GDPR: vier data-vraagstukken voor marketeers

De General Data Protection Regulation (GDPR) wordt op 25 mei 2018 van kracht. Zoals zo vaak met nieuwe Europese regelgeving zitten er behoorlijk wat haken en ogen aan.

De GDPR moet ervoor zorgen dat bedrijven de data van EU-burgers op een transparante manier verzamelen en opslaan. De wet draait om data governance en gaat daarmee verder dan de bestaande privacy- en databeschermingsregels. De consument heeft het recht:

– te eisen dat persoonlijke informatie wordt verwijderd uit de database van een bedrijf;

– om data over te hevelen van het ene naar het andere bedrijf;

– te weten wanneer data zijn gecompromitteerd, bijvoorbeeld door een hacker (meldplicht datalekken).

Bedrijven moeten verder toestemming van de consument hebben voor ze data verzamelen en opslaan. Een opt-out mogelijkheid of het verbergen van de toestemming in de kleine lettertjes (hallo, Google en Apple!) wordt niet geaccepteerd door de wetgever. En er zijn strenge regels ten aanzien van dataprofileren: persoonlijke gegevens automatisch verwerken om voorspellingen te doen over de economische status, locatie, gezondheid en voorkeuren van de consument zonder diens toestemming. Voor dit alles moet een Data Protection Officer worden aangewezen binnen het bedrijf die het in goede banen leidt.

Zoals dat zo vaak gaat met wetgeving, zijn de nieuwe regels niet klip en klaar. Voor marketeers zijn er drie belangrijke vraagstukken: de bewaartijd en herkomst van de data, hoever je mag gaan met profileren en het recht om vergeten te worden.

Hoelang data mogen worden opgeslagen

Het bedrijf moet aan de consument laten weten hoelang de persoonlijke data worden opgeslagen. Dat klinkt gemakkelijker dan het is, want hoelang gegevens worden bewaard, hangt af van de categorie. Contactinformatie zal langer worden opgeslagen dan voorkeuren; en persoonsgegevens die nodig zijn voor het versturen van facturen langer dan transactiedata. Een oplossing voor dit probleem zou kunnen zijn om de criteria te publiceren voor de verschillende datacategorieën zodat de consument zelf kan bepalen hoelang gegevens worden bewaard.

Wat is de databron?

Wanneer de GDPR-wetgeving van kracht is, moet de consument worden geïnformeerd over de herkomst van de gegevens die het bedrijf over hem of haar heeft opgeslagen. Tot nu toe hoefde dit alleen als deze informatie beschikbaar was. Het gevolg is dus dat persoonsgegevens waarvan de bron niet meer te achterhalen is, niet gebruikt mogen worden. De oplossing: de wetgever zou een uitzondering moeten maken voor data die voor 28 mei 2018 zijn verzameld.

Het recht om vergeten te worden

Als de consument dat wil, moeten zijn gegevens volledig worden gewist uit de database waarin deze zijn opgeslagen. Dat betekent allereerst dat het bedrijf precies moet weten waar die gegevens intern allemaal worden bewaard, wat in de praktijk voor veel organisaties al een uitdaging is. Bovendien moeten ook derde partijen aan wie de data zijn verstrekt overgaan tot het wissen daarvan, wat een behoorlijke administratieve last voor het bedrijf betekent. En verwijdering uit de database geeft geen enkele garantie dat de desbetreffende persoon niet meer wordt benaderd voor marketingacties. Wanneer hij bij een externe partij conform de regels toestemming heeft gegeven voor partnermailings bijvoorbeeld, kan hij tot zijn grote ergernis gewoon weer door het bedrijf worden benaderd. Het is dus beter om de gegevens te bewaren en te signaleren dat deze absoluut niet mogen worden gebruikt voor marketing- of andere doeleinden.

Bijkomend probleem is de lijst met uitzonderingen die voor verschillende interpretaties vatbaar zijn. Wanneer de data nodig zijn voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie, voor het nakomen van wettelijke verplichtingen, om redenen van algemeen belang op het gebied van volksgezondheid, met het oog op archivering in het algemeen belang, of voor de instelling of uitoefening van een rechtsvordering, hoeven de gegevens niet te worden gewist. De eis van de Belastingdienst dat je je administratie zeven jaar moet bewaren prevaleert dus boven de wens van de consument om vergeten te worden. Maar wat valt er precies onder een reden van algemeen belang? Wanneer dit in de nationale wetgeving waarin de EU-regels worden ingebed niet duidelijk wordt afgebakend, liggen conflicten en rechtszaken op de loer.

Data-profilering

Data gebruiken voor het opstellen van algoritmen die klantgedrag voorspellen – het mag straks alleen met expliciete toestemming van de klant. Die heeft ook het recht om in beroep te gaan tegen beslissingen die zijn genomen door zelflerende systemen waarbij gebruik wordt gemaakt van kunstmatige intelligentie. Denk bijvoorbeeld aan de aanvraag van een lening, die door een automatisch systeem wordt goed- of afgekeurd. De klant heeft het recht om inzicht te verkrijgen in de achterliggende reden. Maar het kenmerk van AI is dat er gebruik wordt gemaakt van een enorme hoeveelheid data. De complexiteit van de analyse maakt het lastig om te motiveren waarom iemand is afgewezen. De vraag is hoever zo’n motivatie volgens GDPR moet gaan. Volstaat het antwoord: ‘de klant is niet kredietwaardig’ of moet het bedrijf precies kunnen vertellen op basis van welke parameters de afwijzing tot stand is gekomen?

Tijd moet het leren

De praktische implicaties van GDPR zijn moeilijk in te schatten. Experts adviseren om in elk geval goed na te denken over de interpretatie en als bedrijf je verhaal klaar te hebben. Als de wetgevende macht dan van mening is dat je in overtreding bent, dan kun je in elk geval aantonen dat je geprobeerd hebt de regels te volgen.