Implementatie van een DMP: hoe zit dat met de privacy?
De natte droom van iedere digital marketeer is een volledig accuraat klantbeeld tot stand te brengen, klanten op basis van dit klantbeeld te segmenteren en vervolgens deze klant gewenste en gepersonaliseerde digitale marketingboodschappen te kunnen leveren. De droom om een accuraat klantbeeld te verkrijgen en op basis daarvan te kunnen segmenteren, lijkt nu werkelijkheid geworden dankzij datamanagementplatformen (DMP’s). Steeds meer advertentienetwerken bieden zo’n platform aan, adverteerders en publishers nemen steeds vaker een DMP af. De implementatie ervan door Nederlandse adverteerders en uitgevers vindt niet plaats in een juridisch vacuüm. Uit het onderstaande zal duidelijk worden dat de verwerking van data binnen een DMP een grootschalige verwerking van persoonsgegevens met zich meebrengt en dat er dus rekening gehouden moet worden met de wetgeving op het gebied van de bescherming van persoonsgegevens; kortweg de Wet bescherming persoonsgegevens (Wbp). In dit artikel wil ik stilstaan bij enkele belangrijke privacy-aspecten die bij de implementatie van een DMP van belang zijn. Dit artikel is niet bedoeld als uitgebreid juridisch advies, maar ik licht enkele hoogtepunten uit en geef een praktische leidraad.
1. DMP: grootschalige verwerking van persoonsgegevens
Zoals ik het begrijp, worden binnen een datamanagementplatform (DMP) gegevens verwerkt die verzameld worden via allerlei communicatiekanalen van de publisher of adverteerder: een website (eigen data of data afkomstig van een website van derden, bijvoorbeeld Nu.nl of Telegraaf), mobiele apps, marketingcampagnes, sociale media, maar ook informatie vanuit offline winkels, callcenters of een CRM kan eraan worden toegevoegd.
Deze gegevens kunnen zelfs nog binnen het DMP worden aangevuld met data afkomstig van derde partijen, bijvoorbeeld demografische informatie, en worden vervolgens vertaald naar een zo compleet mogelijk klantbeeld. Dit klantbeeld wordt in een segment geplaatst en op basis daarvan worden, bijvoorbeeld, gepersonaliseerde marketingboodschappen geleverd.
De vaak Amerikaanse leverancier van DMP’s zijn van mening dat er geen sprake is van een verwerking van personally identifiable information (PII). Dat mag zo zijn, maar volgens mij is er zeker sprake van een verwerking van persoonsgegevens in de zin van de Wbp.
Het verschil in concepten – persoonsgegeven verus PII – kan verworden tot een semantische discussie tijdens de contractonderhandelingen met een DMP-leverancier. Omdat er geen naam, adres en telefoonnummer worden verwerkt, is de Amerikaanse leverancier vaak van mening dat er geen sprake is van een verwerking van PII.
Let op! In Nederland, zeker in de ogen van de Autoriteit Persoonsgegevens (AP), is de verwerking van het IP-adres (ook als deze is gehasht of gemaskeerd), een cookie met een uniek ID (waarvan in het kader van een DMP vaak gebruik wordt gemaakt), van surfgedrag op basis van url’s, van data aanwezig in een CRM-database en van aankoopgedrag te kwalificeren als verwerkingen van persoonsgegevens. Immers, al deze gegevens zijn redelijkerwijs te herleiden tot een identificeerbare natuurlijke persoon of in ieder geval tot een te onderscheiden individu op basis van het ‘single out’-principe.
Meer nog, op basis van de cookiewet (artikel 11.7a Telecommunicatiewet) wordt het gebruik van tracking cookies – die worden gebruikt over meerdere website – voor targeted advertisting purposes, waarvan in het kader van DMP’s meestal sprake is, vermoed een verwerking van persoonsgegevens te zijn. Dit is weliswaar een weerlegbaar vermoeden, maar door de brede invulling van het begrip persoonsgegevens door de AP is dit waarschijnlijk een oeverloze oefening geworden.
Kortom, mijn advies aan adverteerder of publisher die de implementatie van een DMP overweegt, is om als uitgangspunt te nemen dat er daarbij sprake is van een verwerking van persoonsgegevens. Deze verwerking zal dan moeten voldoen aan de eisen van de Wbp. Daarvoor moet de verantwoordelijke adverteerder of publisher zorgen.
