De gevolgen van de wetgeving voor digital marketing en data analytics worden onder de loep genomen tijdens het 'Ben jij klaar voor de AVG/GDPR?'. Op dit event van Platform Innovatie in Marketing (PIM), dat op dinsdag 31 oktober 2017 plaatsvindt op het hoofdkantoor van Aon in Rotterdam, wordt de nieuwe Europese privacywet vanuit diverse verschillende invalshoeken belicht. Het interactieve programma bied je de gelegenheid vast te stellen of jij als marketeer klaar bent voor de AVG/GDPR.

Een van de sprekers die avond is Matthias de Bruyne. Hij is als legal counsel privacy verbonden aan Data Driven Marketing Association (DDMA), de brancheorganisatie voor datagedreven marketing. Hij gaat niet alleen in op de aandachtspunten van de nieuwe privacywetgeving, die betrekking heeft op de opslag, het gebruik en de verwerking van persoonsgegevens. Hij loopt ook vooruit op de E-privacyverordening die regels gaat vastleggen omtrent e-mail, cookies en telemarketing.

De AVG bevat zes kernprincipes, duidt Matthias de Bruyne. Op deze principes zijn bijna alle onderdelen van de wet gebaseerd:
1. Transparantie en rechtmatigheid van de verwerking. Wees duidelijk over de gegevens die je verwerkt en zorg dat voor elk type verwerking duidelijk is wat jouw juridisch ‘rechtmatige grondslag’ voor deze actie is.
2. Doelbinding. Iedere verwerking heeft een duidelijk doel. Persoonsgegevens mogen pas verzameld worden wanneer deze nodig zijn voor dat doel.
3. Dataminimalisatie. De verwerking van persoonsgegevens moet beperkt worden tot datgene wat relevant en essentieel is voor het doel dat je wil bereiken. Méér gegevens verwerken dan nodig is, is dus niet toegestaan.
4. Accuraatheid. Zorg dat de persoonsgegevens die je verwerkt ook accuraat zijn en blijven. Wellicht is dit in een marketingcontext niet altijd van groot belang voor de betrokkene, maar zodra je denkt aan de overheid, financiële instellingen of medische instellingen, zijn foutieve data al snel een risico voor de betrokkene. De AVG vereist dat incorrecte data worden aangepast of verwijderd.
5. Retentie. Persoonsgegevens mogen alleen op een identificeerbare manier bewaard worden zo lang dit nodig is.
6. Integriteit en vertrouwelijkheid. Persoonsgegevens moeten passend beveiligd worden. Wees bewust van de risico’s en pas de beveiliging hierop aan.

“De huidige privacywetgeving in de EU-lidstaten wordt gevormd door implementaties van een Europese Richtlijn uit 1995. Een update was dus hard nodig”, vertelt Matthias de Bruyne. “De grootste impact komt voort uit de keuze voor een Verordening als wetgevingsinstrument. De huidige Richtlijn, de naam zegt het al, biedt een vrij grote marge aan de afzonderlijke lidstaten om te bepalen hoe zij deze wetgeving in hun land implementeren. Ten aanzien van de AVG/GDPR is gekozen voor het instrument Verordening. Dit laat veel minder bewegingsruimte aan de separate lidstaten, met een evenrediger speelveld voor de betrokken overheden, bedrijven en instellingen als gevolg. De bedoeling achter deze maatregelen is verdere harmonisatie van de privacywetgeving in Europa, zodat organisaties niet in ieder land met afwijkende regels te maken hebben.”

“In de aanloop naar 25 mei 2018 komt ongetwijfeld nog veel publiciteit rondom deze nieuwe wetgeving. De vraag is natuurlijk wat er overblijft als die storm gaat liggen. Persoonlijk denk ik dat de impact in sommige publicaties en presentaties ietwat overschat wordt. Het grootste deel van de regels uit de AVG is namelijk niet nieuw. Bestaande regels worden aangescherpt en nieuwe regels worden toegevoegd, maar de basis blijft hetzelfde. De hoge boetes, die aan de nieuwe wet zijn toegevoegd, zorgen dat de privacy van Europese consumenten nu een hoge urgentie krijgt in de bestuurskamers. Dit leidt ongetwijfeld tot een zorgvuldigere omgang met persoonsgegevens. Op het gebied van transparantie gaat de consument hier in ieder geval van merken dat er vaker geïnformeerd wordt over gegevensverwerking. Bovendien wordt straks frequenter gewezen op de rechten die je als consument hebt.”

“De marketeers, die data als het nieuwe goud zien, hebben na de invoering van de wet nog talloze mogelijkheden. Het is dus zeker niet zo dat de AVG roet in het digitale eten gooit. Wel dient eenieder bewust te zijn van deze wet als gewerkt wordt met persoonsgegevens. Wanneer dit namelijk aan de orde is, moet vooraf een duidelijk plan opgesteld worden. Op deze manier weet je met welke spelregels je rekening moet houden.”

“De nieuwe privacywetgeving maakt expliciet geen onderscheid tussen business-to-business en business-to-consumer. Informatie over een identificeerbaar persoon geldt als een persoonsgegeven, dat is de duidelijke stelregel. Door dat uitgangspunt maakt het dus niet uit of het om een zakelijk of een persoonlijk e-mailadres gaat. Wel denk ik dat er in B2B voor sommige organisaties nog een inhaalslag te maken valt met de implementatie van de AVG, omdat daar nog wel eens onterecht wordt aangenomen dat de privacywetgeving niet van toepassing is op B2B-gegevens.” 

“Wanneer marketeers moeten beginnen met de verandering van hun werkzaamheden om op tijd te kunnen voldoen aan de AVG, is geheel afhankelijk van de mate van compliance met de bestaande wetgeving, de Wbp. Voor een organisatie die nu alles goed op orde heeft, geldt dat veel minder aanpassingen doorgevoerd hoeven te worden. Verder is het ook niet alleen aan de marketeers om zijn werkzaamheden aan te passen. Privacy-compliance werkt alleen als je dit organisatie-breed doorvoert, op alle plaatsen waar met persoonsgegevens gewerkt wordt.”

“Ook na 25 mei 2018 kunnen bedrijven en instellingen consumenten ‘verleiden’ hun persoonlijke gegevens met hen te delen. Het delen van die data mag je als organisatie onder de AVG namelijk nog steeds belonen. Let wel goed op wanneer je verwerkingen doet waarvoor toestemming nodig is. De nieuwe wet stelt duidelijk dat toestemming niet geldig is wanneer de betrokkene ‘geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen’.”

“Aan marketeers die het liefst vandaag nog de eerste stap zetten om de privacy van hun klanten te waarborgen, adviseer ik de data in kaart te brengen. Dat is de meest logische stap om te starten. Zorg dat je bijvoorbeeld weet wáár je data staan, waarvoor je die gegevens verwerkt en met wie je deze hebt gedeeld. Dan weet je pas aan welke verplichtingen je moet voldoen. En vooral hoe je de privacy van de betrokkenen het beste kunt borgen.”