Gevolgen van de nieuwe Europese privacyregels

Gevolgen van de nieuwe Europese privacyregels
  • Algemeen
  • 25 jun 2015 @ 11:02
  • 15301 x gelezen
  • Link
  • Sheila Klein Schiphorst
    Sheila Klein Schiphorst

    PR & Communicatie manager
    SHE PR & Marketing
  • Privacy

Meer dan twee jaar deden ze er over, maar de Europese Raad is eindelijk akkoord gegaan met een voorstel voor de nieuwe Europese algemene verordening gegevensbescherming. In de volksmond ook wel gewoon de regels op het gebied van privacy genoemd. En zoals ik al twee jaar geleden hier op MarketingTribune aankondigde: deze nieuwe regels hebben vergaande gevolgen voor de (online) marketing industrie. Ik zet daarom de belangrijkste bevindingen voor je op een rij.

Zijn de nieuwe regels nu wel of niet positief?
De reacties in de markt over het nieuwe voorstel zijn nogal wisselend te noemen. Zo bericht Tweakers dat volgens EDRi de tekst over gegevensverwerking zo ruim is, dat bedrijven zich te makkelijk kunnen beroepen op een legitiem belang voor het verwerken van de data. Ook Bits of Freedom vind de tekst te veel afgezwakt. Branchevereniging DDMA reageert daarentegen dat het voorstel positief is op het gebied van marketing en profileren. Organisaties mogen namelijk nog werken met opt-out, mits consumenten hier transparant over worden geïnformeerd en zich kunnen afmelden.

Is het nu klaar en definitief?
Dat de reacties wisselend zijn is overigens niet zo heel vreemd. Zelfs sommige landen uit de Europese Raad van Ministers hebben nog hun bedenkingen bij een aantal bepalingen. Maar daar gaan ze later rustig nog een keer verder over praten. Twee jaar was niet lang genoeg??? Er komt namelijk nog een volgende fase van het wetsontwerp, dit noemt men de triloog. Hier gaat de Raad samen met het Europees Parlement en de Commissie onderhandelen om tot een definitieve tekst te komen. Het eindresultaat wordt een regulation. Die heeft minder flexibiliteit qua lokale implementatie dan een directive. Daardoor ontstaan minder interpretatie- en dus meningsverschillen tussen landen. En dat dit handig is blijkt wel uit de cookie-soap die alweer een paar jaar geleden is ontstaan.

Dit moet je als adverteerder, dataverwerker en online bureau weten
De belangrijkste bevindingen en definities uit het wetsvoorstel voor de marketing en advertising industrie op een rij:

Persoonsgegevens
Bij de definitie van persoonsgegevens heeft de Europese Raad van Ministers meer rekening gehouden met de context waarin gegevens worden verwerkt. Zo zijn online identifiers, zoals cookies, niet per definitie een persoonsgegeven, maar alleen als zij gebruikt worden om iemand te identificeren of te individualiseren.

Toestemming
De Europese Raad van Ministers vereist geen ‘expliciete’ toestemming, waar het Europees Parlement en de Europese Commissie hier wel voorstander van zijn. Dit zou met name verstrekkende gevolgen hebben voor de implementatie van de cookiewet, die nu werkt met een model waarbij je ook via gedrag kan aangeven akkoord te zijn met het plaatsen van cookies.

Opt-out
De Europese Raad van Ministers erkent marketing als een gerechtvaardigd ondernemersbelang. Dit betekent dat organisaties nog altijd bepaalde gegevens mogen verzamelen zonder toestemming en dat zij deze mogen gebruiken voor marketing. Voor nieuwe markttoetreders is het van belang dat zij potentiele klanten kunnen benaderen met een aanbod. Uiteraard moeten mensen zich wel eenvoudig kunnen afmelden.

Profileren
Profileren van data mag volgens de tekst van de Raad een opt-out zijn, tenzij dit juridische gevolgen heeft voor een consument of hem op een andere manier negatief raakt. Uiteraard moet iemand hier wel volledig en duidelijk over geïnformeerd worden en heeft de consument het recht om zich af te melden.

