Websites VS weren Europese klanten vanwege GDPR

Websites VS weren Europese klanten vanwege GDPR
2678

Websites in de VS vrezen torenhoge boetes als ze persoonsgegevens van klanten uit Europa verzamelen. Ze proberen de nieuwe privacyregels van de GDPR te omzeilen. Veel websites kiezen voor de meest radicale oplossing: het uitfilteren van alle verkeer afkomstig uit de EU. Ondertussen slaagt Facebook erin de nieuwe privacyregels volledig naar zijn hand te zetten.

 
Wie zich na 25 mei niet aan de nieuwe privacyregels van de GDPR houdt riskeert boetes die in de miljoenen kunnen lopen. Dat geldt niet alleen voor Europese bedrijven, maar ook voor bedrijven in de VS die verkeer uit Europa ontvangen.

 
Het is nog onduidelijk op welke schaal Amerikaanse websites Europese klanten weren, maar volgens magazine Indivigital gaat het om veel websites. Voorbeelden zijn databedrijf Drawbridge, database provider Brent Ozar, de online game Ragnarok en mobile marketingplatform Verve.

CMO Julie Bernard van Verve maakt er geen geheim van dat ze niet meer met Europese klanten gaan werken. „We hebben besloten dat de regels niet gunstig zijn voor ons business model (…) We focussen op dit moment op de kracht van onze Amerikaanse business,” licht ze in AdExchanger toe.

 
Hulpje om Europese klanten te weren
Er zijn handige hulpjes om Europese klanten uit te sluiten. Zo biedt de site GDPR Shield een pakket aan met een programma dat het IP-adres van inkomend verkeer detecteert en alles wat uit Europa komt eruit filtert. Geen Europese klanten meer, maar ook geen gedoe met lastige privacy wetgeving. GDPR Shield kan je krijgen voor 9 dollar per maand. De site heeft overigens problemen met de bereikbaarheid, die mogelijk een gevolg zijn van de grote belangstelling, zoals TechRepublic schrijft.

 
De regels in de VS zijn minder streng en bieden meer mogelijkheden om gegevens te verzamelen om advertenties op de persoon af te stemmen. Het is voor bedrijven lastig twee aparte systemen in te voeren voor Europese en Amerikaanse klanten. Een Amerikaans bedrijf dat de Europese regels in de VS gaat toepassen, plaatst zichzelf daar in een nadelige positie. Dan maar liever je bedrijf alleen op Amerikanen richten.

 
GDPR filtert de rotte appels eruit
Sommige websites die Europese klanten weren, hebben een slechte naam als het gaat om privacy. Unroll.me is een dienst waarmee je je snel en gemakkelijk van een marketing nieuwsbrief kan laten verwijderen. Dat klinkt veel consumenten als muziek in de oren. Maar unroll.me geeft zonder dat te zeggen allerlei persoonlijke gegevens door aan andere bedrijven, waaronder Uber. Dat mag volgens de GDPR niet en unroll.me kiest er dan ook voor Europese klanten te weigeren. Je kan dat zien als een positief effect van GDPR: van rotte appels in privacy opzicht heb je in de EU zo geen last meer.

Maar er zijn ook bedrijven met een goede reputatie die zich van Europa afkeren. Een commentator in TechRepublic laat daar geen misverstand over bestaan: „Dit zal de arrogante EU-wetgevers een lesje leren.”

 
Facebook zet GDPR naar zijn hand
De VS zijn ook de uitvalsbasis van de grote techgiganten als Facebook en Google. Hoe gaan zij met GDPR om? Facebook gaat erin mee. Ze hebben daar ook al bedacht hoe ze de regels het beste naar hun hand kunnen zetten. Facebook heeft de voorwaarden voor Europese gebruikers aangepast en er komt een mogelijkheid ‘clear history’ waarmee je je gegevens die bij Facebook bekend zijn kunt wissen.

Maar Facebook wil iets anders inzetten dat tot dusver niet kon, maar dankzij de GDPR wordt gereguleerd: facial recognition of gezichtsherkenning. Tot dusver mocht Facebook gezichtsherkenning niet in de EU gebruiken, maar met de nieuwe GDPR-regels waarbij gebruikers ermee kunnen instemmen, mag dat wel. Gezichtsherkenning staat op gespannen voet met privacy. Het betekent dat je herkend kan worden op foto’s die anderen hebben gemaakt en dat die foto’s ook met jouw naam worden getagd. Facebook weet zo op welke plekken je uithangt. De Consumentenbond wijst erop dat je als privacybewuste consument meer lasten dan lusten van gezichtsherkenning hebt. Ook zakenblad Forbes zit op die lijn. Leiden de nieuwe privacyregels niet juist tot minder online privacy, vraagt het magazine zich af. Volgens Forbes heeft Facebook inmiddels nog andere dataverzamelingsmethoden ingevoerd. Want veel mag ineens mits gebruikers maar toestemming geven. En bijna iedereen geeft blindelings toestemming.

 
Mag Google Analytics wel?
Google heeft adverteerders en uitgevers benaderd die persoonlijk gerichte advertenties verspreiden die mogelijk in strijd zijn met GDPR. Dat leidde tot boze reacties uit de uitgeverswereld. De uitgevers vinden het nogal makkelijk dat Google het probleem om toestemming te vragen op hen afschuift. Ze spreken van nieuwe ‘draconische’ voorwaarden. In een reactie zegt Google „uitgevers te willen helpen waar het maar kan.”

Speciale aandacht vraagt het veelgebruikte programma Google Analytics, dat onder meer data verzamelt over bezoeken aan sites. Persoonlijke gegevens worden in GDPR breed opgevat. In elk geval moet de gebruiker toestemming geven. Maar de meeste bedrijven koppelen Google Analytics aan Google AdWords, waarmee het programma ook een advertentietool is geworden. Daarmee zou je gebruikers opnieuw toestemming moeten vragen om gegevens van GA ook voor dat doel te gebruiken. Het geeft maar even aan hoe gecompliceerd de regels van GDPR kunnen uitpakken.

 
Rechten van gebruikers: van Spotify tot retail
Amerikaanse media leggen eigen accenten. Zo zet The New York Times een paar opvallende rechten van gebruikers op een rijtje:

 
-Je zit nooit aan een bepaalde service vast. Als je besluit Spotify te verlaten mag je je persoonlijke playlists meenemen naar een concurrent. Net zoals je financiële info van de ene naar de andere bank mag meenemen;

-Je kan elk bedrijf vragen welke informatie over je is opgeslagen en die laten verwijderen. Dat geldt niet alleen voor techbedrijven, maar ook voor banken of retailers. Je kan zelfs je werkgever daarom vragen;

-Een individu is nog steeds geen partij tegenover een bedrijf als Google of Facebook. Maar het wordt makkelijker om samen met anderen een procedure te beginnen. Privacy organisaties zullen naar verwachting meer rechtszaken beginnen namens groepen of individuen. Dat kan de druk opvoeren op bedrijven om zorgvuldig met privacy om te gaan.

 
De GDPR met zijn elf hoofdstukken en 99 artikelen zit ingewikkeld in elkaar. In Nederland en andere EU-landen móét je ermee werken. In Amerika gaan bedrijven er verschillend mee om. Bedrijven met vooral klanten buiten Europa, schrijft Indivigital, zullen om zakelijke redenen mogelijk vaker besluiten om verkeer uit de EU met een schild te blokkeren.