AP-voorzitter Aleid Wolfsen: data voor reclame onder de loep

SERIE: GDPR van Frank.news
AP-voorzitter Aleid Wolfsen: data voor reclame onder de loep
0
0
2768
Hoe wordt frank.news GDPR-proof? – deel 5

De deadline van de GDPR nadert. Wie na 25 mei niet aan de nieuwe privacyregels voldoet, riskeert forse boetes. Frank.news neemt zijn lezers mee langs hobbels en valkuilen, zin en onzin en de impact van de GDPR op de marcom branche.

Ook marketing en reclame ontsnappen niet aan de aandacht van de Autoriteit Persoonsgegevens (AP). Die zal in eerste instantie de handel in persoonsgegevens en data voor marketingdoeleinden onder de loep nemen. Dat is alleen toegestaan met expliciete toestemming van de consument. Bedrijven die dat niet goed regelen lopen serieuze risico’s, stelt AP-voorzitter Aleid Wolfsen.

Vanaf 25 mei is de Algemene Verordening Gegevensbescherming (AVG), of zoals hij in de marcombranche wordt genoemd: de General Data Protection Regulation (GDPR), van toepassing. Het moment voor Autoriteit Persoonsgegevens (AP) om in actie te komen als de nieuwe privacywet overtreden wordt.

 

10.000 Telefoontjes 

Met het naderen van de deadline wordt de aandacht voor de AVG/GDPR groter en is de nieuwe wet trending topic. De AP merkt dat ook. ,,We hebben in de eerste vijf maanden van dit jaar al net zoveel telefoontjes, tips en meldingen gekregen als in heel 2017, bijna 10.000,” vertelt voorzitter Aleid Wolfsen. ,,Dat kan ook positief zijn, als het betekent dat iedereen bezig is zijn zaken op orde te brengen.”

Hij kan nu nog niet goed inschatten wat het effect zal zijn van de nieuwe wet op de marketing en reclamebranche. ,,In de kern wijkt de AVG niet zoveel af van de Wet bescherming persoonsgegevens (Wbp), die al sinds 2001 van kracht is. Alleen worden de rechten van burgers sterker. Bedrijven die nu al in de lijn van de Wbp werken hoeven eigenlijk alleen de puntjes op de i te zetten, al vermoed ik dat dit hier en daar niet het geval is. Bedrijven die hun beleid niet aanpassen lopen serieuze risico’s,” zegt Wolfsen.

 

Niet klaar 

Zoals bekend kan de AP hoge boetes uitdelen tot wel 20 miljoen euro. Om dat te voorkomen hebben de meesten nog wel wat werk voor de boeg. Onderzoek van DDMA, branchevereniging voor data en marketing, toonde medio mei aan dat de meerderheid van de bedrijven en organisaties in Nederland nog niet klaar is voor de nieuwe wet. Vooral het MKB niet. Een kwart van de 1239 respondenten is actief in de marketingsector.

Tweederde van de bedrijven en organisaties (63 procent) houdt nog geen register bij voor de verwerking van persoonsgegevens. Dat is verplicht. 62 Procent heeft geen intern privacybeleid. Ook dat is verplicht. Slechts 14 procent heeft een privacy statement dat AVG-proof is. Slechts 37 procent heeft straks een verwerkingsovereenkomst met Google, Facebook of de talloze bedrijven die online klantdata van hen verzamelen en verwerken.

 

Controle op toestemming 

Een van de allerbelangrijkste vragen die DDMA in het kader de nieuwe privacywet stelde is deze: Als jullie toestemming vragen voor de verwerking van persoonsgegevens, kunnen jullie deze toestemming dan laten zien aan de toezichthouder? 84 Procent kan dat niet of nog niet voor alle onderdelen. Daar gaat de AP streng op toezien. Wolfsen: ,,Als iemand een direct marketing mailtje krijgt, kan iemand vragen: hoe komen jullie aan mijn gegevens? Als het bedrijf dan zegt: we hebben toestemming, maar de consument zegt: nou, dat dacht ik niet, dan kan die persoon een klacht bij ons indienen. Dan gaan wij bekijken hoe die toestemming is gekregen en vragen we: laat maar zien. Waar staat dat die persoon jou toestemming heeft gegeven? En voor welk afzonderlijk doel?”

 

Ondubbelzinnig 

Want via een cookieconsent in één keer voor alles toestemming vragen, zoals veel websites deden, dat is niet meer voldoende. De nieuw privacywet is daar strikt in: toestemming moet ‘vrij’, ‘specifiek’, ‘geïnformeerd’ en ‘ondubbelzinnig’ zijn. ,,Het mag dus niet meer via ellenlange, onleesbare formulieren van twintig A4’jes. Mensen moeten weten waar ze ja tegen zeggen en met welk doel hun gegevens worden verzameld. Ook zijn ze vrij om die toestemming weer in te trekken. Ik denk dat veel bedrijven zich moeten afvragen of de toestemming die ze hebben gekregen wel aan de nieuwe wet voldoet. Het moet echte toestemming zijn. Niet verstopt of dubbelzinnig,” zegt Wolfsen.

