Slimme of illegale marketing?

Fragment uit het boek van Bruno DUMAY: GDPR DECRYPTION – Voor managers, strategische afdelingen en medewerkers van bedrijven en organisaties – Voorwoord door Gaëlle MONTEILLER

Laten we duidelijk zijn: de afgelopen vijftien jaar is goede marketing grotendeels gebaseerd geweest op het intelligente gebruik van persoonsgegevens. Steek je hand op als je nog nooit productinformatie hebt doorgegeven aan een specifieke persoon zonder te vragen. Kom op? Geen hand opgestoken, dacht ik. Laten we de eerste steen gooien als je nog nooit een naam, telefoonnummer of e-mailadres hebt bewaard zonder de persoon in kwestie te informeren. Oké, geen stenen. Laten we de eerste steen gooien als je... Ik denk dat je het idee wel begrijpt.

Natuurlijk zijn sommigen veel verder gegaan door profielen aan te trekken, te herstellen, vervolgens te manipuleren of over te dragen. Interessant omdat ze consumenten zijn, van onschuldige mensen die de zwakte hadden om een site te openen, een link te volgen, zich te uiten door zich te registreren, lid te worden, een reactie te plaatsen... En wie, dat spreekt voor zich, heeft zich gehaast om de algemene verkoopvoorwaarden te accepteren en te lezen? U vindt het niet. De verantwoordelijkheid is dus gedeeld.

De laatste tijd, en dat moet worden toegegeven, zijn de valkuilen toegenomen. Consumentisme, netwerkverslaving, de behoefte aan erkenning – "Ik besta, ik klik!" – hebben zeker niet voor niets geleid tot de oprichting van gigantische databases, waarbij honderden miljoenen mensen zich zonder aarzeling overgeven aan iedereen die hen wil lastigvallen.

Dus waarom zouden we onszelf iets ontzeggen? Het was prachtig, de nieuwe economie, horizontaliteit, Uberisatie, kunstmatige intelligentie. Data, wat een hobby! En we gingen er allemaal voor, tot het uiterste! De crisis? Mijn oog. Niet voor iedereen, en niet voor alles. Nooit hebben kleine mensen zoveel geproduceerd, verkocht en gekocht. Om niet ten onder te gaan, verkopen we. Zelfs als dat betekent dat we instorten. Elke naam, en elk stukje informatie dat bij die naam hoorde, was het waard om te bewaren, te testen en te profileren. Iedereen heeft ooit iets nodig. Je hoeft het alleen maar te creëren, deze behoefte, sorry dat ik hem moet onthullen. Voldoen aan die behoefte? Ja, maar niet te veel in ieder geval. Zodat de machine blijft draaien.

We wisten het. We accepteerden het. Ja, maar zo is het. We zijn te ver gegaan. Zijn we volwassen? Nee, volwassenen bestaan niet. Alleen kinderen worden groot. Dus, net als kinderen, wilden we altijd meer en we gingen te ver. Of we gingen bijna te ver. Voordat het te laat was, kwamen de autoriteiten in actie. De CNIL had ons niet laten gaan, maar, welwillend en beperkt tot haar eigen territorium, werd ze overweldigd. Dus greep Europa in. Meerdere keren. Eerst in 1995, en vervolgens in 2016, met ingang van vandaag.

Wat is dit effect? Illegaliteit. Wat ooit slimme marketing was, is nu illegale marketing. Als u voortaan uw klant- of gebruikersbestanden gebruikt zoals voorheen, handelt u illegaal. En ja. Maar?… Nee. Hoe?… Omdat.

Het gaat erom te begrijpen wat persoonsgegevens zijn en hoe ermee omgegaan moet worden. De inzet is hoog, de risico's groot. Boetes van miljoenen euro's, persoonlijke aansprakelijkheid, justitie, de rechtbank, doen die een belletje rinkelen? We maken geen grapjes meer. Mark, Larry, Serguei, Jeff, horen jullie me? Lachen jullie ook niet. Ook al zijn digitale giganten de belangrijkste doelwitten van de AVG, alle organisaties worden erdoor getroffen, ongeacht hun omvang. Grote bedrijven, startups, loodgieters, het gemeentehuis van Triffouillis en dergelijke verenigingen: je kunt je bestanden niet meer gebruiken zoals je wilt.

Natuurlijk waren er al regels en sancties. Echt waar? Ja. Dus, in januari 2018, vóór de inwerkingtreding van de regelgeving, werd Darty door de CNIL bestraft omdat het de gegevens van zijn klanten niet voldoende had beveiligd. Het betwiste gebruik was feitelijk afkomstig van een onderaannemer, maar het was het bedrijf dat de boete kreeg. Een boete van € 100.000. Het is dus niet niks, maar het is een kleinigheid vergeleken met wat er nu met jou kan gebeuren als je zelf ook niet waakzaam genoeg bent.

