GDPR/AVG en de impact op digital marketing
De AVG heeft veel impact op digital marketing en raakt vrijwel alle vakgebieden: van analytics en conversie-optimalisatie tot display advertising, social media en de inzet van Google AdWords of Bing Ads. In een serie blogposts delen verschillende specialisten van Traffic Builders komende weken hun visie op GDPR/AVG. Elk vanuit hun eigen vakgebied, aangevuld met praktische aandachtspunten die komende maanden op de agenda van elke digital marketer zouden moeten staan.
In deze blogpost ga ik in op de voor (digital) marketeers relevante achtergrond van de AVG. Daarnaast deel ik enkele praktische aandachtspunten waar je direct mee aan de slag kan.
GDPR en AVG in context
AVG staat voor Algemene Verordening Gegevensbescherming. De AVG is een directe afgeleide van de Europese verordening genaamd GDPR: General Data Protection Regulation. Met AVG en GDPR wordt dus naar dezelfde wetgeving verwezen. De AVG, die per 25 mei 2018 gehandhaafd wordt, vervangt de huidige Wet bescherming persoonsgegevens (Wbp).
De voorgangers: de Wbp en “cookiewet”
De Wbp is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens (95/46/EG) en is sinds 1 september 2001 van kracht. In 2012 werd daarnaast de “cookiewet” ingevoerd; feitelijk een aanscherping van de Telecommunicatiewet art. 11.7a. De cookiewet had tot gevolg dat voorafgaande toestemming vereist werd voor het plaatsen van cookies of anderszins opslaan van persoonlijk identificeerbare gegevens. Dit leidde tot het gebruik van cookiebars en cookiewalls zoals we die nu kennen. Later in 2015 werd de cookiewet versoepeld, waardoor functionele cookies en analytische cookies onder voorwaarden werden uitgesloten van de noodzaak tot voorafgaande instemming.
Waarom de AVG?
De AVG of GDPR is in werking getreden op 25 mei 2016 met de afspraak dat deze pas 2 jaar later, op 25 mei 2018, gehandhaafd zou worden. Zo werd een overgangsperiode gecreëerd tussen de huidige Wbp en de AVG. De AVG brengt een uitbreiding van de privacyrechten, legt meer verantwoordelijkheid bij de organisaties die persoonsgegevens verzamelen en bewerken en biedt de toezichthouders steviger mogelijkheden tot handhaving. Ten behoeve van handhaving heeft de Autoriteit Persoonsgegevens als toezichthouder onder andere de mogelijkheid tot het opleggen van forse boetes, oplopend tot €20.000.000 of 4% van de wereldwijde jaaromzet bij forse overtredingen (wat hoger is).
Lex specialis: de ePrivacy Verordening
Naast de AVG is er een zogeheten “lex specialis”, oftewel een specifieke wetgeving die meer duiding geeft aan hoe de Algemene Verordening Gegevensbescherming geïnterpreteerd dient te worden; de ePrivacy Verordening. De ePrivacy Verordening specificeert de wijze waarop de vertrouwelijkheid van de inhoud van elektronische communicatiegegevens geborgd dient te worden. De ePrivacy Verordening zou oorspronkelijk tegelijk met de AVG in werking treden op 25 mei 2018. Maar in december 2017 werd door het Europees Parlement tot uitstel besloten, waardoor op het moment van schrijven onduidelijk is wanneer de verordening precies van kracht wordt. Hierdoor is een soort vacuüm ontstaan waardoor het nog moeilijk te bepalen is hoe de Autoriteit Persoonsgegevens als toezichthouder de wet zal interpreteren; naar de letter, of met enige pragmatische speelruimte. Totdat er jurisprudentie is zal deze onduidelijkheid op veel vlakken blijven.
