Startup Complianz.io vindt blue ocean na AVG-drukte

Na 25 mei 2018 is de stroom aan AVG-mailtjes in de mailbox gestopt. Het lijkt ondertussen weer business as usual voor bedrijven, maar daar maken ze volgens Aert Hulsebos van Complianz.io een grote vergissing. “Privacy als trend blijft groeien”, stelt hij. Zijn startup biedt een AVG-plugin voor WordPress. “Het is een vrij nieuwe markt met veel kansen, een echte blue ocean. We gaan voor de lange termijn.”

Dat de AVG nog niet volledig wordt nageleefd, zal niemand zijn ontgaan. Nog veel websites dwingen je direct akkoord te gaan met alle cookies, en bieden als optie alleen het lezen van de privacyverklaring. Ook hier bij Emerce zelf. Is er wel een markt voor zo’n AVG-plugin? “In de afgelopen maanden werd er in alle media vooral ingespeeld op de angst voor boetes vanuit de Autoriteit Persoonsgegevens (AP). En met de berichten dat er personeelstekorten bij de AP zouden zijn, en het uitblijven van die boetes, zou je inderdaad denken dat het business as usual is”, bevestigt Hulsebos. “Maar vergis je niet, de gevolgen worden echt voelbaar. Wellicht alleen anders dan je verwacht, via stichtingen en consumentenorganisaties. Die komen op voor consumenten en zullen als eerste wijzen op partijen die de AVG slecht naleven. De AP zal die klachten serieus gaan oppakken.”

Dat is nog steeds vanuit wetgeving en naleving gedacht. Wat zijn voor bedrijven nu zakelijke redenen om privacy op te pakken?

“Het is zonde dat er vooral gecommuniceerd is met die torenhoge boetes. Want het is in eerste instantie gewoon goed om als bedrijf de privacy van je werknemers, sollicitanten, websitebezoekers en klanten serieus te nemen. Dat is al een prima uitgangspunt. Daarnaast weten consumenten steeds beter wat hun rechten zijn. Het zal daarom steeds belangrijker worden in B2B en B2C om te laten zien dat je privacy serieus neemt.”

Hoe moet het eigenlijk?

“Een website zou zo moeten werken: uitsluitend functionele cookies en geen enkele andere cookies of scripts, ook niet van derden, totdat de bezoeker daar helder over is geïnformeerd en expliciet toestemming geeft. In de praktijk zien consumenten dit nog heel weinig. Bij bedrijven is men al veel meer bewust van dataveiligheid.”

Bedrijven zien dataveiligheid als voorwaarde voor zakendoen?

“Wilde je voor 25 mei die grote klant binnenhalen, dan moest je al aantonen dat je veilig met hun bedrijfsgegevens omgaat, ISO-certificaten hebt en voor een eventueel datalek bent verzekerd. Nu is de AVG daar bovenop gekomen. Het is een kwestie van professionaliseren, er niet aan voldoen betekent dat je achterblijft. Wil je serieuze klanten, dan moet je serieus met de AVG bezig. Zeker met de komst van de volgende wet.”

De E-privacyverordening die gepland stond voor dit jaar.

“Klopt, die is uitgesteld in afwachting van politieke overeenstemming op Europees niveau. Tot die tijd blijft de huidige cookiewet nog gelden. Er is nu nog enige onduidelijkheid over de AVG en de begrippen die je moet interpreteren en toepassen. De E-privacyverordening krijgt straks voorrang op de AVG, daarom kijken wij ook naar de voorstellen zoals die nu in Brussel liggen. Deze nieuwe wet zal de exacte invulling specificeren voor online communicatie, tracking-technologieën en direct marketing. Je zal bijvoorbeeld expliciet moeten aangeven welke cookies je gebruikt en wat ze doen. In gewone mensentaal, en met als uitgangspunt dat de consument zelf niet weet waar cookies staan en hoe je die weert of verwijdert.”

Dus privacy staat voorlopig nog op agenda?

“Ja, en niet alleen bij ons. Amerika liep altijd achter op het beschermen van persoonsgegevens. Totdat opeens Facebook in het nieuws kwam met allerlei privacyschandalen. Nu heeft de staat California de meest verrijkende privacywet aangenomen, The California Consumer Privacy Act of 2018, die veel overeenkomsten heeft met onze Europese GDPR. Ook in Australië kijken ze hoe onze GDPR uitpakt.”

Waar komt privacy als trend volgens jou vandaan?

“De adoptie van technologie gaat steeds sneller en we creëren steeds meer persoonsgegevens. De discussie over het beschermen van die data komt nu in een stroomversnelling. Precies zoals je met AI zag. Als je tien jaar geleden aangaf hoe AI onze banen zou vervangen, werd dat al snel science fiction genoemd. Nu zien we dat sneller gebeuren dan we dachten en volgen er vele discussies. We zijn als het ware overrompeld door de technologische vooruitgang en dat gebeurt nu ook met het privacyvraagstuk.”

Is dat waarom je Complianz.io hebt opgericht?