We dromen. Nee, helemaal niet. De Europese wetgeving bepaalt dat gegevens eigendom zijn van burgers en dat geen enkele organisatie ze naar eigen goeddunken mag gebruiken. Ah... Bedrijven moeten duidelijk en nauwkeurig aangeven hoe ze persoonsgegevens verzamelen, verwerken en opslaan. Het is een kwestie van loyaliteit, transparantie, specifieke, legitieme, adequate en beperkte doeleinden... Huh? Deze woorden zouden ons vroeger aan het lachen hebben gemaakt. Maar de tijden zijn veranderd. De Europese autoriteiten reageren, en we begrijpen waarom.

U moet een impactbeoordeling uitvoeren voordat u uw gegevens verwerkt, u moet zich houden aan een gedragscode die de praktijken in uw sector regelt en een functionaris voor gegevensbescherming aanstellen die eventuele incidenten meldt bij de toezichthoudende autoriteit, de CNIL in Frankrijk. Er zijn verschillende sancties voorzien voor het niet naleven van deze regelgeving, variërend van een waarschuwing tot een boete van € 20 miljoen of € 4 miljard van de wereldwijde omzet van het bedrijf. Eh... O jee.

Het is zwaar. Zelfs bruut. Maar het is voor ons eigen bestwil. Toch... Oké, oké. Het klopt dat er iets moest gebeuren. Dat wij, bedrijven, ons, individuen, de neiging hadden te ontdoen van wat we hadden. De eersten nemen van de laatstgenoemden een naam af, dan een adres, dan een smaak, dan een gewoonte, dan een profiel, en dan, zonder dat we het beseffen, nemen ze hun vrije wil af. Vrijheid. De meeste bedrijven hebben geen kwaad in de zin. Gewoon marketing. Maar uiteindelijk... Genoeg is genoeg.

Met Web 2.0 beseften we dat data rijkdom biedt, wat leidde tot de almachtige aard van big data vandaag de dag. Deze kracht is zo groot dat sommigen zich afvragen of het idee van een grens tussen het publieke en het privéleven nog wel betekenis heeft. Is het niet te laat? vragen anderen zich af. De initiatiefnemers van de AVG denken van niet, of zeggen dat tenminste niet. Volgens hen kunnen en moeten we ingrijpen zodat we niet onteigend of gevampiriseerd worden door datacenters en hun eigenaren.

Deze kentering is nog niet voorbij. Uit een onderzoek van Pégasystems, uitgevoerd onder 7.000 consumenten in het voorjaar van 2017 in zeven landen van de Europese Unie, blijkt dat 82% van de burgers heeft besloten hun rechten onder de AVG te doen gelden. De Fransen lijken, samen met de Spanjaarden en de Italianen, het meest gevoelig te zijn voor hun persoonsgegevens. Zo wil 96% van de Franse respondenten weten welke informatie over hen door bedrijven wordt bewaard. Gezien de groeiende bezorgdheid onder burgers over de erkenning van hun rechten, moeten deze cijfers niet lichtvaardig worden opgevat.

Vertrouwen opbouwen, bescherming en vrij verkeer combineren

De AVG is dan ook geen tekst die na de inwerkingtreding snel vergeten kan worden. Ze is bedoeld om een einde te maken aan de diefstal van vertrouwelijke informatie en aan de inbreuk op de persoonlijke levenssfeer. De bescherming van personen is dan ook het hoofddoel van de AVG.

Vanaf het begin van de overwegingen (niet minder dan 173) wordt de toon gezet: "De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens is een fundamenteel recht" (1^haar (overwegende). En zelfs "De verwerking van persoonsgegevens moet ontworpen zijn om de mensheid te dienen" (4^en overwegende).

Als de behoefte aan bescherming wordt gevoeld, komt dat doordat de leden van het Europees Parlement en de Raad, vertegenwoordigers van de EU-burgers, van mening waren dat bedrijven, en in sommige gevallen misschien ook overheden, te ver waren gegaan in de exploitatie van persoonsgegevens. De AVG maakt immers deel uit van een sociaaleconomische evolutie, zoals vermeld in de 6^en overwegende: "Snelle technologische ontwikkelingen en globalisering hebben nieuwe uitdagingen gecreëerd voor de bescherming van persoonsgegevens. De omvang van het verzamelen en delen van persoonsgegevens is aanzienlijk toegenomen. Technologieën stellen zowel particuliere bedrijven als overheidsinstanties in staat om persoonsgegevens te gebruiken in hun zakelijke activiteiten zoals nooit tevoren. Individuen maken informatie over zichzelf steeds vaker openbaar en wereldwijd toegankelijk. Technologieën hebben zowel de economische als de sociale verhoudingen veranderd en zouden het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte ervan naar derde landen en internationale organisaties verder moeten vergemakkelijken, waarbij een hoog niveau van bescherming van persoonsgegevens wordt gewaarborgd."

Het is duidelijk dat de EU niet de ene partij meer de schuld geeft dan de andere, maar dat ze de gedeelde verantwoordelijkheid van bedrijven, overheden, technologie en burgers zelf benadrukt.

