Hoe wordt frank.news GDPR-proof? – deel 1

De deadline van de GDPR nadert. Wie na 25 mei niet aan de nieuwe privacyregels voldoet, riskeert forse boetes. Ook frank.news is nog lang niet GDPR-proof maar wordt het wel. In deze serie nemen we onze lezers mee langs hobbels en valkuilen, zin en onzin en de impact van de GDPR op de marcom branche.

 

Er doen veel horrorverhalen de ronde over de General Data Protection Regulation (GDPR), maar voor sommige bedrijven in de marcom branche wordt het nog veel erger. Wie stiekem achter de rug van consumenten om klantdata verzamelt, puur om die voor marketingdoeleinden te verkopen of te gebruiken, is de klos. Dat businessmodel houdt na 25 mei op te bestaan.

 
In media- en marketing worden ze vaak cowboys genoemd. Ze plaatsen met of zonder medeweten van exploitanten en webshops plug-ins en cookies op websites, volgen het online consumentengedrag en verdienen hun geld met het opstellen van profielen en de verkoop van klantendata. Maar ook grote adverteerders, de Google’s en Facebooks, exploitanten en bureaus bedrijven op die manier marketing, bijvoorbeeld bij het volgen van de customer journey en op het gebied van programmatic advertising. Bij dat laatste worden klantenprofielen via Real Time Bidding in een split second verhandeld op een veiling, waarna de internetgebruiker een advertentie op een website of app krijgt voorgeschoteld.

 

Toestemming uitgebreider 

Dit zou je allemaal legaal kunnen maken als je hiervoor toestemming van de online consument vraagt, zoals we al in een eerder verhaal over de GDPR schreven. Veel websites vragen nu al toestemming aan hun bezoekers via een cookie-consent. Die worden na 25 mei een stuk langer en uitgebreider. De consument moet namelijk voor verschillende vormen van dataverzameling en -verwerking toestemming geven.

Bijvoorbeeld voor analytics doeleinden, om hun gedrag op de website te monitoren en de juiste content op maat aan te kunnen bieden. Prima, niks mis mee. Dat zullen de meeste wel aanvinken. Voor A/B-testing, om te zien wat het beste werkt. Ook dat zal niet vaak een probleem zijn. Toestemming om hun conversiegedrag te monitoren is wellicht nog geen drempel. Maar er is ook consent nodig om data voor marketingcampagnes te gebruiken. Bijvoorbeeld voor programmatic advertising. Of voor het doorverkopen van persoonsgegevens voor commerciële doelen. Daar begint een cookie-consentformulier op een adblocker te lijken en wordt het lastig. Want als je mensen de keuze geeft om daar ja of nee op te antwoorden, zal een groot deel geen toestemming geven. Bovendien staan de instellingen standaard op ‘niet verzamelen’. Dat betekent dat een flinke portie van de handel in profielen via programmatic verdwijnt en dat het bij die specialisten ontslagen gaat regenen.

 

Data-verzoek kost 450.000 dollar 

Maar zelfs als je die toestemming hebt, ben je als bureau, exploitant of adverteerder niet GDPR-proof. Dat is pas één van de zes stappen om op een rechtmatige manier - de GDPR noemt dat lawfulness - persoonsgegevens te verzamelen en te verwerken. Volgens de wet houden burgers de controle over wat er met hun persoonsgegevens gebeurt, dus moeten ze altijd inzage kunnen krijgen in alle data die over hen zijn verzameld en opgeslagen. Die moeten op hun verzoek verwijderd worden, als ze hun toestemming weer intrekken. Een voorbeeld: als Microsoft een dergelijk verzoek krijgt en in al zijn software, clouddiensten en andere producten op zoek moet naar alle date van een consument, kost dat 450.000 dollar per case, zo liet Hans van der Meer, Business group manager Microsoft 365, tijdens het GDPR-congres van Piwik Pro in Rotterdam weten.

 

Alleen data voor legitiem doel

Voor de marcom branche is een andere voorwaarde om rechtmatig data te verzamelen misschien nog wel de belangrijkste: die heet legitiem belang (legitimate interest). Simpel gezegd: als je iemands persoonsgegevens verzamelt en verwerkt om schoenen te verkopen hoef je niet te weten of iemand getrouwd is. Of als iemand geabonneerd is op een nieuwsbrief, mag diens e-mailadres niet gebruikt of verkocht worden om reclame heen te sturen. ,,Voor dataverwerking voor digitale marketing is in alle gevallen toestemming vereist. Het verwerken van persoonsgegevens, puur voor direct marketing doelen, kan gezien worden als een legitiem belang, maar alleen in sommige gevallen. Als ik een fles champagne moet verwedden of dit voldoet aan de eis van legitiem belang, dan denk ik 80 procent niet en 20 procent wel,” zegt onafhankelijk consultant en lid van de Ethics advisory group of the EDPS (European Union’s independent data protection authority) Aurelie Pols.

