Personalisatie-issues: shampoo voor de kale man
Sjoera Nas en Renske Nouwens over gevolgen van e-Privacy Verordening
Met de wens om te personaliseren en juist de afkeer van veel consumenten voor aantasting van hun privacy, lijkt het alsof marketeers en de markt twee kanten op willen. Hoeveel klopt daarvan? Enerzijds is er de ’trend’ van eerlijkheid en authenticiteit, anderzijds leven we in een tijd van bigger data. De ePV zou de kaders van de wet moeten schetsen, maar het blijft lastig. “Natuurlijk zijn er bedrijven met een hoge risk appetite, die veel geld verdienen met persoonsgegevens en misschien de letter van de wet wel naleven, maar zeker niet de geest.”
Data van klanten zijn goud waard en je hoort er verantwoord mee om te gaan. Na de Algemene Verordening Gegevensbescherming (AVG) werkt de EU aan een nieuwe wet die grote impact heeft op dataverwerkingen: de e-Privacy Verordening (ePV). Met de komst van de Algemene Verordening Gegevensbescherming (AVG) staat dataprotectie hoog op de agenda, zéker bij marketeers. De impact van de ePV kan opnieuw fors zijn als cookie-muren worden verboden en Privacy by Design verplicht wordt. Bijvoorbeeld in de instellingen van browsers. Mag je bijvoorbeeld onder de e-Privacy Verordening nog adverteren op Facebook en via DoubleClick?
“De impact van de ePV kan opnieuw fors zijn als cookie-muren worden verboden en Privacy by Design verplicht wordt”
Het niet voldoen aan wet- en regelgeving of een datalek levert substantieel risico op voor je imago en financiën. Maar ook klanten vragen steeds vaker naar de kwaliteit van privacy en datamanagement. Kun je je eigenlijk onderscheidend positioneren op het gebied van e-Privacy? Renske Nouwens en Sjoera Nas zijn respectievelijk commercieel directeur en senior privacy-adviseur bij Privacy Company en hebben zich er serieus op ingevreten. Een interview met vragen en antwoorden over de letter en de geest van een wet waar consumenten reikhalzend naar uitzien en die bedrijven opnieuw doet huiveren. Toch?
Sjoera Nas en Renske Nouwens geven een masterclass over Privacywetgeving en Digitale Marketing met volop aandacht voor de aanstaande e-Privacy Verordening (ePV). Lees meer of schrijf je in op de NIMA-site.
Uit een recent onderzoek onder CMO’s bleek dat gepersonaliseerde marketingcommunicatie wordt beschouwd al dé denkrichting. Iedereen wil – zo lijkt – heel dicht op de huid van zijn klanten en prospects zitten. Waarom is dat toch?
Renske Nouwens: “Personalisatie wordt al jaren beschouwd als dé manier om mass-marketing klantgerichter te maken. Zo blijven bedrijven onderscheidend ten aanzien van concurrentie, en voelt de klant zich ook echt aangesproken met een relevante boodschap of aanbod. Tegelijkertijd is het privacybewustzijn aan het groeien. Bij consumenten, bedrijven en ook bij marketeers. De klant stelt bewust informatie ter beschikking om een passende boodschap te ontvangen. Het wordt een afspraak tussen klant en bedrijf, voor een afgesproken doel. Zo ontstaat er een gelijkwaardige relatie. Dat betekent dat je als marketingdirecteur niet zomaar alle gegevens kan en mag gebruiken die je bedrijf heeft of inkoopt. Het is ook belangrijk om hier afspraken over te maken met je leveranciers en derde partijen.
Niet elke CMO is ervan op de hoogte welke klantinformatie, persoonsgegevens, er binnen de organisatie wordt gebruikt om te personaliseren. Bijvoorbeeld in Facebook-campagnes en via Double-Click. En daar gaan in het licht van de AVG en de huidige ePrivacy-regels aanzienlijke bedrijfsrisico´s mee gepaard.”
Sjoera Nas: “Ik kan goed begrijpen dat bedrijven een band willen opbouwen met hun klanten. Het aantrekken van nieuwe klanten kost veel geld en moeite. Mensen kunnen via online prijsvergelijkers heel makkelijk overstappen naar een ander product of ander bedrijf. Maar het kan ook doorslaan. Personalistatie is niet altijd de holy grail, zoals kort geleden ook in een veelgelezen en – besproken artikel van de Correspondent werd uitgelegd. Veel ogenschijnlijk gepersonaliseerde advertenties werken helemaal niet.”
Met die wil om te personaliseren in het achterhoofd en juist de afkeer die veel consumenten voelen voor aantasting van hun privacy, lijkt het alsof marketeers en de markt twee kanten op willen. Hoeveel klopt daarvan?
