01 feb Wat zijn de gevolgen van de AVG-wet voor mijn organisatie en de marketingactiviteiten?

De nieuwe privacywetgeving komt eraan! Vanaf 25 mei 2018 treedt de AVG-wet in werking. Maar wat betekent dit eigenlijk en wat voor gevolgen heeft dit? In de nieuwe wet staan nieuwe richtlijnen voor het verzamelen van data. De wet bestaat om zo de privacy van een gebruiker van een website beter te waarborgen. De wet zal op bijna alle marketingactiviteiten van een organisatie op het gebied van de verwerking van persoonsgegevens een impact hebben.

 

Verzameling van data

Voor het verzamelen en opslaan van persoonsgegevens moet vooraf toestemming gegeven worden door de gebruiker van de website. Deze persoonsgegevens worden onderverdeeld in 3 categorieën:

1. Persoonsgegevens: gegevens als naam, adres, woonplaats, IP-adres en device ID’s.

2. Pseudo-anonieme data: gegevens die zo verwerkt worden dat ze niet langer herleid kunnen worden zonder gebruik van aanvullende informatie, maar die er wel voor zorgen dat een persoon als individueel wordt beschouwd. Bijvoorbeeld gegevens als een versleuteld e-mailadres of gebruikers-ID.

3. Anonieme data: met de AVG-wet mogen persoonsgegevens en pseudo-anonieme gegevens met een duidelijke opt-in en opt-out worden gebruikt voor gespecificeerde en rechtmatige doeleinden. Maar deze gegevens mogen niet verder verwerkt worden op manieren die niet overeen komen met deze doeleinden.

Vooral bij tracking informatie gaat het vaak om pseudo-anonieme data vergaring. Het komt vaak voor dat hierover een misvatting is dat dit anonieme data zijn. Hierbij is goed nieuws! De data die via tracking-id’s verzameld wordt van de website, vallen in veel gevallen niet onder de AVG-wet. Dit komt doordat de gebruiker van de website door aanvullende informatie herleid kan worden en hierdoor individualiseerbaar is.

Standaard tracking mag dus gewoon gebruikt worden, alleen moet er duidelijk vermeld staan welke data wordt verzameld en voor welke doeleinden dit gebruikt wordt. Veel websites hebben hier echter moeite mee momenteel en vangen dit op met cookies of een impliciete opt-in, waarbij de gebruiker van de website een akkoord geeft voor het verdere gebruik van de website. Echter is het namelijk zo dat wanneer een gebruiker in het verleden toestemming heeft gegeven voor het verwerken van de persoonsgegevens, hij zich ook op welk gewenst moment zichzelf eenvoudig moet kunnen afmelden met behulp van een opt-out.

 

De aanvullende wetgeving: ePrivacy Regulation

Naast de AVG-wet komt een aanvullende wetgeving. Momenteel wordt er gewerkt aan een nieuwe versie van de ePrivacy Regulation. Deze nieuwe wet moet meer duidelijkheid geven over hoe de opt-in verzameld moet worden. Hierin staan onder andere punten als bepalingen over het gebruik van de cookieregels en metadata.

In het voorstel van de wet wordt gekeken naar het invoeren van de cookie-instellingen via een browser. In de browser moeten privacyopties worden aangeboden die door de gebruiker zelf ingesteld kunnen worden. Deze lijst moet gaan over lagere en hogere privacy, met verschillende tussenliggende varianten. Hierbij is het van belang dat de instellingen duidelijk zichtbaar en begrijpelijk zijn voor de gebruiker van een website.

Advies: Loop de tracking informatie en de cookies na en houdt deze tegen de nieuwe regels/richtlijnen, vermeldt hierna de juiste informatie in de cookiemelding voor de gebruiker.

 

Verzamelen en analyseren van persoonsgegevens

Allereest een korte uitleg over wat profiling is. Profiling is het verzamelen, analyseren en combineren van persoonsgegevens met als doel iemand in te delen in een bepaalde funnel, een bepaalde categorie of profiel. Het gedrag van gebruikers kan worden voorspelt door middel van data-profilering. Daarnaast kan hiermee ook een beslissing over een gebruiker worden genomen.