 

Klachten kosten geld 

Na alle congressen en seminars over GDPR die we als frank.news de afgelopen maanden hebben bezocht, de whitepapers die we hebben gelezen, en na alle zelfbenoemde experts en deskundigen die we moesten aanhoren, is het een verademing om naar haar te luisteren. Waar we bijna door de bomen het bos niet meer zagen, legde Pols in haar verhaal tijdens dezelfde Piwik Pro-conferentie duidelijk en eenvoudig uit hoe het zit. Behalve de bovengenoemde zijn er namelijk nog tal van harde eisen die de GDPR stelt. Je moet veilig omgaan met persoonsgegevens, niet meer data verzamelen dan nodig, er vertrouwelijk mee omgaan et cetera. Want als consumenten niet blij zijn, kunnen ze klagen. In Nederland bij de Autoriteit Persoonsgegevens (AP). En die kan boetes opleggen oplopend tot 20 miljoen euro of 4 procent van de jaaromzet van een bedrijf. Omdat er honderden haken en ogen aan de wet zitten, hebben veel grote bedrijven een Data Protection Officer (DPO) aangesteld.

 

Wet geldt in de EU 

Voor wie geldt de GDPR? Ook daar word verschillend over gedacht, maar Pols is er duidelijk over. ,,Voor iedereen die zich in de EU bevindt. Ook als dat Amerikanen zijn. Dat zal nog veel frictie geven tussen Europa en de VS,” zegt ze. Het zorgt er volgens haar voor dat internationale bedrijven als Amazon, Google en Facebook zich niet aan de wet kunnen onttrekken.

 

Slagveld 

Welke bedrijven worden hard getroffen door de nieuwe privacyregels van de GDPR? Dat valt nog te bezien. Tekenend is wel dat het grote data-techbedrijf Drawbridge zich terugtrekt uit de Europese advertentiemarkt. Het bedrijf verzamelt op alle manieren klantendata, maar heeft geen platform of website om daar toestemming voor te vragen aan de consument. Daarom kan het nooit GDPR-compliant worden.

Dat wordt trouwens voor veel bedrijven de uitdaging de komende maanden. Het Amerikaanse adviesbureau Forrester voorspelt dat 80 procent van de bedrijven op 25 mei nog niet voldoet aan de GDPR-regels. De helft daarvan neemt het risico van hoge boetes op de koop toe. Dichter bij huis denkt auditbureau Brand Compliance dat 80 tot 90 procent van de MKB bedrijven in Nederland en België niet op tijd aan de nieuwe eisen voldoet. Het bureau signaleerde meteen een ander probleem: er bestaat nog geen officiële certificeringen voor de GDPR. Daarom heeft Brand Compliance zelf een standaard ontwikkeld, die het samen met de NEN tot nationale standaard hoopt te verheffen. Daarnaast biedt de International Association of Privacy Professionals (IAPP) trainingen en certificaten aan voor DPO’s en CDO’s (Chief Data Officers).

Nu zal de bakker die in zijn computer heeft staan dat een klant glutenallergie heeft, niet snel een bezoekje van de Autoriteit Persoonsgegevens krijgen. Ook andere MKB-bedrijven niet. Maar omdat ze vaak dienstverlener of leverancier voor grotere overheidsorganisaties, banken of bedrijven op het gebied van IT, HR, websites of marketing zijn, moeten ze wel GDPR-proof zijn om die als klant te behouden.

 

Hoe zit het met frank.news?

Ook frank.news is nog lang niet zover. We verzamelen en analyseren data van bezoekers om hen de juiste content te kunnen bieden en om onze nieuwssite te blijven verbeteren. Dat zijn vrij anonieme persoonsgegevens. Maar we hebben geen zicht op wat andere plug-ins op de site, zoals Google, Disqus of Facebook, met de gegevens van onze lezers doen. Daar zijn we echter wel voor verantwoordelijk. ,,We hebben niet dezelfde problemen als publishers die hun advertentie-inkomsten zien dalen omdat ze geen cookies meer kunnen plaatsen,” stelt directeur Titus Eikelboom. ,,Maar we zullen wel moeten veranderen en daarom gaan we een compleet nieuwe site en platform bouwen.”

Daarover meer in de volgende aflevering van de serie.