De Europese privacywet en datagedreven marketing
Artificial intelligence (A.I.) in de marketing
Door data uit veel bronnen aan elkaar te knopen, komt een schat aan informatie beschikbaar. Gegevens die worden verzameld over de individuele klant, worden door marketing automation platforms met behulp van Artificial Intelligence geanalyseerd om toekomstig gedrag te voorspellen. De inzet van kunstmatige intelligentie maakt het eenvoudig om persoonlijk relevante mails te sturen. De consument heeft hier voordeel bij, want die wordt alleen benaderd met wat voor hem of haar interessant is. Een luchtvaartmaatschappij als KLM, met 599 bestemmingen, kan aanbiedingen afstemmen op de interesses en het reisgedrag van de klant; een webwinkel als Wehkamp, met 180.000 artikelen, kan de samenstelling van een nieuwsbrief baseren op individueel zoek- en aankoopgedrag.
Relevant of irritant
De inzet van A.I. zorgt voor relevantie in marketinguitingen, maar hoever mogen organisaties en bedrijven gaan bij het verwerken van persoonsgegevens? Stel je voor dat elke aanmelding voor een autoverzekering wordt getoetst op basis van voorspeld rijgedrag. Bepalen de door de klant bezochte websites en gebruikte zoektermen (boetes.nl, autoschade) of uitingen op Twitter en Facebook (een selfie met de deuk in mijn auto) straks hoe hoog de premie wordt? Wat voor een verzekeraar nuttig lijkt, is waarschijnlijk onwenselijk voor de klant. Hoe zit het met de digitale privacy?
Sinds 25 mei 2018 is er een nieuwe Europese privacywet. De AVG (Algemene Verordening Persoonsgegevens of in het Engels: GDPR (General Data Protection Regulation). De boetes bij overtreding liegen er niet om: maximaal 20 miljoen Euro, of 4% van de jaaromzet, als dat bedrag hoger is. Deze wet is, als het goed is, toekomstbestendig en beter geschikt voor het digitale tijdperk.
Waarom de AVG?
Alle EU-lidstaten hadden voorheen nationale wetgeving op het gebied van verzamelen en verwerken van persoonsgegevens. Die wetten waren gebaseerd op de EU-privacyrichtlijn uit 1995. Om even een idee te geven: De EU telde toen 15 leden (nu -nog- 28), Ajax won de Champions League, Sony introduceerde de Playstation, SBS6 begon met uitzenden, en gewone mensen hadden nauwelijks internettoegang (in 1995 0,6% van de wereldbevolking, in 2014 was dat al 39% en sinds er smartphones zijn is internettoegang wereldwijd geëxplodeerd).
Voor bedrijven en organisaties die in meerdere (Europese) landen zaken doen, was het vòòr de AVG veel werk om per land uit te zoeken en bij te houden wat er wel en niet mocht. Daar kwamen soms hoge juridische kosten aan te pas. Alle privacywetten en -regels binnen de EU zijn per 25 mei 2018 vervangen door de AVG. De EU wil met de wet de regels versimpelen, de burger meer zeggenschap over zijn data geven en het makkelijker maken om ook controle te houden over data die over de landsgrenzen van de lidstaten gaat. De wet geldt voor alle persoonsgegevens van burgers en inwoners van de Europese Unie.
Wat staat er in de AVG?
Er komt nogal wat bij kijken om te voldoen aan de eisen. Enkele belangrijke aandachtspunten:
Wat zijn persoonsgegevens: De definitie is ruim: “Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Behalve naam, adres, geboortedatum en e-mailadressen, gaat het bijvoorbeeld ook om klantnummers, kentekens, telefoonnummers, foto’s, online nicknames en IP- of MAC-adressen.
Rechten van de burger: Elke natuurlijke persoon is eigenaar van zijn persoonsgegevens. Hij/zij heeft recht op inzage, rectificatie in het geval van onjuistheid of verwijdering uit een database. En ook op bezwaar tegen verwerking van data voor direct marketing. Ook dataportabiliteit is geregeld, personen hebben (onder voorwaarden) het recht om hun gegevens in een standaardformaat te ontvangen. Zo kunnen zij deze doorgeven aan een andere leverancier van eenzelfde soort dienst, ook in andere Europese landen.
Toestemming voor gebruik: Burgers moeten middels een actieve handeling toestemming geven voor het gebruik van hun gegevens. Voor elk specifiek doel waarvoor deze gebruikt gaan worden, moet apart toestemming worden verkregen. In het geval van personen onder de 16 moet iemand met ouderlijk gezag mede toestemming geven.
Aansprakelijkheid: Ook partijen die in opdracht gegevens bewerken of verwerken, kunnen straks aansprakelijk worden gesteld voor overtredingen. Het is daarom van belang om een goede verwerkersovereenkomst te sluiten.