Het is niet ondenkbaar dat de nieuwe ePrivacy verordening de komende maanden nog wordt versoepeld. Een dergelijke versoepeling zou ertoe kunnen leiden dat, onder voorwaarden, tracking van data voor functionele en analytische doeleinden op geaggregeerd niveau alsnog zonder expliciete toestemming mogelijk wordt. Vooralsnog moet het uitgangspunt voor digital marketeers echter zijn dat voor alle vormen van tracking opt-in/opt-out vereist is.
Belangrijke juridische aspecten van de AVG/GDPR
Als (digital) marketeer is het belangrijk om op de hoogte te zijn van de ethische en juridische aspecten van je vakgebied. Niet op de laatste plaats omdat overtredingen van de wet ook forse (financiële) consequenties kunnen hebben. We zetten daarom enkele belangrijke juridische aspecten van de AVG voor je op een rij.
3 Rollen
De AVG onderscheidt in beginsel 3 verschillende rollen voor betrokkenen bij de verwerking van persoonsgegevens, namelijk:
- Data Subject/Betrokkene: de natuurlijk persoon van wie de persoonsgegevens worden verwerkt, bijv. een bezoeker, lead, klant of sollicitant, etc.;
- Controller/Verantwoordelijke: de (rechts)persoon die het doel en de middelen van gegevensverwerking bepaalt, bijv. je eigen organisatie;
- Processor/Verwerker: de (rechts)persoon die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt. Denk hierbij aan partners/leveranciers zoals je digital mediabureau, Google als eigenaar van Google Analytics of die freelancer die je soms inschakelt ter ondersteuning van de digital marketing afdeling.
5 Belangrijke juridische vereisten
Daarnaast kent de AVG onder andere de volgende 5 cruciale juridische vereisten om altijd in het achterhoofd te houden:
- Opt-in/opt-out: de Betrokkene dient volledige controle te hebben over wie op welk moment over welke persoonsgegevens beschikt;
- Duidelijkheid over de wijze en doelmatigheid van gegevensverwerking: de Betrokkene moet te allen tijde op toegankelijke wijze worden geïnformeerd omtrent het wie, wat, hoe en waarom van gegevensverwerking. Denk hierbij niet alleen aan de vindbaarheid van informatie, maar ook aan bijv. duidelijk taalgebruik;
- Eigenaarschap: de Betrokkene is en blijft eigenaar van de persoonsgegevens die op hem of haar betrekking hebben en Verantwoordelijken voor gegevensverwerking dienen deze persoonsgegevens in sommige gevallen ook porteerbaar of overdraagbaar te maken;
- Privacy by Design: bij de ontwikkeling van producten en diensten (maar dus ook bij de ontwikkeling van een website), moet de verzameling, beveiliging en bewaartermijn van gegevens worden afgestemd op het doel waarvoor de gegevens worden verwerkt;
- Privacy by Default: houdt in dat je de technische en organisatorische maatregelen neemt om ervoor te zorgen dat je standaard alléén de gegevens verwerkt die noodzakelijk zijn voor het doel waarvoor je ze verzamelt.
Persoonsgegevens vs. pseudo-anonieme gegevens
Met de introductie van de AVG is ook de definitie van persoonsgegevens aangescherpt. Bij de verwerking van data kan grofweg onderscheid worden gemaakt tussen persoonsgegevens, pseudo-anonieme gegevens en anonieme gegevens. Onderstaande tabel toont enkele voor digital marketing relevante voorbeelden.
Persoonsgegevens | Pseudo-anonieme gegevens | Anonieme gegevens | |
Definitie | Geïdentificeerd of identificeerbaar persoon. | Niet herleidbaar naar een natuurlijk persoon zonder aanvullende informatie, wel individualiseerbaar. | Buiten de scope van AVG. |
Voorbeelden |
|
|
Met de invoering van de AVG vallen dus meer datatypen onder persoonsgegevens dan onder de huidige wetgeving. Maar er zijn meer belangrijke verschillen met grote impact voor je website en digital marketing activiteiten.