“Nee, we begonnen eigenlijk heel praktisch. Als marketingbureau (Abraham en De Leeuw en Marbles Marketing – red.) vroegen ook wij ons aan het begin van het jaar af hoe we aan de AVG konden voldoen. We hadden in 2017 al een paar privacyvraagstukken voor klanten opgepakt, dus we hadden al contact met ICTRecht Groningen. We kwamen erachter dat het een hele opgave was om volledig aan de AVG te voldoen, ook met een WordPress site.”

“Er is een heel versnipperd aanbod aan tools en plugins, cookiemeldingen en privacy policy- generatoren, maar geen enkele tool waarmee je echt volledig voldoet aan de AVG. Samen met Mathieu Paapst van ICTRecht kregen we het idee om zo’n tool zelf te maken, in eerste instantie voor onszelf en onze klanten. Later merkten we dat veel meer bureaus hiermee kampen. We kwamen vervolgens in contact met Rogier Lankhorst, een ervaren programmeur die met zijn Really Simple SSL plugin op meer dan een miljoen actieve installaties zat. Zo hadden we de driehoek compleet: marketing, juridisch en programmeren.”

Hoe werkt jullie tool?

“Het is een WordPress plugin, met een gratis versie en een premium versie met extra mogelijkheden. Je doorloopt een wizard, waarin we allerlei vragen stellen over je bedrijfsvoering en hoe er met privacy wordt omgegaan. Daarbij zit ook een cookiescan die jouw hele website checkt op de aanwezige cookies en scripts. In dertig minuten heb je een cookie policy met een cookielijst, privacyverklaring, verwerkersovereenkomsten en een disclaimer. Op maat op voor jouw website, met cookiemelding indien nodig.”

Hoe onderscheid je je van andere tools?

“Ten eerste zetten we ook alle cookies van derden uit, dus denk aan YouTube, Facebook, share buttons. Bij andere tools wordt hier nogal eens aan voorbij gegaan. Daarnaast werkt onze wizard op maat, het is geen sjabloon. Dus checken we bijvoorbeeld of je bij je contactformulieren wel een GDPR-consent box nodig hebt. Want heb je een wettelijke grondslag voor het vragen van een persoonsgegeven, zoals een biermerk bijvoorbeeld dat de geboortedatum vraagt, dan hoef je geen toestemming meer te vragen. Totdat je dat gegeven weer wilt inzetten voor je marketing natuurlijk. En onze plugin blijft op de achtergrond draaien. Wil je bijvoorbeeld de Facebookpixel of een javascript toevoegen, dan geeft onze plugin een melding en stelt het voor om deze in onze eigen tool te plaatsen. Zo houd je grip op alle cookies en scripts, en zet je echt alles uit totdat de klant toestemming geeft.”

Maak je dan geen dubbele functionaliteiten?

Dat is niet ons uitgangspunt. Populaire contactformulieren zoals Gravity Forms en Form 7 komen met eigen native functies, waarmee bezoekers bijvoorbeeld straks hun eigen contactgegevens kunnen opvragen en laten verwijderen. We hebben wel nagedacht om zelf een contactformulier te maken, maar eigenlijk alleen om een volledige controle te hebben. Dus besloten we om daar een laag boven te zetten, door aan te geven dat wat de privacymogelijkheden van dat soort plugins zijn en of je het nodig hebt. WordPress heeft sinds versie 4.9.6. zelf ook allerlei extra privacyfuncties, maar die zijn lastig te vinden en te gebruiken. Onze benadering is om een privacy dashboard in WordPress te bieden, waarmee je volledig overzicht hebt.”

Waarom alleen WordPress?

“We gebruiken het zelf, veel van onze klanten gebruiken het en het is verreweg het meest populaire CMS-systeem voor het mkb en zzp’ers. Natuurlijk kregen we gaandeweg vragen om ook andere platformen te gaan doen, en dat doen we op basis van potentie. Open source en PHP zijn vooralsnog ons uitgangspunt. We kijken nu naar MODX, Typo3, Shopware en Magento. Elk systeem heeft zijn eigen uitdaging.”

De AVG reikt veel verder dan alleen de website. Waar stopt jullie dienstverlening?

“Onze focus is een dashboard dat zoveel mogelijk privacyzaken in je website omvat. Niet eenmalig omdat er een nieuwe wet ingaat, maar doorlopend. Alles wat je op je website doet, heeft een privacycomponent. We willen een soort WordPress GDPR-kenniscentrum worden en een dashboard bieden waarmee je privacy volledig kunt waarborgen. Daarvoor beginnen we met de meest voorkomende plugins en scripts, en werken naar beneden. Onze focus is de website, met een CRM-systeem met klantgegevens kunnen wij bijvoorbeeld als plugin niet zoveel.”

Welke toekomst zie je voor Complianz.io?

“Ik zou graag zien dat iedereen die een WordPress-website start of heeft draaien, standaard onze plugin meeneemt voor de privacy. In onze communicatie hebben we het expliciet niet over mogelijke boetes, maar over de kansen die privacy biedt. We gaan voor de lange termijn, met hoge kwaliteitseisen en een gemakkelijke oplossing die laagdrempelig werkt. Privacy wordt steeds belangrijker, en onze tool is interessant voor mkb’ers en zzp’ers wereldwijd. We worden graag de autoriteit op privacy voor websites, zodat bedrijven zich weer volledig op het ondernemen kunnen richten.”