Beleid op directieniveau
Elke organisatie die data verzamelt en bewerkt (n.b. bewaren valt ook onder bewerken) moet kunnen aantonen dat ze voldoet aan alle verplichtingen van de AVG. Het is niet genoeg om even het privacystatement te herschrijven: het gaat ook om achtergrondprocessen als het zorgvuldig documenteren van opt-ins, het kunnen voldoen aan verzoeken om inzage, aanpassing, portabiliteit en zelfs het compleet wissen van persoonsgegevens uit een database. Dat zijn geen zaken om aan de IT- of marketingafdeling over te laten. Dit vraagt om kennis en beleid op ‘C’ niveau binnen een organisatie.
Actiepunten voor verwerkers en beheerders van persoonsgegevens
DPO en PIA: Het is belangrijk om uit te zoeken of het nodig is een (interne of externe) Data Protection Officer (DPO) aan te stellen. Bij grote en gevoelige projecten is het meestal nodig om een Privacy Impact Assessment (PIA) uit te laten voeren.
Verplicht datalekken melden: Verwerking van persoonsgegevens in het algemeen hoeft niet meer te worden aangemeld bij de Autoriteit Persoonsgegevens, maar datalekken moeten binnen 72 uur gemeld worden.
Administratie, Privacy by Design en by Default: Een CRM of Marketing Automation systeem moet bijhouden wanneer en waarvoor een opt-in is gegeven. De standaardinstellingen van een systeem moeten zo privacyvriendelijk mogelijk zijn (vooraf aangevinkte vakjes zijn niet toegestaan). Het moet uiteraard eenvoudig zijn om een opt-out te geven.
Verwerkersovereenkomst tussen verantwoordelijke (opdrachtgever) en verwerker: Hierin worden in elk geval de volgende zaken vastgelegd: doel van de gegevensverwerking, soort persoonsgegevens dat verwerkt wordt, wie kan de gegevens inzien en verwerken, beveiliging, uitvoeren van audits, en vernietigen of terugleveren van de gegevens aan de verantwoordelijke.
Register van verwerkingen: De AVG verplicht zowel de Verwerkingsverantwoordelijke als de Verwerker tot het bijhouden van een Register van verwerkingen. Wat daar in moet worden opgenomen lees je hier.
Inventarisatie
Het is een goed idee om een inventarisatie maken van alle systemen en processen waarmee je persoonsgegevens (al dan niet bijzonder) verwerkt. Zorg dat je weet welke gegevens je verzamelt, waarom, hoe en op welke grondslag je deze verwerkt, hoelang je ze bewaart, hoe de beveiliging is geregeld en of je op verzoek van de betrokkenen binnen een redelijke termijn in staat bent de gegevens te wijzigen, verwijderen of in een gangbaar formaat over te dragen.
Blijf alert
Kunnen we erop vertrouwen dat Marketing Automation die gebruik maakt van kunstmatige intelligentie zich aan de Europese wet houdt? Sommige mensen maken zich zorgen dat kunstmatige breinen zich zo gaan ontwikkelen dat ze niet meer te beheersen zijn. Alle grote Marketing Automation systemen zijn echter aangepast aan de eisen van de AVG en worden voortdurend up-to-date gehouden. Het is wel zaak om processen voor dataverwerking goed te bewaken en altijd alert te blijven op (mogelijke) problemen/overtredingen.
Eigen verantwoordelijkheid van de consument
De privacywetgeving was allang ingehaald door de techniek en de nieuwe regels die burgers beschermen zijn dan ook nodig. Telefoon, energiemeters, tv, koelkast en zelfs wasmachine zijn tegenwoordig ‘smart’ en met het internet verbonden. Maar wie gratis gemak wil, betaalt daar natuurlijk altijd een prijs voor, bijvoorbeeld door (niet altijd bewust) data te delen. De afgelopen jaren hebben zowel producenten als consumenten geïnvesteerd in de ontwikkeling en aankoop van slimme producten, wat weer meer mogelijkheden biedt aan hackers om data te bemachtigen.
Het is ook de verantwoordelijkheid van de consument zelf om zijn eigen data te beveiligen. Sterker nog: de nieuwe wetgeving is speciaal bedoeld om Europese burgers de volledige controle te geven over hun eigen persoonsgegevens. Misschien is een voorlichtingscampagne voor de consument over omgaan met persoonlijke data dan ook een goed idee.
Dit artikel is geactualiseerd op 15 augustus 2019
Meer achtergrondinformatie en tips:
Het Britse Advocatenkantoor White & Case heeft een heel naslagwerk gepubliceerd over de juridische gevolgen van de AVG/GDPR, die ondanks de voorgenomen Brexit ook in het VK zal gaan gelden.
Andere informatiebronnen: