GDPR is een uitdaging voor marketeers en uitgevers – is blockchain het antwoord?

Vanaf 25 mei 2018 hebben we te maken met een nieuwe privacywet, de Algemene verordening gegevensbescherming (AVG) – in Europees verband de General Data Protection Regulation (GDPR). Deze verordening kan een grote impact hebben op het hedendaagse internetgebruik en zal vrijwel zeker gevolgen hebben voor adverteerders. De verwachting is dat blockchain-based ondernemingen een oplossing kunnen bieden en terrein gaan winnen binnen advertising.

Wat houdt de wet in?

De AVG houdt volgens de Autoriteit Persoonsgegevens het volgende in:

• De wet geldt binnen de gehele Europese Unie.
• Het doel is de privacyrechten van de consument te versterken en uit te breiden.
• Meer verantwoordelijkheid bij organisaties om zorgvuldig met data om te gaan.
• Boetes kunnen oplopen tot 20 miljoen euro.

Meer invloed voor de consument

De consument kan vanaf 25 mei 2018 aangeven dat persoonsgegevens die door organisaties zijn opgeslagen verwijderd dienen te worden. Vandaar dat deze nieuwe wet een grote invloed kan hebben op de manier van het hedendaagse internetgebruik. Het zou kunnen zijn dat de consument bewuster het internet zal betreden, daarbij in gedachten houdend welke voetsporen er achtergelaten zijn of zullen gaan worden. De consument heeft in ieder geval meer invloed op welke bedrijven wel en welke bedrijven geen data over hem of haar mogen bewaren.

Dit zal een groot effect hebben op de manier van adverteren, aangezien adverteerders niet lukraak meer iedereen kunnen retargeten. De consument heeft immers aangegeven dat de cookies die achtergelaten zijn niet gebruikt mogen worden voor advertentiedoeleinden.

Uitdaging voor de adverteerder

Als we ervan uitgaan dat er streng toezicht wordt gehouden, komt 25 mei 2018 ineens vroeg, aangezien er nog veel onduidelijkheid heerst over het onderwerp en het technisch bij de meeste partijen momenteel niet mogelijk is om te voldoen aan deze regelgeving. Ook werken veel marketeers met (software van) grote Amerikaanse partijen, waarbij het nog maar de vraag is of deze partijen integraties zullen bouwen om te kunnen voldoen aan de Europese wetgeving.

De verantwoordelijkheid voor naleving van de wetgeving ligt bij de adverteerder, hier ligt een grote uitdaging voor de marketeer. Maar ook Google en overige demand-side platforms (DSP’s) waar je advertentieruimte kunt inkopen, zullen mee moeten.

Met de huidige techniek is het lastig of onmogelijk te identificeren bij welke cookie een specifieke consument hoort. Adverteerders verzamelen cookies door middel van pixels die bijvoorbeeld geplaatst zijn op websites of die worden meegegeven in een uiting, zoals een banner of een Facebook-advertentie.

Zo wordt een grote hoeveelheid data verzameld, maar binnen deze grote verzamelingen van cookies – ook wel cookiepools genoemd – wordt geen consument-ID meegegeven. Adverteerders kunnen dus wel specifieke cookies targeten, maar aan welke persoon deze toebehoren, is niet te zeggen.

Dus je begrijpt dat de GDPR-regelgeving voor adverteerders wel wat teweeg kan gaan brengen. Je zou kunnen stellen dat er een probleem is gecreëerd waarmee een adverteerder maar mee moet zien te dealen vanaf 25 mei.

Natuurlijk zijn er ook organisaties die persoonsgegevens koppelen aan cookies, denk bijvoorbeeld aan Sanoma of Zalando. Zo vormen deze cookies de basis van demografische gegevens als geslacht, leeftijd & inkomen. Deze verzamelingen van cookies worden ook wel datasets genoemd. Tegen een bepaalde vergoeding (fee) kunnen adverteerders dan weer advertenties uitleveren aan consumenten waarvan hun cookie is opgeslagen in deze dataset.

Een andere ontwikkeling is die van datamanagementplatformen (DMP’s), waarin ongekend veel data opgeslagen en gekoppeld kunnen worden. Ze vormen dus een walhalla voor datamarketeers. Binnen deze DMP’s kun je de consument volgen (tracken) en de verschillende touchpoints van de consument met de desbetreffende organisatie meten. Zo kunnen cookies gekoppeld worden, doordat de consument persoonsgegevens heeft achtergelaten op de website of in een app. Hierdoor kan gemeten worden wanneer de consument op een link heeft geklikt in een online nieuwsbrief, wanneer de consument op de website is geweest en wanneer de consument de app van de organisatie heeft geopend.