Nouwens: “Het gaat om transparantie. Welke afspraken maken we met elkaar? Als bedrijf én met de klant. Ik geef jou deze informatie, en jij, als marketeer, belooft er zus en zo mee te doen. En niets anders. Afspraak is afspraak. Je hebt iets te kiezen als consument. Als jij niet wilt dat ik jouw data gebruik, dan doe ik het niet. Even goede vrienden. Ik denk dat dit past in de trend van eerlijkheid en authenticiteit, in de tijd van big data. Maar ook in een tijd waar de stem van een individuele klant steeds meer gehoord wordt en bedrijven hier serieus mee om gaan.”
“Marketeers zijn bang dat consumenten afhaken als ze eerlijke uitleggen wat ze doen”
Nas: “Ik denk dat het grootste probleem en risico is dat mensen niet weten of communicatie afgestemd is op hun vermeende interesses en behoeften. Die aannames kunnen tot grappige vergissingen leiden, zoals shampoo-reclames voor een kale man, of tot ernstige maatschappelijke risico’s zoals beïnvloeding van de verkiezingsuitslag. Terwijl marketeers bang zijn dat consumenten afhaken als ze eerlijke uitleg geven over wat ze doen, en om die reden liefst zo min mogelijk uitleggen. Dat is een lastig dilemma, maar ik denk niet dat je een levensvatbaar bedrijf bent als je dienstverlening afhankelijk is van de onwetendheid van je klanten. Je neemt als CMO ook bewust het risico op boetes als je je klanten niet juist informeert.
Als je eerlijk uitlegt dat je bijvoorbeeld socialemedia-trackingcookies gebruikt om het effect van je advertenties op de sociale media te meten, zodat je minder geld hoeft uit te geven aan de werving van nieuwe klanten, willen mensen daarmee best instemmen. Dat gaat ook op voor personalisering van nieuwsbrieven. Ik denk dat de meeste mensen niet weten hoeveel de verzender kan zien over hun leesgedrag. Dat een bedrijf bijvoorbeeld met trackingpixels kan zien óf en hoe laat, een e-mail is geopend, naar wie de mail is doorgestuurd, op welke links de ontvangers hebben geklikt, hoe lang de mail op de voorgrond van het scherm is blijven staan. Noem maar op. Terwijl veel mensen dat best zullen begrijpen als je uitlegt dat je die gegevens alleen gebruikt op algemeen statistisch niveau, om te kijken of je je stijl van communiceren kunt verbeteren. En als je mensen ook uitlegt dat ze de pixels of cookies kunnen uitzetten in hun browser. Nog zo’n issue: bijna geen enkel bedrijf legt uit hoe, op welke kenmerken je wordt gepersonaliseerd. Het maakt een groot verschil in de privacybeleving of er alleen onderscheid wordt gemaakt naar geslacht, leeftijd en aankoopgedrag, of dat je voorkeuren veel heimelijker en ingrijpender in kaart zijn gebracht. Bijvoorbeeld op basis van individueel surfgedrag en correlaties met aankoopgedrag van ‘vergelijkbare’ consumenten.’
Sinds de komst van de Algemene Verordening Gegevensbescherming (AVG) staat dataprotectie hoog op de agenda van marketeers en bedrijven. En toch blijft het soms on-be-grijpelijk mis gaan. Hoe is dat toch mogelijk? Welke krachten werken hier?
Nouwens: “Dat hangt ervan af wat je bedoelt met mis gaan. Enerzijds zie je het ontstaan of ontdekken van datalekken, anderzijds zie je het bewust niet naleven van wetgeving, met boetes als gevolg. De AVG is een kaderstellende wet en geeft veel richting, maar laat ook ruimte om naar eigen inschatting maatregelen te nemen voor gegevensbescherming. Veel bedrijven hebben alle maatregelen uitgewerkt, maar nog niet alles is al organisatiebreed en compleet werkend geïmplementeerd. Er wordt nog veel praktijkervaring opgedaan met het naleven van de wet. In de dagelijkse realiteit van een technisch complexe omgeving, met continu nieuwe features en updates, komt weleens een datalek voor. Belangrijk om incidenten en datalekken te voorkomen, maar het is minstens zo belangrijk om te zorgen dat iedereen weet wat te doen, als het gebeurt. Wat dat betreft zijn we op de goede weg, maar nog lang niet klaar. Het vergroten van privacy awareness is een van de grote uitdagingen in deze.”
Nas: “Wij zien dat heel veel bedrijven en marketeers van hele goede wil zijn, maar dat er soms gewoon geen duidelijk antwoord is op hele concrete vragen. Omdat de toezichthouders of de rechter er nog niet over hebben geoordeeld, en omdat de ePrivacy wetgeving nu van land tot land verschilt. Daarmee wil ik niet zeggen dat de AVG te algemeen zou zijn, want de open formuleringen in de verordening zijn essentieel om alle verschillende technische manieren te beoordelen die er zijn om gegevens te verwerken.”
