Hoe wordt frank.news GDPR-proof? – deel 2

De deadline van de GDPR nadert. Wie na 25 mei niet aan de nieuwe privacyregels voldoet, riskeert forse boetes. Ook frank.news is nog lang niet GDPR-proof, maar wordt het wel. In deze serie nemen we onze lezers mee langs hobbels en valkuilen, zin en onzin en de impact van de GDPR op de marcom branche.

Data van online consumenten verzamelen zonder consent kan na 25 mei niet meer. Maar ook het ongemerkt plaatsen van cookies en plug-ins op websites kan niet meer. Daarom hebben WordPress websites zoals frank.news een groot probleem.

 
Data vormt het cement van de advertentiebranche. ,,De technologische ontwikkelingen hebben het de afgelopen jaren steeds gemakkelijker gemaakt om mensen te profileren en hun gedrag te voorspellen,” vertelt Chief Data Officer (CDO) Youri van der Mijn van de Candid Group, Nederlands grootste onafhankelijke netwerk van media- en marketingbureaus en moederbedrijf van frank.news. ,,Vanuit marketingoogpunt zijn we steeds bezig met de vraag hoe we onze doelgroep het meest efficiënt kunnen benaderen, zodat ze bijvoorbeeld ons product kopen. Veel economische modellen in marketing draaien om het zoveel mogelijk verzamelen van data. Hoe meer persoonsgegevens je uiteindelijk hebt, hoe meer verrijkte profielen je kunt opstellen en hoe meer geld je daarmee kunt verdienen.”

 

Kop in het zand 

Daar wringt de schoen met de GDPR, die 25 mei van kracht wordt. Media, bureaus en marketeers volgen het online gedrag van de consument, maar als je geen persoonsgegevens meer mag verzamelen kun je hen ook niet profileren. Ook derde partijen die persoonsgegevens verkopen zonder dat ze daar toestemming voor hebben, gaan nat. Van der Mijn: ,,Er liggen aardig wat uitdagingen, maar ook genoeg kansen en oplossingen, ook al is er haast geboden. Nu steken veel adverteerders, bureaus en webshops nog hun kop in het zand. Die beseffen niet dat de wereld gaat veranderen, terwijl hun hele businessmodel er aan onderworpen is.”

 

Frank.news hartstikke fout

Frank.news verzamelt alleen data voor analytische doeleneinden. Van der Mijn: ,,We kijken wat mensen voor verhalen lezen en hoe lang. Dit helpt frank.news om de website te verbeteren en zo relevant mogelijke content aan te kunnen bieden voor de marcom branche. Dat is een legitieme reden om persoonsgegevens te verzamelen.”

Ook frank.news verzamelt die gegevens door een cookie te plaatsen, waarvoor de lezers om toestemming wordt gevraagd. ,,Toch doen we het volgens de nieuwe wet hartstikke fout,” stelt Van der Mijn. ,,De manier waarop nu een cookie wordt opgelegd, is niet de manier waarop het hoort. Daarnaast wordt er gebruik gemaakt van een Data Management Platform (DMP) dat op dit moment meer data verzamelt dan nodig. Dat staat haaks op wat de wet zegt, namelijk dat de persoonsgegevens moet worden beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Oftewel: minimale gegevensverwerking. Dat willen we dus zo snel mogelijk gaan veranderen door ook een nieuwe website te bouwen.”

 

Lek als een mandje 

Er is nog een ander probleem voor frank.news: plug-ins en cookies van derden. Toen de techneuten binnen de Candid Group die op de website gingen turven, kwamen ze op zo’n 230. Niet alleen van ons bekende partijen als Google, Facebook, LinkedIn, Twitter of Disqus, maar ook heel veel andere bedrijven en partijen die blijkbaar soms ongemerkt via een cookie onze lezers willen volgen en targeten. Hoewel frank.news niet weet wat ze met die gegevens doen, zijn we er volgens de GDPR wel voor verantwoordelijk. Van der Mijn: ,,Alle partijen waar frank.news zaken mee doet en die op de één of andere manier nodig zijn bij het verwerken van persoonsgegevens, worden onder de loep genomen. Dus ook bijvoorbeeld Facebook. Er zal vooraf moeten worden afgesproken wat zij precies met de gegevens van frank.news mogen doen. Dat zal in een verwerkersovereenkomst moeten worden vastgelegd. In de praktijk zal dit inzichtelijk gemaakt moeten worden in verwerkingsregisters, zodat wanneer de Autoriteit Persoonsgegevens (AP) aanklopt, de zaakjes netjes op orde zijn.”