Het is vaak niet met 100 procent zekerheid te zeggen dat bij alle touchpoints daadwerkelijk met dezelfde persoon hebben plaatsgevonden. Dit komt doordat de laptop, tablet of computer waarop een cookie is achtergelaten nog weleens gebruikt wordt door meerdere personen. Dat neemt niet weg dat dit natuurlijk spannende ontwikkelingen zijn. En ik begrijp ook dat dit wellicht eng kan klinken voor de consument.

Gaat de consument ermee aan de slag?

Het is nog maar de vraag in hoeverre de consument echt tot actie overgaat na invoering van deze wet, aangezien er vaak luchtig wordt gedaan over online privacy en data die achtergelaten worden. Toch zullen er consumenten zijn die alle verzamelde data willen laten verwijderen.

Als we het specifiek over cookies hebben, kan de consument er natuurlijk voor kiezen deze zelf te verwijderen. Andere persoonsgegevens als e-mailadressen en NAW-gegevens moeten door de organisatie verwijderd worden.

Het is overigens nog maar de vraag of deze wet uiteindelijk solaas biedt voor de consument. Enerzijds krijgt de consument meer invloed, anderzijds zullen adverteerders nu nog harder op zoek moeten gaan naar het koppelen van de verzamelde cookies aan ‘echte’ personen. Deze wet omtrent privacy van de consument kan daarom dus, paradoxaal genoeg, ook een negatieve impact hebben voor de consument.

Als de adverteerder straks personen kan targeten in plaats van cookies, worden de online mogelijkheden onbeperkt. Dan zullen er nog meer data verkocht worden; denk aan alle persoonsgegevens die in-app beschikbaar zijn, zoals locatievoorzieningen, of aan data die je zelf doorgeeft, zoals sportgegevens, informatie over wat je eet, etc.

Vragen waar we nu mee zitten

Er zijn nog veel vragen waar we momenteel niet direct een antwoord op hebben. De aankomende maanden zullen we hier antwoorden op moeten krijgen. Een paar voorbeelden.

• Wie waarborgt de wet en hoe gaat het in zijn werk?

  De Europese privacytoezichthouder zou verantwoordelijk moeten zijn. Hierin is onduidelijk wie het gaat controleren en hoe. Wie schrijft de boetes uit? Met wat voor bedrag moet je rekening houden als er iets fout gaat in de targeting?

• Wat gebeurt er als de consument aangeeft dat de cookies verwijderd moeten worden en vervolgens toch een banner in zijn scherm krijgt?

  Binnen hoeveel tijd moet de consument uitgesloten worden? En voor hoe lang? Wat als de consument niet via een retargetingcampagne een advertentie ziet, maar via een prospectingcampagne (waarbij de targeting niet op basis van cookies plaatsvindt) of via directe inkoop? Bij directe inkoop levert een marketeer materiaal en een budget aan bij een derde partij, die vervolgens de campagne uitvoert. Deze derde partij maakt geen gebruik van dezelfde uitsluitingen.

• Gaan grote Amerikaanse DSP’s integraties inbouwen om te voldoen aan de Europese regelgeving?

  De focus van de leveranciers van DMP-software ligt op de Amerikaanse markt, dus het is de vraag of naleving van de nieuwe Europese wetgeving snel wordt opgepakt.

• Wie is er verantwoordelijk bij gebruik van datasets van derden?

  De cookies zullen moeten worden verwijderd door de derde partij. Wat als deze derde partij de cookie niet tijdig verwijderd heeft? Wellicht moeten er nu contracten opgesteld gaan worden bij gebruik van deze datasets in verband met de boetes die hoog op kunnen lopen.

• Kunnen adverteerders straks nog e-mailbestanden inladen in platformen als Facebook?

  De bestaande e-mailbestanden moeten constant ververst worden, aangezien er steeds gegevens verwijderd moeten worden.

• Wat als een adverteerder voor een andere agency (online marketingbureau) kiest die de cookies die op een zwarte lijst horen niet tot haar beschikking heeft?

  Een lastig punt voor adverteerders, maar wellicht een gunstig punt voor de bureaus, omdat ze klanten minder snel kwijtraken vanwege de angst voor hoge boetes.

Blockchain en AVG

De blockchain zou wel eens een oplossing kunnen bieden voor een aantal van deze issues. Voor wie de blockchain-technologie nog niet helemaal begrijpt: onderstaande video van Thesisone (ja, uit 2014) legt in 6 minuten helder uit wat de technologie inhoudt.

