Door Derek Visser

Het afgelopen anderhalf jaar heb ik in ignorant bliss geleefd rond de AVG. Voor mij stond het gewoon voor aardappelen, vlees, groente. Dat ik niet de enige ben die in zelfverkozen onwetendheid heeft geleefd is wel duidelijk door alle plotselinge beroering rond het onderwerp in marketingkringen. Voor diegenen die geen idee hebben waar ik het over heb: de afkorting AVG staat voor het gezellige begrip Algemene Verordening Gegevensbescherming. De AVG is de Nederlandse implementatie van de Europese GDPR - General Data Protection Regulation.

Vanaf 25 mei dit jaar wordt er actief toegezien of de wet wordt nageleefd. Allereerst moet het even gezegd worden: de GDPR / AVG is veel breder dan alleen online data en dataverzameling. Het gaat over het gebruik van data binnen de gehele organisatie. In dit artikel richt ik me op de impact van AVG voor online marketing en ben daarom verre van compleet.

Ondanks dat de AVG voor mij voelt als een naheffingsaanslag van de Belastingdienst heb ik mijn tanden er in gezet. Mijn tijd en levensgeluk opgeofferd om voor de (online) marketeer uit te zoeken wat de AVG nou eigenlijk betekent voor ons. Daarom zonder verder oponthoud: AVG: Wat betekent de privacywet voor online marketing?

Dit moet je eerst weten: pseudo-anonieme data en persoonsgegevens

De essentie van de AVG betreft een verschuiving van perspectief, naar ‘permission based marketing’. De privacyrechten van het individu worden uitgebreid en van organisaties wordt verwacht dat zij schriftelijk kunnen verantwoorden dat hun dataverzameling en dataverwerking voldoet aan de wet. Het is duidelijk dat een ergens in de footer verstopt linkje naar een privacy policy straks niet meer volstaat.

Expliciete toestemming is benodigd wanneer je gaat werken met persoonsgegevens - oftewel persoonlijk herleidbare gegevens maar ook wanneer je werkt met pseudo-anonieme data. En juist in die pseudo-anonieme data zit het venijn.

Pseudo-anoniem houdt in dat data niet direct herleid kan worden tot een persoon maar wel over een individueel geval gaat. Zoals ik het zie is het verschil tussen pseudo-anoniem en anoniem het verschil tussen row-based (of time-series) data en geaggregeerde data. Alle data die door middel van een unieke identifier iets zegt over een individu valt onder de noemer pseudo-anoniem.

Waar het op neerkomt is dat je met de invoering van de AVG voor persoonlijke- en pseudo-anonieme data expliciet toestemming nodig zal hebben voor de verzameling, het gebruik en de verwerking ervan. Met toestemming van de gebruiker mag je deze data verzamelen, maar alleen wanneer deze data ook echt benodigd is voor het doel dat je ermee zegt te willen bereiken.

De grote vraag waar het daarom straks om draait is: waarom zou een gebruiker toestemming geven voor bepaalde soorten gegevensverzameling en verwerking? Wat is de incentive voor de gebruiker om data te delen?

Wat mag straks echt niet meer?

Enigszins problematisch is dat de AVG uit richtlijnen bestaat en niet uit praktische regels. Een organisatie mag alleen data verzamelen als dat nodig is voor specifiek aangegeven doeleinden en hier de gebruiker expliciet van op de hoogte stelt. Dat betekent dat je heel goed na moet gaan denken bij een hoop zaken die nu een beetje in het grijze gebied vallen.

Denk aan het aanmaken van customer match lijsten in Facebook of remarketing lijsten bouwen in AdWords op basis van email adressen. Dit gaat om persoonsgegevens en hier heb je dus ondubbelzinnig toestemming voor nodig van de mensen wiens emailadressen je gebruikt. Zijn je klanten / gebruikers er echt goed van op de hoogte dat je dit doet? Weten ze ook waarom je het doet? En wat is eigenlijk de incentive voor een klant of gebruiker om hun medewerking te verlenen aan jouw remarketinglijst?

Hoe zit het met analytics cookies?

Eerst het goede nieuws: voorlopig kun je (Google) Analytics blijven gebruiken, onder bepaalde voorwaarden. De GDPR / AVG is namelijk een algemene richtlijn die niet heel technisch (praktisch) omschrijft hoe implementatie precies plaats moet vinden. Regels over gebruik van cookies en implementatierichtlijnen volgen namelijk nog in de ePrivacy Regulation van Europese makelij.

Toch moet je mogelijk wel het een en ander doen aan je Analytics implementatie, wil je zonder toestemming te vragen Analytics draaien. Dit zijn regels die na de cookiewet door het CBP zijn opgesteld.

Hoe zit het met tracking?

Al noemen we tracking technologieën en cookies in het dagelijks taalgebruik vaak ‘geanonimiseerd’ of niet-persoonlijk herleidbaar valt dit soort data(verzameling) duidelijk onder de pseudo-anonieme data. Het betreft namelijk data die je op individueel niveau - al weet je de naam van het individu niet - verzamelt. Heeft deze gebruiker geconverteerd, wat is de conversiewaarde, het conversiepad, het gebruikte device, de geografie etc. ect. Allemaal pseudo-anonieme data. Dus verplicht om toestemming te vragen, heel duidelijk omschreven waarom je die data eigenlijk verzamelt en waarom dat noodzakelijk is.

Het is voor online marketeers overduidelijk dat een groot deel van onze toolset mogelijk wordt gemaakt door pseudo-anonieme data. De grote vraag voor veel online technieken en tools wordt dan ook: hoe gaan we de gebruiker er van overtuigen de meerwaarde of noodzaak in te zien van onze dataverzameling?

Wat als ik niet voldoe aan de AVG?

In Nederland zal de Autoriteit Persoonsgegevens actief gaan toezien op de implementatie van de AVG. Als je je zaakjes niet goed op orde hebt kan dat behoorlijk pijn gaan doen. Boetes van 4% van de jaaromzet zijn mogelijk, tot een bedrag van 20 miljoen euro.

Handhaving na de gedemoniseerde cookiewet is grotendeels uitgebleven, al had de OPTA, en in sommige gevallen de Autoriteit Persoonsgegevens, de mogelijkheid boetes uit te delen. Verwacht wordt dat handhaving van de GDPR / AVG strenger zal zijn, ook omdat dit een Europees-breed project is. Omdat Nederland wel vaker het braafste jongetje van de klas wil zijn op cookie & privacy gebied is het oppassen geblazen.

Vragen over de AVG / GDPR? Neem gerust even contact met ons op.