Smile
Terug naar hoofdmenu
Terug naar het overzicht

Het mag je niet zijn ontgaan: op 25 mei 2018 is de nieuwe AVG (Algemene Verordening Gegevensbescherming) ingegaan, ook bekend als de GDPR (EU General Data Protection Regulation) die privacy wetgeving in heel Europa normaliseert. Vanaf die datum moet elke organisatie zijn privacyaanpak kunnen verantwoorden aan de Autoriteit Persoonsgegevens (AP), ongeacht de omvang van je bedrijf: van zzp-er tot corporate. En er zal gehandhaafd worden: in geval van schending kunnen boetes oplopen tot 4% van de jaaromzet.

Tot nu toe was er ook een verplichting, vanuit de Wet Bescherming Persoonsgegevens. Zo wordt je al verplicht om datalekken te melden. De teller bleek -uit een peiling van de Autoriteit Persoonsgegevens (AP)- na het eerste kwartaal van 2017 op 2300 meldingen te staan. Wat ergens best ‘bescheiden’ klinkt voor zo’n bedrijvig en ‘online-savvy’ land. De meeste lekken werden gemeld vanuit de sectoren gezondheid en welzijn (27%), financiële dienstverlening (21%) en openbaar bestuur (20%) (Bron: Priviteers). Hierdoor kwamen sommige instanties (zoals gemeenten) onder vuur te liggen, terwijl deze organisaties door openheid van zaken te geven juist lieten zien de privacy van hun ‘klanten’ belangrijk te vinden.

Privacy by design

Van diverse corporates hoor ik dat er momenteel de nodige effort wordt gestoken in het opleiden van FG-ers (functionarissen gegevensbescherming, ook wel bekend als de DPO). Dit is verplicht voor bedrijven die op grote schaal persoonsgegevens verwerken. Voor de overheid en de zorg is dit sowieso verplicht. FG-ers werken als het ware als de lange arm van de AP, om risico’s t.a.v. privacy in de organisatie in kaart te brengen. Daarnaast dragen zij bij aan bewustwording in de organisatie m.b.t. data en privacy. Het blijft echter aan de organisatie zelf om maatregelen te nemen en eventuele gevoelige plekken in hun aanpak te melden. Menig CISO ziet de aanscherping van de wet overigens als een uitgelezen kans om zich te onderscheiden op het gebied van privacy en datasecurity en dit te verankeren in beleid en bij te dragen aan de implementatie van nieuwe werkmethodes, zoals ‘Privacy by design’. Zij willen niet alleen compliant zijn, maar met hun privacy beleid bijdragen aan de ‘governance’ codes van hun bedrijf en hun maatschappelijke betrokkenheid laten zien: bescherming van de privacy van de mens, wat we in essentie vanuit intrinsieke motivatie moeten willen voor al onze klanten en relaties.

De voorbereidingen op en compliant zijn aan de AVG leveren voor menig organisatie echter nog flinke hoofdbrekers op. Er zijn behoorlijk wat zaken die we bewust of onbewust opslaan, en bewerken of delen met anderen, die goed beveiligd dienen te zijn, en waarbij je als bedrijf moet kunnen aantonen dat een klant hiertoe toestemming heeft verleend. Voor de (online) marketeer is dit een uitdagend verhaal. Een adressenbestand die in het verleden is opgebouwd in Mailchimp dient bijvoorbeeld opnieuw onder de loep te worden genomen, Google Analytics statistieken moeten worden geanonimiseerd, en er moet opnieuw aangetoond kunnen worden dat de ontvanger van de nieuwsbrief daartoe expliciet zijn ja-woord heeft gegeven (bijvoorbeeld d.m.v. een opt-in). Het risico is wel dat veel bestaande ontvangers dit niet nog eens gaan doen. En we kunnen ook niet straffeloos elk nieuw contact van bijvoorbeeld LinkedIn toevoegen aan een mailinglijst.

