E-privacy: alle macht naar Google, Microsoft en Apple?

We maken ons allemaal druk om de Europese General Data Protection Regulation (GDPR) die op 25 mei 2018 van kracht wordt. Maar vergeet daarbij de nieuwe cookiewetgeving niet (de e-privacyverordening), die in potentie een veel grotere impact kan hebben.

GDPR zorgt ervoor dat we duidelijker moeten zijn en beter moeten registreren wat we met persoonsgegevens doen. Het is gericht op de communicatie met de consument. Wie een goed gestructureerde database heeft en zich altijd aan de regels heeft gehouden, zou met enige inspanning goed aan de nieuwe regels moeten kunnen voldoen. Dit geldt echter niet voor organisaties die zich richten op direct marketing. Hiervoor gelden veel striktere regels, met name een absoluut recht voor consumenten te weigeren dat hun data worden gebruikt voor direct marketing.

Privacy by design: hoe heet wordt de soep?

Wat voor alle bedrijven een onderbelicht obstakel is, is de privacy by design-clausule. Volgens de nieuwe EU-wet moeten organisaties ervoor zorgen dat gegevens continu worden beschermd met de nieuwste technologische mogelijkheden. Bij het ontwerpen van nieuwe processen en systemen moet er dan ook terdege rekening worden gehouden met de bescherming van persoonsgegevens. De vraag is hoe heet de soep zal worden gegeten. Geldt de privacy by design-regel voor bestaande systemen of alleen nieuwe? Mijn verwachting is dat bedrijven met systemen die belangrijke persoonsgegevens bevatten ervoor moeten zorgen dat de beveiliging daarvan doorlopend up-to-date is. Dat heeft snel heel veel impact, want systemen zullen bijvoorbeeld encryptie en een 2-way authenticatieprocedure moeten gaan toepassen. Wanneer bijvoorbeeld een e-mailmarketingsysteem dit niet doet, moet je als bedrijf overstappen op software die wel aan de eisen voldoet. En blijven alle persoonsgegevens zichtbaar in het systeem of moet je als marketeer alleen een selectie kunnen maken, zonder dat de daadwerkelijke data in te kunnen zien? Ik ben benieuwd hoe dit soort vraagstukken zich gaat ontwikkelen na 25 mei 2018.

Nieuwe cookieregels

Daarnaast horen we er verder weinig over dat de EU tegelijk met de GDPR ook nieuwe cookieregels wil introduceren. De huidige Nederlandse cookiewet zal per 25 mei 2018 mogelijk worden vervangen door een nieuwe Europese cookiewet namelijk, de door de Europese Commissie (EC) voorgestelde e-privacyverordening (EPV). Een cookie valt onder persoonsgegevens en je moet daarom sinds 2014 websitebezoekers om toestemming vragen om deze te verzamelen en in je privacy statement precies zeggen wat je ermee doet. De EU signaleert echter dat de consument nog altijd geen idee heeft waar hij precies mee instemt. Bovendien omvat de huidige cookiewet niet alle manieren waarop een websitebezoeker gevolgd kan worden, zoals bijvoorbeeld via device fingerprinting. Daarom gaan de cookieregels tegelijk met de bescherming van persoonsgegevens op de schop. Wel is het zo dat de EVP nog uitgesteld kan worden. De grote uitgevers van Europa zijn momenteel hard aan het lobbyen voor andere regels en ik begrijp wel waarom.

De bedoeling is namelijk dat vanaf 25 mei 2018 de toestemming om cookies te verzamelen via de browser wordt geregeld. Er komt dus meer macht te liggen bij de grote mediapartijen, Apple, Google en Microsoft. De gebruiker krijgt handvatten over wat er met cookies gebeurt en kan instellen of deze mogen worden verzameld en voor welke doeleinden. Het is de vraag hoe de browsers daarmee om zullen gaan. Wordt er bijvoorbeeld op bedrijfsniveau om toestemming gevraagd of op een ander niveau? Wordt het een simpele klik of moet je actief websites toevoegen? Zijn er verschillen per browser? Cookies zijn een belangrijke inkomstenbron voor veel partijen waaronder zeker de uitgevers.

Terug naar bulkmarketing?

Het ligt dus in de lijn der verwachting dat er explicietere cookievragen worden gesteld aan de browsergebruiker. De wijze van vragen is nog gissen. De kans is aanwezig dat bedrijven veel minder cookies kunnen verzamelen en dus over minder data beschikken van bezoekers. Zonder cookies wordt alles wat we met data-driven marketing doen lastig – van het volgen van de customer journey tot storytelling en personalisatie. Wat ga je doen om aan data te komen als je via cookies minder gegevens verzamelt? Ik heb daar nog geen antwoord op. Gaan we terug naar bulkmarketing?

Op zich is het logisch dat de EU de browsers beschouwt als de poortwachters van internet en daar de verantwoordelijkheid neerlegt. Maar je kunt je tegelijkertijd ook afvragen of je deze macht moet geven aan partijen die een kennelijk belang hebben. Google, Apple en Microsoft zijn immers zelf publishers en kunnen geneigd zijn om hun eigen positie te bevoordelen.

Controle schiet vaak tekort

Het is natuurlijk goed mogelijk dat het allemaal niet zo’n vaart zal lopen. We zien dat bedrijven langzaam wakker worden en de mogelijke impact van de GDPR beginnen in te zien. Zeker als ze hun data niet op orde hebben, kan het veel werk met zich meebrengen en hebben de nieuwe regels wel degelijk gevolgen. Echter, bij de nieuwe telecomwet in 2009 schoten we ook in de stress en bleek er uiteindelijk weinig opvolging plaats te vinden vanuit de overheid. Dat gold ook voor de daaropvolgende aanscherpingen en wijzigingen in de regelgeving. Veel partijen zijn daardoor vervallen in een grijs gebied. De mogelijkheden van commerciële nieuwsbrieven zijn bijvoorbeeld in de regelgeving ingeperkt, maar er vindt amper controle plaats. Wie heeft zich niet weleens uitgeschreven voor een nieuwsbrief om deze na zes maanden gewoon weer te ontvangen? Dat is niet het ergste wat er kan gebeuren, maar wel symptomatisch voor hoe dit soort nieuwe regels van overheidswege worden gehandhaafd. Instanties zijn zwaar onderbemand en hebben niet de middelen om de markt echt te controleren.

De branche speelt hier zelf natuurlijk ook een rol in. We stellen gedragscodes op omdat de overheid wil dat de markt zichzelf reguleert. Maar hoe streng wordt er toegezien op de naleving daarvan? Dus: goed dat er nieuwe regels komen, maar zowel overheid als branche zullen zich over de controlemechanismen moeten buigen. Alleen zo lijden de goeden niet onder de kwaden.