ervoor dat je deze makkelijker kan volgen. Indien de handhaving er is, zal het speelveld in ieder geval gelijk blijven en de grijze gebieden duidelijker zwart of wit worden. Dan is de transparantie en toestemming die nodig is een winst voor de marketeers die relevantie en creativiteit voorop kunnen zetten.
Hi Daan, wat gaat de GDPR/AVG volgens jou betekenen voor het gebruik van data o.b.v. anonieme profielen (verzameld via een DMP)? Dit zou in principe buiten de rijkweidte vallen, maar zodra iemand zich kenbaar maakt via een e-mailadres kun je in 1 x het hele of een gedeelte van dit anonieme profiel meepakken.
Hoi Daan,
Goed artikel! Ik merkte alleen een fout op: onder 3. Advertentietargeting en tools van andere partijen: “Ook remarketing, waarbij je een groep gebruikers opnieuw benaderd,…” benadert moet hier met een t geschreven worden ipv een d.
Hoi Daan, wij werken alleen met data van zakelijke klanten. Er staat in de tekst dat deze wetgeving betrekking heeft op een natuurlijk persoon. Begrijp ik het goed dat deze wetgeving geen gevolgen heeft voor ons? Of gaat het in dit geval wellicht over de data van de contactpersoon bij het bedrijf waar wij zaken mee doen?
@anoniem, precies zoals je zegt, als het herleidbaar is naar natuurlijke personen, door combinaties te maken. Dan wordt het weer een persoonsgegeven.
Ik weet niet precies waar je op doelt maar met een I.P. adres is dit bijvoorbeeld het geval. Je weet bij het registreren nog niet weet of het een consumenten of bedrijf is. Ik zou hierbij ook kijken naar de intentie en de schaalgrootte. B.v. als bedrijfsmodel is om salescontacten te pinpointen d.m.v. het IP + siteactiviteit, is het wat anders dan dat het toevallig ergens gelogd wordt in een B2B platform rapportage. In het laatste geval kan je nog verantwoorden dat het niet de bedoeling is personen te achterhalen, wat minder ernstig is.
Anderzijds mag je een bedrijfsadres, of een algemeen info@e-mailadres, kvk, etc gewoon gebruiken en loop je geen risico op het gebied van de AVG/GDPR.
Het wordt tijd! Het is een schande wat er op dit moment allemaal aan privacyschendende zaken gebeuren op het net. Leuk voor de marketeer maar onverantwoord met het oog op de toekomst.
Wanneer komen de opvolgende artikelen? Zou vorige week al verschijnen 🙂
@Sjoerd: scherp! Maar zoals de dingen gaan, heeft dat artikel wat vertraging opgelopen. Later deze week komt ‘ie alsnog!
Erg interessant artikel. Bedankt!
Interessante leesstof.
Kun je aangeven wat de implicaties zijn voor de talloze kleine webwinkeltjes? En websites waar bezoekers zich kunnen inschrijven voor deelname aan een event?
@alex ik zal het even zo plat mogelijk houden, je hebt natuurlijk allerlei situaties maar globaal zou je kunnen zeggen:
Voor kleine webwinkels: kijk eens goed naar de vervolgposts over e-mail marketing, analytics en advertising. We zien veel kleinere partijen die op dit vlak niet goed overzien wat ze met nieuwsbrieven en/of retargeting en trackingpixels doen. Qua handhaving zal het ook nog wel meevallen – let vooral op als je met gevoelige data als medische data of mogelijke discriminatie. Je mag persoonsdata die je verzameld gewoon voor het doel blijven gebruiken zonder toestemming, mits het logisch onderdeel is van je bedrijfsvoering: naam en adres zijn logischerwijs nodig voor verzending. Maar gegevens die je niet nodig hebt voor de transactie, zal je moeten verantwoorden en toestemming voor dat gebruik moeten geven: b.v. de geboortedatum, geslacht of mobiele nummer. Of b.v. je kledingmaat. En dat mag je vervolgens niet verder gebruiken voor andere doeleinden (b.v. verkopen aan derde partijen). Het zelfde geldt voor (pseudoanonieme) trackingcookies die je evt bezoekers serveert.
Voor events geldt: prima dat je je inschrijft, als dit ook een duidelijk doel is en de gegevens is dat geen probleem en hoef je niet eens separaat toestemming te geven. Je moet je aanmelden als bezoeker en wellicht is bepaalde informatie nodig om je te kunnen bereiken/informeren.
Goedendag,
Ik werk in een reclamebureau en wij verzorgen onder andere email marketing en heb al veel gelezen maar blijf nog steeds met veel vragen zitten. Is er niet een partij wat ons hiermee kan helpen. Wij moeten namelijk een verwerkingsovereenkomt laten maken maar ben ook vooral benieuwd hoe de beveiliging uitgeschreven dient te worden.
Kent iemand een bedrijf of persoon wat mij hiermee wilt helpen?
Goedemorgen alle,
Kun je na de invoering van GDPR nog iemand online verrassen met een cadeau of kaart? De gegevens van de cadeau ontvanger worden zonder zijn/haar toestemming opgeslagen. Wat betekend GDPR voor online cadeau services als Greetz of Fleurop?
Benieuwd naar jullie reacties
Goedemorgen,
Kun je na de invoering van GDPR nog iemand online verrassen met een cadeau of kaart? De gegevens van de cadeau ontvanger worden zonder zijn/haar toestemming opgeslagen. Wat betekend GDPR voor online cadeau services als Greetz of Fleurop?
Benieuwd naar jullie reacties
Ha Cees. Ik heb me de laatste tijd ook flink verdiept in deze wetgeving. Volgens mij is het nog steeds wel mogelijk iemand een kaart oid te sturen. Als Greetz deze gegevens verwijderd nadat de dienst is geleverd voldoet men volgens mij gewoon aan de regels.
Als je de Google agenda gebruikt of Mailchimp, dan dient er ook een verwerkingsovereenkomst met hen gesloten te worden.
Hoe doe je dat precies?
Hanteren deze bedrijven zelf al een verwerkingsovereenkomst?
Hoe kom je met deze bedrijven hierover in contact?
Dag Daan,
Leuke serie over AVG. Wanneer verschijnt/is verschenen het 4e deel van deze serie en heb je een link er naar toe?
Gerelateerde artikelen
Marketingfacts. Elke dag vers. Mis niks!
Marketingfacts. Elke dag vers. Mis niks!