Print:

Wat gaat de ePrivacy Verordening betekenen voor marketeers?

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

De nieuwe ePrivacy Verordening (ePV) komt eraan. Na de Algemene verordening gegevensbescherming (AVG) is dit weer een privacywet uit de koker van Brussel. En ook deze verordening belooft een grote impact te hebben in marketingland. Maar om mogelijke onrust weg te nemen: wie nu al hard bezig om AVG-compliant te worden, zal de nieuwe regels tijdig en moeiteloos kunnen integreren.

ePrivacy Verordening | IIR

 

AVG, ePV en wat?

Allereerst iets over de verschillende verordeningen. De AVG, ook bekend als de General Data Protection Regulation (GDPR), is ’s werelds meest ambitieuze privacywet. Bedrijven en overheden moeten hun gegevensbescherming ‘by design and default’ in hun bedrijfsproces doorvoeren, op een standaard hoog niveau. De EU-verordening stelt een aantal algemene en strenge eisen aan het gebruik van persoonsgegevens door organisaties die persoonsgegevens verwerken. Wie regels van dataportabiliteit of het recht om vergeten te worden overtreedt, kan forse boetes voor de kiezen krijgen.

Voor de marketingactiviteiten van bedrijven stelt de AVG geen specifieke eisen, dat wordt namelijk geregeld in de ePrivacy Verordening. Nieuwe regels zijn in de maak voor telemarketing, cookies en pixels, opt-in en opt-out constructies en de verwerking van (meta)gegevens. Uiteindelijk zal de ePV de Nederlandse Telecommunicatiewet inclusief Cookiewet gaan vervangen.

Wilt u weten hoe de ePrivacy Verordening alle organisaties gaat raken? Download de whitepaper.

Wat betekent de ePV voor marketing?

In het eerste wetsvoorstel valt te lezen dat de nieuwe Europese regels gericht zijn op specifieke marketingkanalen die raken aan (online) privacy. Ze zullen niet alleen gelden voor telecombedrijven, maar ook ‘Over The Top’ (OTT) dienstverleners als Whatsapp, Snapchat en Skype; Netflix en het Internet Of Things (IOT). De regels rondom cookies moeten eenvoudiger. De regels rondom spam worden scherper. Mogelijk introduceert de ePrivacy Verordening een verbod op cookie-muren. En in navolging van de AVG zou het zomaar kunnen dat organisaties verplicht ‘privacy-by-design’ in hun bedrijfsprocessen moeten inbouwen.

Met de ePV krijgen eindgebruikers nieuwe mogelijkheden om controle uit te oefenen op de verwerking van hun persoonsgegevens. Het moet als klant net zo makkelijk worden om uw toestemming in te trekken als deze te geven. Organisaties krijgen te maken met meer verplichtingen bij het verwerken van persoonlijke gegevens en metadata van elektronische communicatie. En de toezichthouders van alle EU-landen krijgen dezelfde sterke bevoegdheden om de privacyregels te handhaven. Voor Nederland geldt dat naleving waarschijnlijk bij de Autoriteit Persoonsgegevens (AP) wordt neergelegd, in coördinatie met de Europese privacyauthoriteiten.

Wie zwijgt, stemt niet langer toe

Naar verwachting zal de ePV de expliciete toestemming van eindgebruikers als startpunt stellen wanneer digital adverteerders hun data willen gebruiken. Dat geldt zowel voor de verzameling van gegevens, bijvoorbeeld met (Web)Analytics, Bing, DSP en Data Management Platforms, maar ook voor de verwerking. Advertisingplatformen als Facebook en Google zullen duidelijk moeten aangeven voor welk doel ze de gegevens willen verwerken. Andere doeleinden zijn dan niet toegestaan.

Aangezien consumenten naar verwachting niet snel toestemming zullen geven voor in hun ogen irrelevante advertenties, is een direct gevolg van de wet dat scherpe targetting moeilijker wordt. Adverteerders zullen nieuwe en originele manieren moeten vinden om individuele, pseudo-anonieme data in te zetten voor hun campagnes. Voor digitale advertising zou het dan ook gaan om (gehashte) emailadressen, IDFA’s en cookie ID’s.