Als je de video niet nu kunt of wilt kijken, is deze quote uit de video handig:

De essentie van Bitcoin: de blockchainsoftware stelt een netwerk van computers in staat om via internet een gezamenlijke boekhouding bij te houden. Deze boekhouding is niet besloten of in het bezit van één partij, maar staat in één openbaar digitaal grootboek, dat volledig is gedistribueerd over het netwerk. Dit noemen we: de blockchain.

Bitcoin of een andere cryptocurrencies kunnen veel vormen van eigendom vertegenwoordigen, denk aan eigendomsrechten van huizen of verzekeringen. Alles wat waarde heeft, kan gedigitaliseerd worden. Daarin spelen ‘smart contracts’ een grote rol.

Smart contracts zijn protocollen die het onderhandelen over en naleven van contracten faciliteren en controleren. Door middel hiervan kunnen twee partijen zonder de tussenkomst van een tussenpartij en met een digitale handtekening (die bestaat uit een unieke reeks van cijfers en letters) een bericht of transactie bevestigen. Als er een onrechtmatige transactie plaatsvindt, wordt de transactie niet geaccepteerd en niet meegenomen in het ‘block’ waarin alle transacties bijgehouden worden. Deze transacties zijn openbaar en dus inzichtelijk voor iedereen.

Als een transactie onrechtmatig is (bijvoorbeeld een dubbele uitgave), valt dat hierdoor makkelijk te herleiden door ‘miners’. Door middel van ingewikkelde wiskundige formules gaan deze op zoek naar oplossingen waarin alleen rechtmatige transacties worden meegenomen in het ‘block’. Waarom ‘miners’ dit doen? Omdat ze worden beloond wanneer de juiste wiskundige oplossing is gevonden om het ‘block’ te verwerken.

Er zijn al verschillende partijen die blockchain-based opereren en die terrein willen winnen binnen advertising. Het Nederlandse Faktor speelt specifiek in op de AVG en is er met name op gericht de online ervaring van de consument te verbeteren en meer inkomsten te realiseren voor uitgevers. BAT, kort voor Basic Attention Token, is een gedecentraliseerde ad exchange gebaseerd op blockchain waarbij gebruikers coins kunnen verdienen door interactie te hebben met de advertenties, die vervolgens ingewisseld worden voor bijvoorbeeld betaalde content.

Het voordeel van beide oplossingen is dat de consument kan aangeven welke advertenties hij of zij wel en niet wil zien. De uitingen worden dus steeds relevanter, wat een win-win lijkt te zijn omdat dit ook positief is voor adverteerders.

Adoptie

De nieuwe privacywetgeving zal ingrijpende veranderingen tot gevolg hebben. En naast bovengenoemde vragen zullen er nog meer opkomen voordat de wet van kracht wordt. Ik verwacht de komende maanden dan ook veel artikelen omtrent de nieuwe privacywet.

Wellicht zal er ook enige onrust ontstaan. De datum waarop de privacywet ingaat, staat al vast, terwijl er technisch nog wel een aantal aanpassingen nodig zijn om als marketeer te kunnen voldoen aan de eisen. Vaak zien we dat er voorbeelden gesteld worden om ervoor te zorgen dat de wet serieus genomen zal worden. Aangezien de in het vooruitzicht gestelde boetes hoog zijn, kan dat funest zijn voor zowel kleine als grote partijen.

Of blockchain-gebaseerde partijen een rol van betekenis gaan spelen op korte termijn, valt nog te bezien. Er zal onder consumenten wel eerst meer awareness van online privacy moeten komen om vraag te creëren naar dergelijke oplossingen. De consument moet gestimuleerd worden zelf actief aan de slag te gaan met het (laten) wissen van de digitale voetsporen. De blockchain-based partijen die de bestaande cirkel van DSP, exchange en SSP willen vervangen, waaronder BAT, zouden voor meer transparantie moeten zorgen.

Het is afwachten hoe snel de adoptie van dergelijke partijen zal verlopen. Vaak duurt het een langere tijd voordat een nieuwe manier van adverteren geaccepteerd wordt. Zo werd headerbidding, dat net als de blockchain-based oplossingen voordelen biedt aan adverteerders en vooral publishers, al een aantal jaren geleden geïntroduceerd en lijkt dit nu pas echt opmars te maken.

De transparantie die blockchain-based partijen kunnen bieden, leidt voor adverteerders tot minder waste van budgetten en voor uitgevers tot meer opbrengsten. In combinatie met de zich aandienende GDPR-regelgeving zou dit kunnen zorgen tot een stroomversnelling in de adoptie. Een interessante ontwikkeling is het sowieso.