Hoofdbrekers

In online-land gebruiken we tal van (cloudbased) platforms en systemen die het mogelijk maken om het gedrag van klanten in kaart te brengen, profielen op te bouwen, informatie te combineren, om zo campagnes, content beter te laten aansluiten op de klant en conversie te verhogen. Het begint al met Google Analytics, Tagmanager, Optimize. En het pallet breidt zich met gemak uit naar allerlei andere marketing automation tooling, conversieverhogende instrumenten, api’s en plug-ins, en koppelingen met ERP, PIM, DAM en CRM-systemen.

In feite komt het erop neer dat deze plug-ins en platforms het mogelijk maken om traceerbaar gegevens te verzamelen of in te zien van gebruikers. Je hebt zelf deze dienst niet ontwikkeld, maar je maakt er wel gebruik van. Als je goed naar de kleine lettertjes kijkt van de algemene voorwaarden, die je ongetwijfeld hebt geaccordeerd, dan zie je dat menig cloudbased platform, of tooling nog verre van GDPR-compliant is. En dat de betreffende dienst de verantwoordelijkheid voor het gebruiken en verzamelen van gegevens in vrijwel alle gevallen bij de opdrachtgever neerlegt.

Verwerkersovereenkomst voor diensten van derden

De AVG maakt duidelijk dat het van belang is om dergelijke diensten zeer scherp tegen het licht aan te houden. En waar mogelijk andere keuzes te maken of nieuwe overeenkomsten aan te gaan met deze partijen, en ook klanten hierover goed te informeren. Zo kan je verplicht zijn om een verwerkersovereenkomst af te sluiten met derde partijen. Ben je een corporate, met een batterij juristen in dienst, zal dat vast wel goed komen. Ben je een kleine speler, zoals een zzp-er of MKB-er, dan moet je van goeden huize komen om voldoende gewicht in de schaal te leggen in onderhandeling met grote giganten zoals Google, Facebook of Linkedin. Stel dat je deelknoppen op je website hebt van sociale media, dan is er niet uit te sluiten dat hun cookies actief zijn bij het gebruik van jouw website. Hiervoor ben jij als opdrachtgever verantwoordelijk.

Dergelijke giganten zitten aan tafel van de beleidsontwikkelaars, en zeggen zich optimaal in te spannen voor de bescherming van iedereens privacy. Maar vergis je niet, met hetzelfde gemak leggen zij de verantwoordelijkheid voor het gebruik bij de kleine speler neer, die de dienst afneemt. De diensten niet afnemen is in het huidige ‘online’ tijdperk eigenlijk al geen optie meer. Je kunt je website niet zomaar op zwart zetten, als je geen goede afspraken kunt maken. Het in kaart brengen van alle mogelijke ‘gegevenslekken’ die je online bent aangegaan met derden vergt een behoorlijke studie en begrip van wat de technologie, die je afneemt, doet. En dat is helaas niet voor iedereen weggelegd. Het melden van alle mogelijke ‘gegevenslekken’ is een papierwinkel op zich. Een enkele melding bestrijkt pagina’s invul- en spitwerk.

Privacy by default

Wil je de keuze voor cookies en trackers expliciet bij de ‘klant’ neerleggen, dan moet je de skills en scripts kennen van de diensten die je gebruikt en verankeren in je website, en zorgen dat deze ‘aan’ gezet kunnen worden, iets mag niet default al ‘aan’ staan. Een manier om dit te doen is om voor alle diensten die je van derden gebruikt, een security preference pagina aan te maken voor de klant. Sommige hi-end marketing automation software aanbieders hebben dit al in hun pakket. Echter er zijn tal van ondernemers voor wie dergelijke pakketten te duur zijn, en zelf de kennis of capaciteit missen om hiervoor andere oplossingen te ontwikkelen. Dat maakt privacy compliancy voor hen een ingewikkeld verhaal. Eigenlijk kun je er niet omheen om te investeren in een goede aanpak.