Cookie van eigen deeg

Met de AVG zijn websites verplicht om toestemming te vragen voor het plaatsen van cookies of aanverwante technieken als pixels en trackingscripts. De uitzonderingen daarop blijven de functionele of noodzakelijke cookies om een website te laten draaien. De analysecookies van Google Analytics zijn nog toegestaan, mits ze niet al te grote impact hebben op de privacy. En op dit moment is de cookiewall, waarbij bezoekers niet worden toegelaten op de site wanneer ze geen toestemming geven, nog steeds toegestaan.

Met de ePV gaat hierin veel veranderen. Zo wordt de cookiewall hoogswaarschijnlijk in de ban gedaan en moeten browser aanbieders als Explorer, Chrome en Safari verplicht een functionaliteit inbouwen waarbij gebruikers cookies kunnen toestaan of weigeren. Op deze manier wordt de ‘cookievermoeidheid’ bij gebruikers weggenomen en wordt het proces van toestemming verlenen gestroomlijnd.

Hetzelfde geldt voor pixels, waarbij adverteerders via de website of app profielen opbouwen bij online shopping gedrag. Deze profielen kunnen vervolgens door een extern advertentie- of publisherplatform worden ingezet voor profiel targetting. Voorbeelden hiervan zijn Google AdWords Keyword targeting gecombineerd met Google Display Network Remarketing, RLSA Facebook retargetting enzovoorts. Hoewel er geen sprake is van email- of naam-adres- woongegevens (NAW), ziet de ePrivacy Verordening de cookie of appID toch als een persoonsgegeven. En dus zal er toestemming nodig zijn voor iedere keer dat een adverteerder een profiel doorspeelt naar een extern advertentie- of publisherplatform.

Telemarketing: opt me in or out?

Een ander heet hangijzer is dat het wetsvoorstel een opt-in systeem voor telemarketing voorstelt, met behoud van een opt-out systeem zoals het Nederlandse Bel-me-niet-register. De EU overweegt om telemarketeers te verplichten met een ‘prefix’nummer te bellen, dat bij de telecomprovider kan worden geblokkeerd. Vanuit de brancheorganisatie DDMA is daar hevig verzet tegen gekomen, omdat klanten dan ook niet gebeld kunnen worden wanneer ze hier wél toestemming voor hebben gegeven. Ook vindt de industrie dat bestaande klanten over gelijksoortige producten gebeld moeten kunnen worden, binnen een redelijke periode na de oorsponkelijke termijn.

Wat die redelijke termijn is, zal de ePrivacy Verordening ook gaan bepalen. Vanuit Brussel klinkt dat een klantrelatie van 24 maanden als een goede tijd wordt gezien. Hierbij wordt nog wel gekeken naar de aard van het product, de levensduur en looptijd. Er bestaan natuurlijk grote verschillen in klantrelaties wanneer het gaat om een krantenabonnement, de aanschaf van een auto, of een langlopende lening.

Nieuwe regels voor (meta)data verwerken

Zoals hierboven beschreven komen er nieuwe regels voor de individuele adverteerders en de advertisingplatformen als Google en Facebook met wie ze hun verzamelde data delen. Dit is niet het geval voor contextuele targetting zoals Google Display Network keyword en Google AdWords keyword targetting, Publisher website targetting en domain targetting. Hier wordt reclame immers gekoppeld aan de content en niet aan persoonlijke bezoekers. Maar voor target adverteren aan de hand van NAW-profielen met leeftijd, geslacht, locatie en affiniteitscategorieën moet wel toestemming komen. Het gaat hierbij om profiel targetting met Google Display Network, Google AdWords Keyword targeting met affiniteitscategorie, allerlei typen van Facebook targetting etc.