Wat betekenen deze definities in de praktijk?
Las je net alle definities en vind je het lastig om dit te vertalen naar de praktijk? Dat snap ik helemaal, ik heb namelijk precies hetzelfde. Maar experts bij Emerce en Tweakers omschrijven het heel duidelijk:

‘Een belangrijk aspect voor de online industrie is dat verwerking van persoonsgegevens enkel mag plaatsvinden na expliciete toestemming van de gebruiker. Dat kan met een vinkje in een ‘toestemmingsdoosje’ maar ook met de voorkeursinstellingen van de browser. Dataverwerkers moeten de verkregen toestemming kunnen aantonen.’

‘Een ander element van de voorgestelde regels is, dat consumenten het recht tot dataportabiliteit krijgen. Een online dienstverlener moet erin voorzien dat een consument zijn gegevens kan oppakken en kan verhuizen naar een concurrent.’

Recht om vergeten te worden
‘Het voorstel voor de verordening beschrijft onder andere het recht om vergeten te worden: bedrijven zouden data op verzoek moeten verwijderen als er geen legitieme reden meer is deze te verwerken of te behouden. In de tekst is echter de uitzondering opgenomen dat uitzonderingen mogelijk zijn op basis van het recht op vrijheid van meningsuiting en de media, zoals krantenarchieven. Bedrijven moeten aantonen dat bewaren van data nog nodig of relevant is.’

‘Daarnaast moeten organisaties die gegevens verwerken worden verplicht de privacy-autoriteit van hun lidstaat zo snel mogelijk in te lichten bij een grote hack, zodat klanten de tijd hebben maatregelen te nemen.

Boetes die flink pijn kunnen doen
Ondanks de interne meningsverschillen verwacht de Europese Raad van Ministers dat zij de verordening nog dit jaar definitief gaan maken. En dat moet in mijn ogen haalbaar zijn aangezien de eerste bespreking al op 24 juni zal plaatsvinden. We hebben er dus misschien wel lang op moeten wachten, de nieuwe afspraken vervangen de verouderde Europese privacyregels uit 1995, maar negeren kun je het straks allerminst. De boeteclausule schrijft namelijk voor dat bedrijven een bedrag riskeren van 2 procent van hun jaarlijkse omzet bij inbreuk op de verordening. En in andere gevallen kunnen de boetes oplopen tot maximaal 1 miljoen euro. En dat zijn bedragen die heel erg pijn doen. Ook op het hoofdkantoor van Facebook.

Om misverstanden te voorkomen…
Ik hoop je door middel van deze blogpost inzicht te hebben gegeven in de belangrijkste nieuwe regels die ons straks allemaal te wachten staan. Laat ik nog wel even benadrukken dat ik geen privacy expert ben. Mijn vak is communicatie en marketing, maar aangezien deze regelgeving van grote invloed is op de werkzaamheden van veel van mijn opdrachtgevers volg ik al deze ontwikkelingen op de voet. Zoals je al merkte heb ik alle informatie uit deze blogpost verzameld van websites waar wel degelijk expertise zit zoals Bits of Freedom, Tweakerz, Emerce en DDMA. Heb je een vraag of opmerking over de Europese privacyregels? Stel ze dan gerust, ik kan altijd het antwoord voor je opvragen in mijn netwerk.

Sheila Klein Schiphorst

Nieuwsbrief

  • Mis niets! Schrijf je nu in voor de gratis nieuwsbrief.
  • Inschrijven

Word abonnee en ontvang:

  • ✔ 22 keer per jaar MarketingTribune Magazine
  • ✔ Korting tot wel €100,- op events
  • ✔ Gratis tablet versie

  • MarketingTribune.nl: presenteert en duidt het brede palet aan ontwikkelingen in het vakgebied marketing.
  • MarketingTribune: meer over marketing en merken