Data-profilering bestaat uit 3 stappen:

Stap 1: verzamelen van persoonsgegevens

Stap 2: analyseren en combineren van persoonsgegevens

Stap 3: zoeken naar verbanden en patronen bij gebruikers om ze zo in te delen in een bepaalde categorie en/of hun gedrag te voorspellen.

In de nieuwe wetgeving staat dat de organisatie moet benoemen van welke vormen aan data-profilering zij gebruikmaken, met de daarbij behorende consequenties voor de gebruiker. Hierbij moet tevens de mogelijkheid worden aangeboden dat de gebruiker zich kan uitschrijven voor de desbetreffende functionaliteit. Daarnaast moeten de gegevens beveiligd worden door bijvoorbeeld scripting, hashing en encrypting.

Online advertising, personlisatietools, toekomstige toepassingen van machine learning, kunstmatige intelligentie en remarketing zijn allen gebouwd op data-profilering.

 

Marketing automation campagnes

Voor systemen voor een marketing automation campagne moet ook expliciet worden bijgehouden wanneer en waarvoor een akkoord is gegeven. De gebruiker die toestemming geeft moet namelijk weten waarvoor toestemming wordt gegeven en waarvoor de gegevens worden gebruikt. Gewoonlijk heeft een marketing automation campagne een websitescript dat de lead verder volgt op persoonsniveau, om zo een score bij te houden voor verdere sales. Dit dient bij het akkoord in de campagne dan ook aangegeven te worden, inclusief het aspect van de tracking.

 

Bewaren van persoonlijke data

Wanneer de gebruiker toestemming heeft gegeven om zijn persoonlijke data te verzamelen, moeten de gegevens op een transparante manier worden verwerkt. Dit betekent dat er aangegeven moet worden hoe lang de data wordt opgeslagen door de organisatie.

Maar wanneer mag de persoonlijke data van gebruikers dan worden bewaard? De persoonsgegevens mogen alleen bewaard worden als deze bestemd zijn voor historische, statische of wetenschappelijke doeleinden. Daarnaast mogen de gegevens niet langer dan nodig bewaard worden, wanneer de gegevens niet meer noodzakelijk zijn moeten ze worden verwijderd. Wanneer de gebruiker eerder vraagt om de gegevens te verwijderen is de organisatie verplicht dit direct uit te voeren.

Advies: Voor het bewaren van persoonlijke data is het van belang een raamwerk op te stellen met hierin beschreven welke data wordt verzameld, hoe de data gebruikt wordt en hoe lang het bewaard mag worden.

 

Wat zijn de rechten van gebruikers?

Ook de rechten van de gebruiker worden meer verduidelijkt in de nieuwe wetgeving. Deze rechten worden in de nieuwe wetgeving nog concreter, dit zal ervoor moeten zorgen dat organisaties op een heldere manier data van gebruikers zullen verzamelen en opslaan. Daarnaast ook dat de gebruiker van een digitaal kanaal meer controle en inzicht heeft in de behoud van de persoonsgegevens.

Vanaf 25 mei 2018 heeft de gebruiker recht op de volgende zaken:

  • Toegang tot de eigen persoonlijke gegevens
  • Inzicht in waar de gegevens zijn opgeslagen en hoe ze gebruikt worden
  • Rectificatie
  • Vergeten worden
  • Beveiligde omgevingen

Het nadeel hierbij is echter dat het technisch gezien vaak niet mogelijk is om een individuele gebruiker of cookie te verwijderen.

 

Mogelijkheden AVG-wet

Maar de nieuwe wet biedt natuurlijk ook mogelijkheden! Met de nieuwe wet kunnen organisatie laten zien wat ze doen met de data die ze verzamelen, dit creëert juist weer een kans! Wanneer de organisatie open en eerlijk is zorgt dit voor helderheid en duidelijkheid bij de gebruiker en leidt dit naar verwachting tot meer begrip bij gebruikers.

Voor organisaties is het erg belangrijk om goed voorbereid te zijn voordat de nieuwe regelgeving ingaat. Door alles op een rijtje te hebben en zetten en toestemming te vragen waar nodig is aan de gebruikers. Vervolgens dient dit stapsgewijs gedocumenteerd te worden. Daarnaast hiermee ook laten zien wat je als organisatie doet met de gegevens.

 

Meer weten?

Wil je meer informatie over de nieuwe privacywetgeving of heb je hier vragen over? Stuur dan een mail naar info@bubblefish.nl!