De impact van AVG op digital marketing
Websiteformulieren
Vrijwel alle formulieren op je website vragen om persoonsgegevens. Denk aan NAW-gegevens voor offerte- of bestelformulieren, of het e-mail adres voor een nieuwsbriefinschrijving. De Privacy by Design en Privacy by Default uitgangspunten van de AVG vereisen dat dergelijke gegevens versleuteld verzonden worden via https. Daarnaast mogen niet meer gegevens worden gevraagd dat noodzakelijk voor het doel waarvoor de gegevens worden verwerkt. Ook mogen checkboxes waarmee om instemming wordt gevraagd niet zomaar standaard aangevinkt staan, omdat er dan geen sprake meer is van expliciete toestemming.
Privacy & cookie statement
De kans is groot dat de AVG ook consequenties heeft voor het privacy & cookie statement op je website. Dit zijn enkele belangrijke aandachtspunten waarop je je huidige privacy statement kunt controleren:
- Eenvoudig taalgebruik: precieze en volledig beschrijving van gegevensverwerking;
- Doelmatigheid en/of wettelijke basis;
- De bewaartermijn van data, voor elk van de typen data die je verzamelt;
- Vereiste ondubbelzinnige toestemming, opt-in en opt/out mogelijkheden;
- profilering die plaatsvindt;
- Vermelding van de (rechts)personen waarmee data wordt gedeeld (“Verwerkers”);
- Recht tot inzage, wijziging, verwijdering of overdracht van gegevens;
- Mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens;
- Naast bedrijfsgegevens ook de naam en contactgegevens van de persoon die namens de organisatie verantwoordelijk is voor privacy en gegevensverwerking.
Let er specifiek bij de eerste 3 punten op dat je dit doet voor elk van de verschillende doeleinden van gegevensverwerking. Met andere woorden: als je website meerdere formulieren bevat die data verzamelen voor verschillende doeleinden, dan dient elk van die doeleinden te worden beschreven. Ten aanzien van bijv. een bewaartermijn geldt dat deze voor gegevens afkomstig uit een bestelformulier (Data Subject/Betrokkene wordt daarmee klant) anders zijn dan voor bijv. een sollicitatieformulier (Data Subject/Betrokkene) wordt daarmee sollicitant).
Gespecificeerde en expliciete opt-in/opt-out
Onder de huidige wetgeving kan in sommige gevallen worden volstaan met impliciete toestemming op basis van “een handeling van actieve wilsbestemming”. Een voorbeeld van een dergelijke handeling, is het doorklikken van de webpagina van binnenkomst naar een volgende pagina op de website, nadat de bezoeker in een cookiebar is geïnformeerd over het gebruik van cookies. Op deze tweede pagina wordt vervolgens de datacollectie geïnitieerd.
Onder de AVG geldt als voorwaarde dat ondubbelzinnige toestemming moet zijn gegeven; persoonsgegevens en pseudo-anonieme mogen alleen met expliciete opt-in en opt-out toestemming worden gebruikt, en dan alleen wanneer sprake is van “gespecificeerde expliciete en rechtmatige doeleinden”. Verantwoordelijken voor gegevensverwerking dienen ook aan te kunnen tonen dat de toestemming op geldige wijze is verkregen.
Dit noodzaakt je als marketeer al snel tot het gebruik van een cookiebar of cookiewall, in combinatie met een tag management systeem en database of register van opt-ins en opt-outs. Werkt je website nog niet met een tag management systeem of Data Management Platform, dan is dit het moment om die opties serieus te overwegen. Zonder een dergelijk systeem is het beheer van alle tools en tracking scripts op de website een serieuze uitdaging, met alle risico’s op overtreding van de AVG van dien.
Profilering van bezoekers
Profilering van bezoekers, bijvoorbeeld ten behoeve van de opbouw van interesseprofielen, (re)targeting doeleinden of on-site personalisatie van content, mag alleen als de precieze werking hiervan en impact voor de bezoeker duidelijk zijn. Beschrijf de werking en doeleinden van profilering dan ook in het privacy & cookie statement van je website. Hierbij is het van belang dat ook wordt beschreven welke tools worden gebruikt, welke cookies zij plaatsen en hoe je deze als bezoeker ook weer kunt verwijderen.