 

WordPress is een probleem 

Frank.news is niet de enige website die zo lek is als een mandje. Het hebben van veel externe plug-ins en cookies is typisch een euvel voor websites die gebaseerd zijn op de open source software van WordPress. Die is heel praktisch om een mooie website te bouwen en te beheren, ook voor digibeten als ondergetekende. De gratis plug-ins zijn ideaal om bijvoorbeeld alle sociale platformen tegelijkertijd te integreren in plaats van stuk voor stuk. Maar voor niets gaat de zon op, want vervolgens collecteren deze plug-in partijen in alle stilte de gegevens van jouw bezoekers. ,,Die tijd is nu wel voorbij. Dergelijke partners zijn ook onderworpen aan het transparantiebeginsel van de GDPR. En ook hier zullen afspraken mee gemaakt moeten worden voordat er een verwerking plaatsvindt, anders heb je volgens de GDPR een groot probleem,” legt Van der Mijn uit.

 

30 Procent van internet 

Volgens WordPress maakt 30 procent van het internet gebruik van zijn software, van persoonlijke blogs tot de grootste online nieuwssites. Van Sony Music tot Vogue, van Renault tot de Newsroom van Facebook. In Nederland maken onder meer Emerce, RTL’s Koffietijd, Autoblog.nl, Reizen.nl, Tele2.nl, DeJaap.nl, NRC.next, Radio 538, TEED.nl, KPN Lokale Overheid en politieke partijen als D66 en PvdA gebruik van WordPress, zo blijkt uit gegevens van het bedrijf zelf. Die hebben dus vrijwel allemaal hetzelfde probleem als frank.news

 

Consent wordt moeilijker 

In ons eerste verhaal over de naderende GDPR-deadline legden we al uit dat veel bedrijven - zeker in de marcom branche - nog lang niet klaar zijn voor de nieuwe privacywet en dat daar grote klappen gaan vallen. Bedrijven mogen niet meer zonder één van de zes rechtsgronden (waaronder consent) consumentendata verzamelen en gebruiken. Uitgevers, webshops en andere websites kunnen daarvoor bijvoorbeeld toestemming vragen aan hun bezoekers en klanten op hun eigen website en platform. Bedrijven die dat voorheen achter de rug van de consument om deden en die geen eigen platform hebben waar ze de consument een cookie consent formulier kunnen voorschotelen, kunnen dat niet. Dat zijn er meer dan je zou verwachten.

 

Einde van businessmodel 

Op een website als YourOnlineChoices kun je bijvoorbeeld zien welke bedrijven cookies op de computer van consumenten hebben opgeslagen om gepersonaliseerde advertenties op het internet aan te bieden. De website is bedoeld om consumenten hun voorkeuren aan te laten geven. Ze kunnen de cookies daar dus niet verwijderen of uitzetten. Toch geeft de site een goed beeld van de achterdeur van je PC. Op een gemiddelde computer staan namelijk meer dan honderd cookies van bedrijven die data verzamelen. Ook op mijn computer. Terwijl ik de talloze data verwerkende bedrijven als Adara, Accordant Media (programmatic), AddThis, Adition, Adroll, Adux, Affecttv, Digitize, Xaxis en tientallen anderen die ongemerkt cookies hebben geplaatst daar nooit toestemming voor heb gegeven. En waarschijnlijk ook nooit toestemming voor zal geven. Die hebben dus na 25 mei een probleem: hun businessmodel houdt zowat op te bestaan. Consumenten hebben namelijk het recht om inzicht te krijgen in hun gegevens en kunnen eisen dat al hun persoonlijke data gewist worden. Als daar geen gehoor aan wordt gegeven, kan een consument een klacht indienen bij de Autoriteit Persoonsgegevens. Die kan deze bedrijven miljoenenboetes opleggen. Om deze reden heeft bijvoorbeeld het internationaal opererende bedrijf Drawbridge zich teruggetrokken van de Europese markt. Het verwacht namelijk niet dat het van consumenten toestemming krijgt om hun data voor marketingdoeleinden te gebruiken.

 

Piwik Pro 

Hoe gaan we als frank.news al deze problemen oplossen? Onder meer door de consent manager te gebruiken van het Poolse bedrijf Piwik Pro. Die maakt het mogelijk dat bezoekers precies aangeven waar ze wel en waar ze geen toestemming voor geven. En dat stap voor stap, terwijl ze de website doorlopen. Ook het geven van inzage of het verwijderen van persoonsgegevens gaat gemakkelijk. Dezelfde analytics- en datamanagement tool wordt onder andere door de Europese Commissie en verschillende grote overheidsinstanties gebruikt om hun systemen GDPR-compliant te maken. ,,Piwik Pro is in heel Europa dé partij waar overheden en financiële instellingen voor kiezen om hun GDPR-zaken op orde te hebben. Dat is dan ook de meest betrouwbare partij voor frank.news,” aldus Van der Mijn.

 
Over de bouw van het nieuwe platform van frank.news meer in de volgende aflevering van deze serie.

 

Lees hier ook deel 1:  Hoe wordt frank.news GDPR-proof?

https://www.frank.news/2018/03/23/privacywet-wie-overleeft-25-mei/