Ook Europa ontkomt hier niet aan, aangezien de 9e^en overwegende dat er staat: "Hoewel Richtlijn 95/46/EG (de eerste Europese referentietekst over dit onderwerp) nog steeds bevredigend is wat betreft de doelstellingen en beginselen, heeft deze richtlijn niet kunnen voorkomen dat er sprake is van fragmentatie bij de tenuitvoerlegging van gegevensbescherming in de Unie, rechtsonzekerheid of het wijdverbreide publieke gevoel dat er nog steeds aanzienlijke risico's bestaan voor de bescherming van personen, met name in de onlineomgeving."

Het belangrijkste geconstateerde probleem is het verschil in beschermingsniveau tussen landen. Eenheid, voor alle bedrijven in de EU, en zelfs voor hun onderaannemers buiten de EU, lijkt daarom een conditio sine qua non voor een effectief beleid op dit gebied. "Om een consistent en hoog beschermingsniveau voor natuurlijke personen te waarborgen en belemmeringen voor het verkeer van persoonsgegevens binnen de Unie weg te nemen, moet het beschermingsniveau van de rechten en vrijheden van natuurlijke personen met betrekking tot de verwerking van die gegevens in alle lidstaten gelijk zijn. Het is daarom passend om te zorgen voor een consistente en uniforme toepassing van de regels voor de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens in de gehele Unie" (10^en overwegende).

De tekst is weliswaar zeer beperkend, zoals we zullen zien, maar beoogt toch een positief economisch doel: "Deze ontwikkelingen vereisen een solide en coherenter kader voor gegevensbescherming in de Unie, vergezeld van een strikte toepassing van de regels, omdat het belangrijk is het vertrouwen te creëren dat de digitale economie in staat zal stellen zich in de hele interne markt te ontwikkelen" (7^en overwegende).

"Vertrouwen." Naar onze mening is dit het belangrijkste woord. Als de AVG tot doel heeft het vertrouwen van burgers in publieke en private belanghebbenden in de interne Europese markt te garanderen, herstellen of "versterken", dan steunen wij die van harte. Het is essentieel dat mensen die online winkelen, een dienst gebruiken, aanbiedingen raadplegen of een mening geven, dit kunnen doen zonder angst dat hun privacy wordt geschonden.

Zonder angst om onteigend of zelfs lastiggevallen te worden, om een modewoord te gebruiken dat sinds eind 2017 van toepassing zou kunnen zijn op digitale technologie. Hoe vaak ontvangen we per dag informatie die we nooit hebben opgevraagd, zogenaamd omdat we ons hebben geabonneerd op iets waarvan we niet eens wisten dat het bestond? Tegenwoordig moeten we ons afmelden, ook al zijn we nooit geabonneerd. Als de AVG correct wordt toegepast, is dit niet langer nodig: het versturen van een nieuwsbrief is nu verboden zonder uitdrukkelijke toestemming van de ontvanger.

Dit nieuwe respect is een goede zaak. Economische uitwisselingen zijn nooit zo vruchtbaar als wanneer de verschillende partijen vertrouwen in elkaar hebben.

Deze vloeiende uitwisselingen worden duidelijk aangemoedigd: "Om een consistent niveau van bescherming van natuurlijke personen in de hele Unie te waarborgen en verschillen te voorkomen die het vrije verkeer van persoonsgegevens binnen de interne markt belemmeren, is een verordening nodig om rechtszekerheid en transparantie te bieden aan economische actoren, met inbegrip van micro-, kleine en middelgrote ondernemingen, om natuurlijke personen in alle lidstaten hetzelfde niveau van afdwingbare rechten en verplichtingen en verantwoordelijkheden voor verwerkingsverantwoordelijken en verwerkers te bieden, en om consistent toezicht op de verwerking van persoonsgegevens en gelijkwaardige sancties in alle lidstaten te garanderen, alsmede doeltreffende samenwerking tussen toezichthoudende autoriteiten van verschillende lidstaten. Voor de goede werking van de interne markt is het noodzakelijk dat het vrije verkeer van persoonsgegevens binnen de Unie niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens" (13)^en overwegende).

Zoals we zien, mag gegevensbescherming geen belemmering, maar juist een troef zijn "voor de goede werking van de interne markt". Artikel 1 van de AVG omvat deze combinatie van beide doelstellingen. Laten we simpelweg de eerste alinea citeren: "Deze verordening stelt regels vast voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en voor het vrije verkeer van die gegevens." Bescherming en vrij verkeer, de twee fundamenten van de Europese Unie, hadden niet explicieter kunnen worden geformuleerd.  

In de volgende overwegingen worden soms woordelijk de komende artikelen aangekondigd, maar meestal staan ze in de conditionnel (voorwaardelijke wijs), om de wens, de bedoeling, aan te geven. De artikelen staan daarentegen in de indicativus (aantonende wijs), wat betekent dat ze juridisch bindend zijn.

Nu de filosofie van de tekst is vastgesteld, gaan we de voornaamste bepalingen ervan bekijken.