2. Verantwoordelijke versus bewerker
Immers, het uitgangspunt is dat de ‘verantwoordelijke’ verantwoordelijk is voor de naleving van de Wbp. Ik veronderstel dat de Nederlandse publisher of adverteerder die besluit een DMP te implementeren, verantwoordelijke is in de zin van de Wbp, zijnde de entiteit die doelen van en middelen voor de gegevensverwerking bepaalt.
DMP’s worden aangeboden door verschillende leveranciers (Krux, Bluekai, etc.). Als de leveranciers uitsluitend ten behoeve van de verantwoordelijke persoonsgegevens gaan verwerken, kwalificeren ze als bewerkers in de zin van de Wbp. Daardoor zal tussen de verantwoordelijke en de bewerker een bewerkersovereenkomst moeten worden gesloten.
Let op, deze bewerkersovereenkomst moet niet alleen voldoen aan de eisen van de Wbp, maar ook beantwoorden aan de inzichten van de AP.
Kortom, mijn advies aan adverteerder en publisher is om na te gaan dat de leverancier uitsluitend persoonsgegevens gaat verwerken ten behoeve van hen en dan zeker een bewerkersovereenkomst te sluiten. Maak in die bewerkersovereenkomst dan zeker gedetailleerde afspraken over (a) de beveiliging van de klantgegevens, (b) wat de procedure is in geval van een datalek bij de bewerker of een subbewerker en (c) wat er gebeurt met de data bij beëindiging van de dienstverlening door de leverancier.
Let op, als leveranciers toch zelfstandig persoonsgegevens gaan verwerken, worden zij ook verantwoordelijke voor deze verwerking van persoonsgegevens. Mogelijk moeten zij dan zelfstandig voldoen aan de toepasselijke wet- en regelgeving.
Mijn advies is dat contractueel te verankeren: welke verwerkingen vallen onder de verantwoordelijkheid van de publisher of adverteerder en welke verwerkingen onder de verantwoordelijkheid van de leverancier?
Wat mij ook opvalt bij de DMP’s die worden aangeboden, is dat er veelvuldig gebruik wordt gemaakt van andere leveranciers, al is het maar om de data op te slaan, bijvoorbeeld in de cloud.
Let daarbij op dat je als publisher of adverteerder controle houdt over de subbewerkers die door hen worden ingeschakeld door voorafgaand aan de inschakeling toestemming van de verantwoordelijke verplicht te stellen én dat de bewerker dezelfde contractuele afspraken doorsluist naar de subbewerker. Ten slotte is het cruciaal dat de bewerker aansprakelijk is voor enige tekortkoming van de subbewerker. Alle zijn dit afspraken die een plaats moeten krijgen in de bewerkersovereenkomst.
3. Gegevensverwerkingen buiten Nederland
Eerder verwees ik er al naar: veel leveranciers van DMP’s zijn Amerikaanse partijen of zijn EU-partijen die Amerikaanse subbewerkers inschakelen. Bij de fysieke doorgifte van persoonsgegevens naar de Verenigde Staten of bij toegang vanuit de Verenigde Staten tot persoonsgegevens aanwezig in de Europese Economische Ruimte (EER), moet er rekening worden gehouden met aanvullende regels.
Tot 6 oktober 2015 was de situatie eenvoudig: de meeste leveranciers hadden een zogenoemde safe harbour listing. Dit was een systeem van zelfcertificering dat maakte dat persoonsgegevens afkomstig uit de EER eenvoudig konden worden doorgegeven of toegankelijk waren. Op 6 oktober 2015 verklaarde het Europese Hof van Justitie het safe harbour-akkoord ongeldig. Vanaf dat moment moeten er aanvullende stappen worden gezet om de persoonsgegevens door te geven naar de Verenigde Staten; bijvoorbeeld het sluiten van een modelcontract goedgekeurd door de Europese Commissie (de versie van toepassing op bewerkers).
Let dus op als je als publisher of adverteerder een Amerikaanse DMP-leverancier inschakelt of als er een Amerikaanse subbewerker wordt ingeschakeld, dat de noodzakelijke contractuele waarborgen worden afgesproken om de doorgifte van/toegang tot persoonsgegevens rechtmatig te laten plaatsvinden. Dit kan door het sluiten van de genoemde modelcontracten, maar deze zijn een rigide keurslijf.
Let dus ook goed op dat de contractuele structuur garandeert dat je als verantwoordelijke de persoonsgegevens rechtmatig mag doorgeven.