 

Onrechtmatig 

Een ander punt is dat de toestemming vrijelijk gegeven moet zijn. Dus niet afgedwongen. Wolfsen: ,,Een simpel voorbeeld. Je downloadt een app, maar dat kan alleen als je toestemming geeft om jou te mailen voor reclame. Of je koopt een boek, maar je bent verplicht je e-mailadres te geven. Dan wordt toestemming als voorwaarde gesteld aan de aankoop of het aangaan van een contract. De AVG zegt daarover dat zo’n vorm van toestemming onrechtmatig is als die data niet nodig zijn voor de uitvoering van een contract. De lat om te bewijzen dat die toestemming in die situatie wel echt vrij is gegeven ligt dus zeer hoog.”

Gerechtvaardigd belang 

Een andere belangrijke voorwaarde voor het verwerken van klantdata heet ‘gerechtvaardigd belang’ (legitimate interest), een van de zes grondslagen van de wet. Bedrijven moeten aantonen dat de verwerking noodzakelijk is voor hun bedrijfsactiviteiten. Simpel gezegd: een webshop in schoenen hoeft niet te weten of je getrouwd bent. Expert Aurelie Pols, adviseur van de Europese privacywaakhond EDPS, voorspelde eerder dat 80 procent van de dataverwerking voor marketingdoeleinden niet aan deze voorwaarde voldoet. ,,Daar zou ze wel eens gelijk in kunnen hebben,” zegt Wolfsen. Hij geeft een voorbeeld. ,,Als ik een paar schoenen koop en die thuis laat bezorgen, dan heeft de schoenenverkoper mijn adres en wellicht mijn e-mailadres nodig. Als er dan een nieuw soort schoen op de markt komt en de verkoper denkt dat ik daar interesse in heb, dan mag hij mij daarover een mailtje sturen. Dat is gerechtvaardigd belang. Maar mij een mailtje sturen over wandelingen in Italië mag hij niet. Daar heeft hij geen toestemming voor en dat is geen gerechtvaardigd belang.”

 

Meer mankracht 

De vraag is welke misstanden de AP na 25 mei als eerste gaat aanpakken. En heeft de waakhond genoeg mankracht om alle klachten in behandeling te nemen? ,,We groeien nog steeds,” aldus Wolfsen. ,,Een jaar geleden hadden we zo’n 70 tot 80 mensen in dienst, nu zo’n 130 tot 140, al weten we nog niet precies hoeveel klachten we zullen krijgen. Na 25 mei gaan we alle klachten in behandeling nemen. Over de voetbalclub, de marketeer of de overheidsinstelling. Daarnaast gaan we spontane onderzoeken doen, bijvoorbeeld bij grotere instellingen.”

Als die grote hoeveelheden persoonsgegevens verwerken, moeten ze volgens de wet een Functionaris Gegevensbescherming of Data Protection Officer (DPO) hebben. Wolfsen: ,,Die moet onafhankelijk zijn werk kunnen doen en onderhoudt goed contact met ons. Dat geeft vertrouwen.”

 

Onderzoek datahandel 

De marketing- en reclamebranche is een sector waar de AP goed op gaat letten. ,,Waar we echt aandacht aan gaan besteden is de datahandel voor marketing,” stelt Wolfsen. ,,Daarover worden we dagelijks gebeld. De kern van de AVG is dat mensen het beheer krijgen over hun eigen data. Maar als mensen ergens het zicht daarop verliezen dan is het wel bij deze datahandel.”

 

Facebook en Google 

Vanwege de nieuwe wet trekken Amerikaanse bedrijven zich terug uit de Europese markt en weren buitenlandse websites Europese klanten. Facebook en Google, de grootverdieners in digital advertising, blijven en passen zich aan. Vorig jaar nog oordeelde de AP dat Facebook in strijd met de privacywetgeving handelt. Het informeerde gebruikers onvolledig over het gebruik van hun gegevens en gebruikte gevoelige gegevens zonder toestemming om advertenties te tonen. Is het social medium nu wel AVG-proof? ,,Dat weten we niet precies,” zegt Wolfsen. ,,De Ieren en de Britten doen daar nu onderzoek naar. Hetzelfde geldt voor Google. Daar hebben we ook nog geen onderzoek naar gedaan, maar een jaar geleden voldeed het bedrijf nog niet aan de nieuwe wet.”

 

Nieuwe website frank.news 

We begonnen deze serie om onze lezers meer inzicht te geven in alles wat er bij de nieuwe privacywet komt kijken. We namen daarbij onze eigen website als vertrekpunt. Ook frank.news was nog lang niet klaar voor de GDPR. Om GDPR-proof te worden koos de Candid Group, waar de nieuwssite onder valt, ervoor een compleet nieuw platform te bouwen met meer mogelijkheden en functionaliteiten voor lezers en partners. De nieuwe site zal geheel voldoen aan de nieuwe privacywet. Het wordt haasten, maar de bedoeling is om die op of rond 25 mei te lanceren.

 

 

 

MEEPRATEN OVER DIT ONDERWERP? REAGEER

Er zijn nog geen reacties gegeven. Wees de eerste die een reactie geeft