Hoe gaat het met GDPR/AVG, een half jaar na D-Day?

16 november 2018, 14:00

Verslag van Online Tuesday #83 over data-privacy

Marketeers in heel Europa raakten dit voorjaar flink in paniek door de invoering van privacy-richtlijn GDPR, in Nederland beter bekend als de AVG. Na de deadline werd het echter stil. Hoe staan we er een half jaar later voor? Online Tuesday maakte de balans op, met een DDMA-jurist en drie ervaringsdeskundigen. “Wie dit niet regelt, bouwt een tijdbom.”

Een half jaar geleden was het D-Day: op 25 mei 2018 moesten alle bedrijven in Europa voldoen aan General Data Protection Regulation (GDPR). De Europese Unie, die dit nieuwe beleid heeft ingevoerd, sprak zelf over “de belangrijkste verandering in dataprivacy-regulering van de afgelopen twintig jaar”. Maar wat gebeurde er de dag na 25 mei?

Niets. Helemaal niets.

Met een uitgestorven prairie-landschap wordt die 26e mei verbeeld door Dennis Saaltink, Marketing Privacy Officer bij ANWB. “Het liefst had ik er het geluid van een krekel onder gemonteerd”, lacht hij. Maar direct weer serieus: “De aanloop naar de deadline was geen leuke fase. Heel veel Excel-sheets invullen, onder dreiging van naderende boetes. Media en belangengroepen keken mee, dus wil je alles goed doen. Hectisch, maar je werkt naar een heldere deadline toe, dat is wel zo prettig.”

Volgens Saaltink, die gedurende zijn carrière (onder meer Sanoma, Philips en Danone) geleidelijk in privacy rolde, dachten veel marketeers op 25 mei dat ze klaar waren “na het zetten van alle benodigde vinkjes”, maar niks is minder waar.

“Als marketeer ontkom je er niet aan om een verwerkingsregister in te vullen. Dat hebben bedrijven braaf gedaan in de aanloop naar de deadline, maar ik heb zo’n vermoeden dat de meeste registers nadien niet meer open zijn gegaan. Mijn tip: blijf het actief bijwerken. Dat staat wel zo positief als de Autoriteit Persoonsgegevens (AP) ter controle op bezoek komt.”

“Autoriteit Persoonsgegevens lijkt heel stil, maar dat is stilte voor de storm”

Wie dacht dat het met die controles wel los zal lopen, komt volgens Saaltink bedrogen uit. “De AP lijkt heel stil, maar dat is stilte voor de storm. De organisatie is in het afgelopen halfjaar verdubbeld in omvang. Bovendien is de eerste boete al uitgedeeld: het UWV kreeg een dwangsom van 150.000 euro per maand vanwege de slechte beveiliging van persoonsgegevens. Het is een no-brainer dat grote bedrijven als Google en Facebook gaan worden vervolgd, maar ik verwacht een tweede golf van paniek zodra het eerste kleinere bedrijf wordt aangeklaagd. Geloof me: de mensen bij AP zijn meer aan het doen dan alleen lunchen.”

Saaltink toont een grafiek die het vertrouwen van consumenten in bedrijven weergeeft. “We zitten in een vertrouwenscrisis, dus moeten we dat vertrouwen terugwinnen.” Het moge duidelijk zijn dat goed privacybeleid daar een bijdrage aan kan leveren. “De nieuwe wetgeving raakt een gevoelige snaar, de toon is niet verkeerd. Veel klanten zijn zich simpelweg niet bewust van de risico’s.” Dit betekent wel dat bedrijven hier serieus mee moeten omgaan. “De privacy-geest is uit de fles. Dit is geen millennium-bug! Zie het als een hygiënefactor voor je bedrijfsvoering. Wie dit niet regelt, bouwt een tijdbom.”

Verwarring over privacy-richtlijn

Deze Online Tuesday over de impact van GDPR wordt vanwege de complexe thematiek geleid door een heuse vakspecialist: Matthias de Bruyne is als huisjurist van DDMA (zie ook hun Privacy Monitor) veel bezig met de Algemene verordening gegevensbescherming (AVG). Ook schreef hij meerdere blogposts over dit onderwerp voor Marketingfacts, die gezien de urgentie extreem goed werden (en worden) gelezen. In zijn nabespreking met Saaltink stipt hij aan dat er nog veel onduidelijk is over deze nieuwe Europese privacy-richtlijn. Zo gaan EU-lidstaten er soms verschillend mee om. Daar komt nog bij dat de AP geen voorstander schijnt te zijn van de grondslag ‘gerechtvaardigd belang’. Kortom: als zelfs de toezichthouder al twijfelt, is het niet gek dat ook bedrijven ermee worstelen.