“Ik verwacht dat bedrijven met hoge boetes te maken kunnen krijgen”
“Natuurlijk zijn er bedrijven met een hoge risk appetite, die veel geld verdienen met persoonsgegevens en misschien de letter van de wet wel naleven, maar zeker niet de geest. Ik verwacht dat bedrijven in dit kwadrant met hoge boetes te maken kunnen krijgen. Niet alleen van de privacytoezichthouders, maar ook van de mededingstoezichthouders in Europa en de VS. De Amerikaanse Federal Trade Commission gaat mogelijk een recordboete opleggen aan Facebook, en de Duitse mededingstoezichthouder heeft net ook een rapport gepubliceerd dat Facebook de wet overtreedt door mensen geen keuze te geven bij het koppelen van de Whatsapp-gegevens. Het eerste voorbeeld van een grote AVG-boete is de 50 miljoen euro die de Franse toezichthouder aan Google heeft opgelegd.”
Jullie stellen in de toelichting op de workshop die jullie geven dat de impact van de ePV kan opnieuw fors zijn voor marketeers. Het is dus kennelijk naief om te denken dat je er met een AVG-instelling wel komt….
Nas: “Als een bedrijf op dit moment in control is van de AVG-naleving, is er geen reden tot paniek. De toekomstige ePrivacy verordening eist voor veel verwerkingen specifieke toestemming en informatie, maar organisaties die hun bedrijfsvoering de afgelopen jaren AVG-compliant hebben gemaakt, hebben al een goed beeld van risicovolle verwerkingen. Ze zullen in veel gevallen zelf al tot de conclusie zijn gekomen dat ze beter moeten informeren, en waar nodig, om toestemming vragen, of simpelweg minder verzamelen of bewaren, waardoor toestemming niet nodig is…”
Geef eens een voorbeeld…
“Een winkel wil het aantal bezoekers tellen op basis van wifitracking. De nieuwe ePrivacy Verordening gaat waarschijnlijk de regel bevatten dat je dergelijke signalen wel mag opvangen, maar dat je om toestemming moet vragen om bezoekers door de tijd heen te herkennen. Als je de unieke mac-adressen van de mobieltjes onmiddellijk, op de sensor, anonimiseert, hoef je géén toestemming te vragen. Dan ben je op een hele privacy- én gebruiksvriendelijke manier gegevens aan het verwerken.”
“Het vergroten van privacy-awareness is een van de serieuze uitdagingen”
Dat klinkt voor de leek al vrij technisch. Even gewoon heel praktisch: Hoeveel moet je in detail weten van de ePV? Of anders: Wat zou iedere marketeer met een elektronische persoonsdatabase moeten weten?
Nas: “Omdat er nog volop wordt onderhandeld over de ePV zijn de exacte maatregelen nog niet duidelijk. Als je als marketeer nu al goed op de hoogte bent van de wetgeving rond het sturen van gevraagde en ongevraagde e-mail, het plaatsen en lezen van cookies en het gebruik van gegevens uit de inhoud van communicatie en je houdt je er in de praktijk ook aan, ben je goed op weg. Dat zijn de huidige regels in hoofdstuk 11 van de Telecommunicatiewet.”
En als je kennis van de ePV vertaalt naar een competitief voordeel? Hoe kun je gebruikmaken van een voorsprong op het gebied van kennis en toepassing van ePV?
Nouwens: “Het gaat om transparantie en authenticiteit. Open en eerlijk zijn naar consumenten en het vertrouwen van klanten kunnen winnen. Daardoor bouw je als marketingbestuurder aan een langdurige relatie, en halen jouw klanten weer andere mensen over om ook klant te worden. Als CMO moet je kunnen uitleggen hoe je aan de data van consumenten komt en wat je ermee doet. Anders riskeer je enorme reputatieschade. Niet alleen door boetes van de toezichthouder, maar ook door klachten van influencers.”
Culture eats strategy for breakfast, zo wordt weleens gesteld. Hetzelfde lijkt te gelden voor omgang met de privacy van mensen – klant of niet. Kennen jullie voorbeelden van bedrijven waar ze een gezonde cultuur hebben zonder dat die hun succes in de weg staat? Voor welk bedrijf hebben jullie bewondering?
Nas: “De lijst goedwillende bedrijven is vele malen langer dan de lijst kwaadwillende organisaties. Persoonlijk moet ik als oud-woordvoerder van XS4ALL en lid van het actiecomité XS4ALLmoetblijven natuurlijk toch wel één naam noemen.”
“We staan echt pas aan het begin van een grote verandering”
Nouwens: “Ik sluit me bij Sjoera aan. Ik spreek veel goedwillende partijen in verschillende sectoren. Maar we staan hier echt pas aan het begin van een grote verandering. Persoonlijk vind ik onze eigen klant – sorry, mag wel toch? – Transvision een mooi voorbeeld. Dat heeft zijn privacymanagement met goed gevolg laten auditen. Het geeft aan dat je privacy hoog op de agenda hebt staan en dat je het door een externe auditor dúrft te laten beoordelen.”