Voor mij als consultant is het ook een lastige. Kan ik nog wel straffeloos mijn klanten enthousiasmeren over het gebruik van allerlei social en online tooling? Of moet ik bij elk advies een clausule opnemen: Let op! Online tooling en marketing automation is uit zichzelf niet AVG-proof. Bovendien verwerk ik als ondernemer uiteraard ook klantgegevens. Ondermeer met behulp van sociale media platforms, plug-ins en een website. Als je onderzoekt hoe deze partijen je kunnen helpen om makkelijker AVG-compliant te zijn, kom je er achter hoe ‘slecht’ het (voor jou als afnemer) is gesteld met de voorwaarden van privacy en gebruik, van diverse aanbieders op dit moment. De aankomende e-Privacy wetgeving, die naar verwachting in 2019 zal worden ingevoerd, moet m.b.t. de inzet van marketingkanalen zoals het gebruik van cookies, emailmarketing en telemarketing, meer helderheid geven.

Om grip te krijgen op de situatie is het aan te raden om (als je dat nog niet hebt gedaan) een Privacy Impact Analyse (PIA) uit te voeren. Een mooi handvat is hier te lezen van NOREA (beroepsorganisatie van IT-auditers). Wacht er niet te lang mee. Je gaat ontdekken dat je bij de nodige zaken kritische kanttekeningen moet zetten. En dat je als organisatie echt anders moet gaan werken. Dat vraagt dat je als hoofdverantwoordelijke boven de materie uit moet kunnen stijgen, en dat je de schakels in jouw bedrijf verbindt. Het raakt alle facetten die denkbaar zijn: processen, mensen, technieken, systemen, kennis, strategie. Zo bekijkt iedereen privacy vanuit zijn eigen perspectief. Mocht er een eiland cultuur heersen, dan is het zaak deze te gaan opheffen. Geldt er een ivorentorenaanpak, dan is het tijd om af te dalen naar de werkvloer. In mijn visie zou elke organisatie privacy op een agile manier moeten aanpakken. Alle afdelingen, specialisten, die iets van doen hebben met de ‘keten’ van privacy, moeten de koppen bij elkaar steken, en bespreken wat er verbeterd moet worden, wie wat doet, hoe men dat doet, en samenwerken aan ‘Privacy by design en default’.

Gelukkig zijn er bedrijven die jou daarbij kunnen ondersteunen. Er zijn tal van organisaties die over goede know-how beschikken. Het afgelopen jaar mocht ik Smile helpen met hun marketingaanpak voor hun Privacy en Informatiebeveiliging tooling. Smile is softwareleverancier op het gebied van audits, incidenten, risico, kwaliteit, klachten en privacy management. Zij hebben o.a. het uitvoeren van een PIA makkelijk gemaakt, evenals het bijhouden van een dataregister. Zij werken samen met een netwerk van specialisten op het gebied van privacy, waaronder Priviteers. Door hun affiniteit met de aankomende AVG, en hun intrinsieke motivatie om hier oplossingen voor te ontwikkelen, hebben zij mij geholpen om meer gevoel te krijgen bij de materie. Het stelt mij in staat om in elk geval bij te dragen aan het privacy bewustzijn van organisaties, maar ook ik heb niet alle oplossingen voorhanden.

Ik zou graag jullie eigen ervaringen willen horen m.b.t. het ‘Privacy-compliant’ zijn. De learnings en de nog te tackelen obstakels. Daarnaast hoor ik het graag als je hier nog geen idee bij hebt. Wellicht dat ik je op weg kan helpen. Zondermeer ook met behulp van mijn partners Smile en Priviteers, die concrete hulpmiddelen kunnen aanreiken.

P.S. Ben je eigenaar van een installatiebedrijf? Dan kan ik je aanbevelen om de workshops van UNETO-VNI in de gaten te houden. Zij toeren op dit moment door het land met specifieke kennissessies over de AVG.

Daarnaast kan ik onderstaande blogs aanbevelen, die wat dieper op de materie in gaan:

Het verschil tussen de AVG en de ePrivacy Verordening uitgelegd 

Wat je als digital marketeer over de AVG/GDPR moet weten

Vier stappen om al marketeer de nieuwe privacy wet goed na te leven