Ook metadata, waaronder de locatie van verzenden en ontvangen of het tijdstip van communicatie, zal onder de e-Privacy Verordening komen te vallen. Om deze persoonsgegevens te verwerken moet toestemming worden gevraagd. Wanneer de klant die toestemming niet geeft, moet de metadata worden geanonimiseerd of verwijderd. Een lichtpuntje is wel dat, zodra de toestemming voor gegevensverwerking er wel is, telecombedrijven nieuwe – of aanvullende diensten kunnen bieden. Een voorbeeld is het creëren van ‘heat maps’ van gebruikersdichtheid in een bepaald gebied, wat weer nuttig is voor locatie-adverteren.

Dus wat nu?

Het is duidelijk dat de nieuwe ePrivacy Verordening nogal wat teweeg gaat brengen in online marketing. Optimisten stellen dat privacy met de ePV naar een hoger niveau wordt getild en nieuwe kansen voor het bedrijfleven biedt; anderen vrezen de regelzucht en administratieve rompslomp en bijbehorende kosten. Hoe dan ook, de ePV gaat er komen en het beste is om u zich er zo goed mogelijk op voor te bereiden.

Momenteel zijn de onderhandelingen met het Europees Parlement en de Europese Commissie in volle gang. De verwachting is dat er geen consensus zal zijn voor de verkiezingen van het Europees Parlement in mei 2019. Dat zou betekenen dat de definitieve tekst er na de zomer volgend jaar ligt. Met een overgangstermijn van één of twee jaar, zal de ePrivacy Verordening in 2020 of 2021 in werking treden.

Drie tips voor marketeers

1. Voer een Data Protection Impact Assessment (DPIA) uit

Een DPIA wordt uitgevoerd om privacy risico’s in kaart te brengen. Hierdoor worden organisaties verplicht om te kijken naar ze online communicatie verwerken. En met name hoe ze hun vertrouwelijke digitale communicatie beschermen. Dit wordt de DPIA genoemd, in de Nederlandse vertaling is dat het perfecte galgje woord: ‘gegevensbeschermingseffectbeoordeling’. De vraag hierbij is welke gegevens je in huis hebt en je ermee omgaat. Ook voor organisaties, voor wie dit (nog) niet verplicht is, kan het handig zijn om een DPIA uit te laten voeren. Voorkomen blijft nog altijd beter dan genezen.

2. Blijf AVG-compliant

Het is aan te raden om zo snel mogelijk de interne verantwoordelijkheden voor de bescherming van persoonsgegevens op orde te maken, voor zover dat nog niet is gebeurd. Ook moeten organisaties systemen van monitoring en compliance optuigen en indien nodig een Data Protection Officer (DPO) aan te stellen. Diezelfde governance structuur en kennis zal ook van pas komen wanneer de ePrivay verordening om de hoek komt kijken. Omdat de ePV een meer specifieke uitwerking is van de AVG, met de bescherming van persoonsdata en communicatiegegevens inregelt, zal de nieuwe wet weinig aanpassingsproblemen veroorzaken.

3. Lees u in, zoek naar kansen

Natuurlijk, er kan nog veel gebeuren tussen nu en 2020/2021. Nieuwe vormen van target advertising kunnen het speelveld veranderen en zo mogelijk ook een plek vinden in de ePV. Denk aan trends als omni-channel marketing, chatbots en voortdurend verdergaande automatisering in marketing. Door op de hoogte te blijven van de laatste ontwikkelingen zijn marketeers klaar op wat er gaat komen uit Brussel; en kunnen ze op tijd op nieuwe kansen inspringen. Brancheorganisatie DDMA biedt een uitgebreid aanbod van informatie, advies en onderzoeken. Ook toezichthouder AP zal naar verwachting uitgebreide voorlichting over de ePV verzorgen.

Het duurt nog even voordat de nieuwe verordening er is, maar de eerste stappen kunt u nu al zetten!

Precies weten wat er voor marketing verder gebeurt op het vlak van de ePV?

Doe mee aan het actualiteitenseminar ePrivacy Verordening op 15 februari 2019. Luister naar bijdragen van experts zoals Europarlementariër Sophie in ’t Veld, Matthias de Bruyne (DDMA), Evert Jan Hummelen (Autoriteit Consument Markt) en Jan-Paul Verboom (FrieslandCampina) en topsprekers van o.a. Wehkamp, Tele2, Coolblue en Eneco.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten