BIG TROUBLE?
Gevolgen van de Europese Privacyverordening voor (big) data marketing
Jitty van Doodewaerd
Compliance officer -DDMA
- 22 maart 2013 -
Hoe meer we weten hoe minder we storen.
Privacy| profileren
•
Profileren is zo oud als de weg naar Rome, maar weer actueel
•
De roep om strenge privacyregels neemt toe door: – Door gebrek aan transparantie, inzicht en kennis – Koppelen van databases en creëren van uitgebreide profielen – Toename van (schaal van) incidenten
Richtlijn 95/46 Situatie nu
Marketing| Data Protection Directive Wat zegt de Privacywet?
Verwerken van persoonsgegevens voor marketing mag als: • Je een gerechtvaardigd belang voor de verwerking of toestemming hebt (reclame = gerechtvaardigd belang) (8a/8f Wbp)
• Je de betrokkene en de overheid hebt geïnformeerd op over de specifieke doeleinden van de verwerking. Reclame en/of derdenverstrekking • Je de betrokkene in iedere uiting wijst op het recht van verzet. (41 Wbp)
Marketing| E-privacy Directive Wat zegt de Telecomwet? Telecommunicatiewet art 11.7 –toestemming voor het ongevraagd toezenden van elektronische berichten voor communicatie
Telecommunicatiewet 11.7a (cookies) – het opslaan van informatie op randapparatuur van een gebruiker en toegang tot informatie op randapparatuur van een gebruiker alleen mag als - de gebruiker hierover helder geïnformeerd is - en toestemming heeft gegeven
= opt-in
Wat betekent de verordening voor (big) data marketing?
1) Meer (big) data zijn persoonsgegevens
Verordening| persoonsgegeven Voorstel (1) 'data subject' means an identified natural person or a natural person who can be identified or singled out, directly or indirectly, alone or in combination with associated data, by means reasonably likely to be used by the controller or by any other natural or legal person, in particular by reference to a unique identifier, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural, social or gender identity or sexual orientation of that person; I.t.t. gegevens herleidbaar tot een individu
Verordening| persoonsgegeven Definitie van persoonsgegeven • Context: data die voor mij herleidbaar is, hoeft dit niet te zijn voor een andere afdeling binnen mijn organisatie of voor een derde aan wie ik de gegevens verstrek. B.v. postcodesegmentatie: Techniek waarbij doelgroepen gesegmenteerd worden aan de hand van socio-economische- en demografische kenmerken die min of meer uniform zijn voor adressen met dezelfde postcode of in hetzelfde gebied. Folderen in wijken met gezinnen/ tuinen etc.
B.v. gebruik geanonimiseerde data voor R&D
Verordening| persoonsgegeven Amendementen Europees Parlement DDMA zou graag zien dat de definitie van persoonsgegevens wordt aangepast en steunt amendementen hiertoe. 1. Behouden ‘oude’ definitie (Alvaro, Holmeier) 2. Of meer aandacht in de definitie voor: •
Context – niet alle data is per definitie een persoonsgegeven
•
Herleidbaarheid – als een verantwoordelijke rechten moet garanderen, moet hij deze identificeren/ herleiden
•
Reikwijdte (span of control) – erken gepseudonimiseerd gebruik van data
2) Gebruik (big) data voor marketing Opt-in of opt-out?
Albrecht| opt-in Europees Parlement wil opt-in voor DM/ TM en derdenverstrekking: In exceptional circumstances, the legitimate interests of a controller may provide a legal basis for processing
Het ‘gerechtvaardigd belang’ wordt uitgekleed en geldt alleen nog in een aantal specifieke gevallen • Bij een klantrelatie • B2B • Voor non-profit instellingen (schenkingsovereenkomst)
Verordening| positieve aspecten Alles opt-in is van invloed op beschikbaarheid big data voor nieuwe markttoetreders en MKB.
3) Profileren (doelgroepselecties maken) opt –in?
Verordening| profileren Commissievoorstel Artikel 20 1. Every natural person shall have the right not to be subject to a measure which produces legal effects concerning this natural person or significantly affects this natural person, and which is based solely on automated processing intended to evaluate certain personal aspects relating to this natural person or to analyse or predict in particular the natural person's performance at work, economic situation, location, health, personal preferences, reliability or behaviour. = opt-out
Verordening| profileren Amendementen Europees Parlement
1. Definitie van profileren profiling' means any form of automated processing of personal data intended to evaluate certain personal aspects relating to a natural person or to analyse or predict in particular that natural person’s performance at work, economic situation, location, health, personal preferences, reliability or behaviour;
Hele brede definitie, valt bijna alle dataverzameling onder (NAWT + aankoopgedrag)
Verordening| profileren Europees Parlement 1c. The interests or fundamental rights and freedoms of the data subject as referred to in paragraph 1a override the legitimate interest of the controller, as a rule, if {…} (d) personal data are processed in the context of profiling; = opt-in
Verordening| profileren Prijsdifferentiatie/ loyalty. Trouwe klant krijgt voordeel. Kan dit straks nog, de niet-klant wordt benadeeld? WANBETALERS
Bedrijven controleren de kredietwaardigheid van
iemand die een abonnement wil (creditscore). En wil je iemand in de schuldsanering reclame sturen voor een lening?
Postcodesegmentatie
DDMA| kern Het behoud van opt-out data is dus net zo goed van belang voor online. Anders kan bij
een emailadres niet zomaar andere relevante gegevens als, naam, adres, woonplaats en koophistorie worden opgeslagen en kan niet verrijkt worden met data uit externe bronnen. Op basis van de E-privacy Richtlijn wordt toestemming voor het gebruik van bepaalde kanalen/ technieken (e-mail, OBA etc.) geregeld, maar niet het verwerken en gebruiken van de data die daarachter schuilgaat.
4) Expliciete toestemming?
Verordening| toestemming Europese Commissie - Definitie van toestemming
(8) 'the data subject's consent' means any freely given specific, informed and explicit indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed;
Verordening| toestemming Relatie met de E-Privacy Richtlijn?
In het geval van cookies: - Is collectieve en eenmalige toestemming specifiek? - Is het implied consent model dat een aantal lidstaten nu hanteren ‘explicit’
5) Level playing field?
Verordening| reikwijdte Reikwijdte:
This Regulation applies to the processing of personal data of data subjects residing in the Union by a controller not established in the Union, where the processing activities are related to: (a) the offering of goods or services to such data subjects in the Union; or (b) the monitoring of their behaviour.
Europese besluitvorming
Politici spreken over de heftige lobby, maar er staat ook wat op het spel
Reding: “absolutely fierce – I have not seen such a heavy lobbying operation”
TRILOOG EU Commissie- wetsvoorstel
Inslinken amendendementen
Europees Parlement- amendementen
Raad van Ministers– goed- afkeuren
Verordening| timing
TIMING onzeker • • • •
2 jaar overgangstermijn Triloog na zomerreces (kunnen er 3 maar ook 20 zijn) 2014 nieuw voorzitterschap EU – Griekenland Mei 2014 nieuwe verkiezingen EP, na april volledige focus hierop (Parlement kiest voorzitter Commissie en Eurocommissarissen)
Verordening| Big Trouble?
-
Bij een onderneming die de klant centraal stelt;
-
Hoort privacy op managementniveau belegd te zijn;
-
Bij Big Data hoort een grote verantwoordelijkheid voor de privacy;
-
Wees transparant over gegevensverwerking
Vragen of meepraten?
Jitty van Doodewaerd
[email protected]