Ten slotte wijs ik erop dat ook de modelcontracten op termijn ongeldig zouden kunnen worden verklaard door het Hof van Justitie (er is een procedure aanhangig gemaakt door de Oostenrijkse toezichthouder) en dat er op dit moment een vervanger van het safe harbour-akkoord in de maak is; het zogenoemde EU-US Privacy Shield. Deze ontwikkelingen volgen zich in snel tempo op. Blijf dus op de hoogte!
Ook kan het zijn dat er doorgiftes plaatsvinden naar andere landen buiten de Verenigde Staten. Als deze landen ook geen zogenoemd ‘adequaat beschermingsniveau’ bieden, moet je als adverteerder of publisher aanvullende maatregelen nemen om deze internationale doorgiftes mogelijk te maken. Ga dus als publisher of adverteerder precies na waar je data allemaal worden verwerkt om vast te stellen of je aanvullende maatregelen moet nemen of niet.
4. Achterkant versus voorkant
De implementatie van het DMP zelf heeft waarschijnlijk geen rechtstreekse gevolgen richting de klant. Daarmee wil ik zeggen: de klant merkt er waarschijnlijk niets van. Maar dan betekent niet dat de klant niet op de hoogte moet worden gebracht van de bijbehorende verwerkingen van persoonsgegevens die plaatsvinden in het kader van een DMP. Dat is namelijk wél zo.
De klant moet minimaal op de hoogte worden gebracht van de identiteit van de verantwoordelijke en de doeleinden van de verwerking. Maar er zal ook aanvullende informatie betreffende de gegevensverwerking moeten worden geboden.
In de praktijk betekent dit dat de adverteerder of publisher moet nagaan of de desbetreffende gegevensverwerkingen die plaatsvinden in het kader van een DMP al omschreven staan in het toepasselijke privacystatement of dat dit statement aanpassing behoeft.
Gelet op de grootschalige verwerking van klantgegevens die plaatsvindt in het kader van een DMP, zou ik op dit moment ook aanbevelen om de ondubbelzinnige toestemming te vragen voor de desbetreffende verwerkingen van persoonsgegeven. Dit is voornamelijk ingegeven door de zienswijze van de AP wat betreft de verwerking van persoonsgegevens voor profiling en daaropvolgende targeted-marketingdoeleinden.
Volledigheidshalve wijs ik erop dat er juridische argumenten zijn om de desbetreffende verwerkingen in het kader van een DMP te baseren op het gerechtvaardigd commercieel belang van de publisher of adverteerder. Maar gelet op de grootschaligheid van de verwerkingen binnen een DMP, ben ik bang dat het privacybelang van de klant hier prevaleert op het commercieel belang van de publisher of adverteerder. Dan blijft de ondubbelzinnige toestemming als enige mogelijke grondslag voor de verwerking van persoonsgegevens over in dit geval.
5. Gebruik cookies en aanverwanten technologieën
Hierboven stelde ik al dat er in het kader van DMP’s vaak gebruik wordt gemaakt van tracking cookies en verwees daarbij naar het rechsvermoeden. Als er in het kader van het DMP cookies worden gebruikt door de leverancier, de subleveranciers of andere betrokken partijen, zullen die cookies waarschijnlijk onderworpen zijn aan de toestemmings- en informatieplicht van de cookiewet (artikel 11.7a Telecommunicatiewet).
Het is daarom belangrijk als adverteerder of publisher dat je duidelijk weet welke cookies en vergelijkbare technieken de betrokkenen partijen gebruiken in het kader van het DMP en na te gaan of het (al dan niet) geïmplementeerde toestemmings- en informatiemechanisme en de bijbehorende informatieteksten adequaat zijn. Hou daarbij rekening met de informatievereisten die ACM en AP aan het cookiegebruik stellen.
Conclusie
Uit het bovenstaande blijkt duidelijk dat het gebruik van een DMP niet plaatsvindt in een juridisch vacuüm. Als adverteerder of publisher moet je zeker op de hoogte zijn van de toepasselijke privacyregels. Niet-naleving kan immers leiden tot aanzienlijke administratieve boetes – 450.000 euro kan worden opgelegd door de ACM en 820.000 euro of 10 procent van de jaaromzet van de rechtspersoon kan worden opgelegd door de AP – en de toepassing van andere administratieve handhavingsinstrumenten.