GDPR SOS: waar moet jij als marketeer op letten bij profilering?

Anouk Ruppel
Anouk Ruppel
20 november 2017

Inbound marketing Marketing Automation

DELEN

Er is geen ontsnappen meer aan de GDPR, de nieuwe privacywetgeving die op 25 mei 2018 in werking treedt. Er lijkt geen einde te komen aan de artikels die dreigen met de monsterboetes die kunnen oplopen tot 4% (!) van de wereldwijde jaarlijkse omzet.

Over die GDPR hangt vandaag een grote laag mist. De grote lijnen zijn helder, maar hoe het in de praktijk moet, is minder helder. leadstreet kijkt samen met experten deJuristen wat de impact exact is voor marketeers, en probeert hier een aantal praktische zaken te distilleren in een serie artikels.

sos-gdpr.png

De grootste verplichtingen van de GDPR

Maar zo'n vaart hoeft het helemaal niet te lopen. Monsterboetes zullen enkel weggelegd zijn voor bedrijven zoals Google, Apple, Facebook of Amazon (of afgekort: de GAFA) wanneer ze niet bewust omgaan met de privacy van hun gebruikers. Voor andere ondernemingen die onder het toepassingsgebied van de GDPR vallen, zal een boete enkel terecht zijn wanneer verzaakt wordt aan een aantal verplichtingen waar sterk op gehamerd wordt.

Net daarom is het belangrijk deze verplichtingen onder de loep te nemen zodat de grootste risico’s, die expliciet verboden zijn, afgewend kunnen worden om zo je marketing klaar te maken.

Profilering en de gdpr

Profilering is één van de bepalingen uit de GDPR die de grootste impact zal hebben op ondernemingen.

In de GDPR wordt de term gedefinieerd als elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd (…).

Het begrip wil met andere woorden zeggen dat een bepaald profiel van iemand wordt samengesteld.

Dit profiel wordt samengesteld door informatie over zaken zoals online aankopen, likes en vrienden op Facebook en bezochte websites te gaan combineren en analyseren.

In de marketingwereld kan dit zeker en vast een indruk nalaten aangezien veel online advertising en personaliseringstools gebouwd zijn op dataprofilering. Aan de hand ervan kan je ook individuen met een vergelijkbaar profiel bereiken. Ook remarketing valt onder het concept profilering.

Waar moet je nu zoal op letten wanneer je deze praktijken gaat uitoefenen als marketeer?

1. Uitdrukkelijke toestemming is vereist

Belangrijk: profilering op zich wordt niet verboden in de GDPR. Er wordt daarentegen wel bepaald dat data subjecten het recht hebben om niet onderworpen te worden aan besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking (waaronder profilering) en waaraan rechtsgevolgen verbonden zijn voor hen of die hen in aanzienlijke mate treffen.

Helaas wordt niet verduidelijkt wanneer profilering iemand in aanzienlijke mate treft. In ieder geval mag profilering wel nog steeds gebeuren, zolang je als marketeer of adverteerder hier een legitieme rechtsgrond voor hebt.

Voor marketeers betekent dit dat er uitdrukkelijke toestemming verkregen moet worden van het data subject. Die toestemming wordt verkregen via een opt-in, waarbij dus geen vooraf aangevinkt vakje gebruikt mag worden. Voorlopig is een vorm van een cookie-melding of pop-up de meest praktische oplossing.

Een voorbeeld hoe we het vandaag met zijn velen doen, maar straks niet meer mag - de toestemming hieronder is niet vrijwillig, onvoorwaardelijk, en actief. Bovendien is die niet granulair: je moet op alle niveau's apart een toestemming vragen:

gdpr-opt-in.png

Wanneer de profilering gebeurt voor verschillende doeleinden mag je ook niet via een enkele knop toestemming vragen voor alle doeleinden.

Ten slotte moet het ook heel makkelijk zijn voor de betrokkene om een gegeven toestemming weer in te trekken. Dit kan je bijvoorbeeld doen door een dashboard aan te bieden waarin de data subjecten de huidige instellingen kunnen wijzigen.

2. Het data subject heeft een recht van bezwaar

Indien er sprake is van profileringsactiviteiten, ook al gebeurt dit met expliciete toestemming, heeft de betrokkene steeds het recht om hiertegen bezwaar uit te oefenen. Wanneer de profileringsactiviteiten bovendien gebeuren voor marketingdoeleinden dan mogen de persoonsgegevens op geen enkele manier nog gebruikt worden na een bezwaar.

Telenet heeft op zijn site een SAR (Subject Access Request)-formulier aan, een gestructureerde manier waarmee je deze info kan opvragen:

gdpr-telenet-sar-formuiler.png

3. Zorg dat je het data subject voldoende informeert over de draagwijdte van de profilering

Bovendien zullen de data subjecten steeds geïnformeerd moeten worden over het gebruik van hun gegevens voor profilering. Bedrijven worden verplicht hun voornemens tot profilering te verklaren, de reden hiervoor te geven en de mogelijke gevolgen voor de data subjecten mee te geven.

Wanneer je bijvoorbeeld als marketeer een whitepaper gebruikt als salestool, waaraan een automatische mail verbonden is en die de gebruiker verder volgt dan zal je deze informatie moeten aangeven bij de opt-in.

Dit kan gebeuren aan de hand van een link naar een privacyverklaring naast de opt-in, waarin deze informatie wordt uiteengezet.

gdpr-opt-in-voorbeeld.png

Een goed voorbeeld van zo'n privacyverklaring? Kijk 's naar die van teamleader:

GDPR-privacy-verklaring-teamleader.png

4. Het recht om vergeten te worden

Een belangrijk nieuw recht dat aan data subjecten gegeven wordt, is het recht om vergeten te worden. Op basis hiervan kunnen verwerkte persoonsgegevens worden opgevraagd en kan verzocht worden om deze gegevens te verwijderen.

Het probleem hierbij is dat het technisch gezien vaak heel moeilijk is om een data subject volledig te verwijderen of om bepaalde gegevens overdraagbaar te maken via bijvoorbeeld de advertentieplatformen AdWords, Google Analytics en Facebook. In de toekomst zullen dergelijke advertentieplatformen dus de nodige aanpassingen moeten doorvoeren.

Ons advies

Absoluut key in de nieuwe privacywetgeving is de verantwoordingsplicht. Bij een controle moet steeds kunnen aangetoond worden dat je actief met privacy bezig bent en de GDPR serieus neemt.

Zorg er dus voor dat je een solide privacyverklaring een cookieverklaring in orde hebt waarin wordt meegedeeld dat je aan profilering doet en waarbij de rechten van het data subject uiteen worden gezet.

Je zal ook steeds moeten kunnen aantonen dat expliciet toestemming werd verkregen via een opt-in, bij voorkeur door het bijhouden van een register van al je verwerkingsactiviteiten.

Wie meer (juridische) informatie wil over GDPR kan terecht bij deJuristen. 

Zijn jouw tools GDPR-proof?

Anouk Ruppel

Anouk Ruppel

Anouk is ICT- en IP-juriste bij deJuristen Gent. Als juriste met een rebels kantje is ze gepassioneerd door intellectuele eigendom, innovatie en privacy.