Maar denk ook aan de contracten of (algemene) voorwaarden die van toepassing zijn op de relatie van je organisatie met klanten. Want wanneer je bijvoorbeeld RLSA binnen Google AdWords of display retargeting gebruikt voor een bezoekerssegment van bestaande klanten (door datacollectie op een bedanktpagina of binnen een ‘Mijn-omgeving bijvoorbeeld) is daarvoor toestemming vereist. Vermelding van deze vorm van datacollectie voor deze doeleinden in je privacy statement of cookie policy is niet langer afdoende.
Recht op vergetelheid & dataportabiliteit
Met de introductie van de AVG krijgen natuurlijke personen naast het recht op inzage ook “het recht op vergetelheid”, oftewel het recht om vergeten te worden. Dit betekent dat alle informatie die van natuurlijke personen verzameld wordt door deze personen is op te vragen en op eerste verzoek ook verwijderd dient te worden. Daarnaast kan worden verzocht tot het overdragen van informatie in een gestandaardiseerd dataformaat. Zo kunnen gegevens eenvoudig worden overgedragen aan een ander bedrijf dat soortgelijke producten of diensten levert, zoals een verzekeraar. Op de website van de Autoriteit Persoonsgegevens zijn de Nederlandstalige richtlijnen voor dataportabiliteit beschikbaar.
Digital marketer: neem het voortouw!
Zoals je hebt kunnen gelezen komt er met de AVG veel op je af als digital marketeer. In deze blogpost heb ik bewust uitgebreid stil gestaan bij de belangrijkste juridische aspecten van de AVG. Waarom? Omdat ik ervan overtuigd ben dat dit je tot een beter gesprekspartner maakt binnen je organisatie, zeker als je in een meer corporate omgeving werkzaam bent. Want onze ervaring leert dat wanneer je als (digital) marketing professional niet in de voorhoede deelneemt aan de AVG/GDPR-discussie, je al snel achter de feiten aan loopt. Hierdoor loop je het risico dat veel analyse- en advertentiemogelijkheden die belangrijk zijn voor je digital marketing succes, beperkt of zelfs volledig afgesloten worden. Uit onwetendheid over de precieze technische werking, uit angst voor de juridische consequenties en boetes bij overtreding, of beide.
Neem dus het voortouw bij het gereedmaken van je organisatie voor de AVG op 25 mei 2018. Hierbij alvast enkele concrete, algemene actiepunten die je direct op je agenda kan zetten. In de andere blogposts in deze serie lees je meer over de impact van AVG-GDPR op:
- Digital analytics;
- Content Marketing;
- Customer Experience Optimization (CXO);
- Display Advertising;
- Social Media Advertising;
- Search Engine Advertising (SEA).
Direct aan de slag met de AVG!
Met onderstaande punten kun je direct zelf al aan de slag:
- Inventariseer:
- Welke data je verzamelt;
- Van wie je dat doet;
- Met welk specifiek doel;
- Welke tools en partners (“Verwerkers”) hierbij betrokken zijn;
- Hoe data wordt verwerkt en opgeslagen;
- Maak op je website gebruik van https encryptie, in elk geval voor de formulieren;
- Zorg voor Verwerkersovereenkomsten met belangrijke partners en toolleveranciers;
- Update je cookie policy en privacy statement
- Neem het voortouw!
Voorbereid op de AVG/GDPR met Traffic Builders
Wil je zeker weten dat jouw organisatie klaar is voor de GDPR/AVG in de context van digital marketing en analytics? Informeer dan vrijblijvend naar hoe we ook jou kunnen helpen. Van quickscan tot volledige implementatie; onze specialisten helpen je graag voorbereid te zijn op wat nu al de belangrijkste wetgeving voor digital marketing belooft te worden. Neem contact met ons op.