“In de paniek rondom de GDPR-deadline hebben veel bedrijven dingen gedaan die juridisch gezien helemaal niet hoefden”

Iemand die het allemaal wat luchtiger ziet, is Lejo Duivenvoorde, CEO van EDM Digital Solutions. Deze ‘veteraan in marketing’ (hij begeleidde ooit de beursgang van World Online publicitair) handelt tegenwoordig in data en is van mening dat dit prima binnen de grenzen van de wet kan. “Het is een misverstand dat de AVG gelijk staat aan privacy, want nog altijd gelden de Wet Persoonsgegevens en de Telecomwet. In de paniek rondom de GDPR-deadline hebben veel bedrijven dingen gedaan die juridisch gezien helemaal niet hoefden. Daardoor zijn ze onnodig veel klanten kwijtgeraakt. Zorg dat je werkt met goede verwerkingsovereenkomsten, dan kom je achteraf niet voor verrassingen te staan.”

Een ander misverstand is volgens Duivenvoorde dat opt-in de beste methode zou zijn. “Dat is per definitie niet waar. Ten eerste leven veel cookies niet langer dan 24 uur, ten tweede sluit je een grote doelgroep uit. Opt-out is eerlijker richting mensen die niet actief zijn met consent geven, zoals ouderen. Bovendien zit vooraf toestemming vragen met name opkomende bedrijven zoals startups dwars. Dat is een verkeerd effect, want je wil juist meer concurrentie.”

Duivenvoorde vindt dat de AP de plank misslaat met haar uitleg over direct marketing. “Je moet toch bijvoorbeeld per post met een consument kunnen communiceren om überhaupt toestemming te kunnen krijgen.” Dit alles in ogenschouw nemend concludeert de EDM-topman: “Gerechtvaardigd belang is een veel completere en meer praktische rechtvaardiging dan opt-in.”

Privacy-vriendelijke zoekmachine

Een compleet andere benadering van de privacy-problematiek wordt bepleit door Christiaan Solcer, CMO van de privacy-vriendelijke zoekmachine Startpage.com. De dienst introduceert dit weekend een nieuwe functie waarbij zoekresultaten ook anoniem bezocht kunnen worden. Een ‘AVG-boost’, zeg maar. “Ik ben een marketeer en heb ook veel met data en advertising gewerkt, maar bij mijn huidige werkgever weet ik bewust niets van mijn klanten”, zegt Solcer. “Wij hebben 6 miljoen zoekopdrachten per dag en 2 miljard per jaar, maar we slaan geen klantgegevens op. Bij Startpage kun je dansen terwijl niemand kijkt.”

De zoekmachine, die deze zaterdag een rebranding ondergaat, bestaat al sinds 1998 maar herpositioneerde zichzelf in 2007 pas echt tot ‘privacy search engine’. Je zou het ironisch kunnen noemen dat Startpage draait met het algoritme van Google, maar dat is volgens Solcer niet heel gek: er zijn wereldwijd slecht vier grote zoekindexen en de alternatieven zijn Chinees of Russisch – of Bing. Dan is de keuze niet zo heel gek. Concurrent DuckDuckGo draait op Yahoo, maar “doet daar heel geheimzinnig over” – ook niet heel erg transparant.

“Als marketeer van Startpage.com weet ik bewust niets van mijn klanten”

Het interessante aan de casus van Startpage is dat dit bedrijf zijn marketingstrategie aanpaste aan het privacy-bewustzijn van de consument. “Privacy is freedom, maar dat resoneert niet bij het grote publiek. Mensen overtuigen van het belang van privacy duurt heel erg lang. Daarom gaan we nu mensen proberen te vinden die het al snappen. Zeg maar de 5 procent sceptici. Onze boodschap aan hen: denk eens na over alternatieven.”

Zodoende positioneert Solcer zijn werkgever als een “zoekmachine voor erbij” en dat werkt. “Wij haten Google niet. Wij kunnen geld verdienen zonder klantdata op te slaan. Advertising is louter gebaseerd op die ene zoekopdracht die je doet. Je hoeft je bij ons dus geen zorgen te maken over wat we van je weten.”

Dat is dus ook een manier om geen last te hebben van GDPR. De Bruyne vat de avond samen als “drie heel verschillende verhalen over privacy”. De essentie van die drie verhalen is dat er veel mogelijk is, maar dat je er – als bedrijf én als consument – goed over moet nadenken. Daarbij geldt voor bedrijven vooral: maak waar wat je belooft. Dan wordt privacy geen gevaar, maar een kans. Betrouwbaarheid is namelijk de kurk waarop merken drijven.

Online Tuesday is het maandelijkse event over online marketing dat wordt georganiseerd door Marketingfacts, DQ&A, Newpeople en Traffic4U, en gesponsord door hoofdsponsor Pünktlich en subsponsoren Awin, Affiliate Summit en EDM Digital Solutions. De huidige locatie-sponsor is IBM.

Foto’s: Jaimy Gail (in opdracht van Online Tuesday)

Jeroen Mirck
Communicatieadviseur bij Gemeente Beverwijk

Jeroen Mirck (1971) was hoofdredacteur van Marketingfacts van januari 2018 tot augustus 2020. Momenteel is hij communicatieadviseur bij Gemeente Beverwijk. Eerder was hij journalist voor media als Adformatie, MarketingTribune, Emerce en De Ondernemer.

Categorie

Marketingfacts. Elke dag vers. Mis niks!