GDPR - Nog 10 weken te gaan
Geschreven door Laurens Aalbers op 5 Minute read
Met minder dan 3 maanden te gaan voordat de GDPR van kracht wordt, komt de aanpak van de affiliate industrie langzaam in beeld.
Bij Awin hebben we de afgelopen negen maanden de bouwstenen van onze aanpak vastgesteld en hebben we recent onze paraatheid verder ingericht in afwachting van een van de grootste wetswijzigingen inzake dataprivacy in een generatie. Het principe van verantwoording betekent het uitvoeren van een verantwoordelijk beleid en verantwoordelijke aanpak van gegevensverwerking in alle aspecten van een bedrijf. Daarom vereist de GDPR dat we rekening houden met meerdere werkdomeinen in het bedrijf, van training tot technologie.
Met dit in ons achterhoofd, dachten we dat een korte update van de netwerkontwikkelingen in de gebieden die we reeds hebben aangepakt, zou helpen om onze partners extra duidelijkheid te geven te midden van de complexiteit van de GDPR.
1. Beoordeling
Een interne stakeholdergroep creëren
Met de verscheidenheid aan functies die het bedrijf uitvoert, weten we dat stakeholders uit de hele groep het belang van de GDPR moeten erkennen. Dit komt tot uiting in een stakeholdergroep die de diversiteit van de teams in de hele onderneming weerspiegelt. Vergaderingen worden om de twee weken gehouden. Bovendien heeft elke markt een Data Protection Officer (DPO) aangewezen die op lokaal niveau verantwoordelijk is voor de naleving van deze wet. De DPO staat klaar om vragen van klanten te beantwoorden en trainingsinitiatieven te ondersteunen.
Privacy Impact Assessment (PIA)
De voorbereidingen voor de GDPR beïnvloeden ondernemingen op verschillende manieren. Als onderdeel van het beoordelingsproces is het belangrijk om stakeholders uit het hele bedrijf te identificeren, waaronder marketing, technologie, sales en engineering. Het verzamelen van informatie over hoe een bedrijf gegevens uit verschillende services en functies gebruikt, moet inherent onderdeel zijn van de ‘due diligence’ (zorgvuldigheidseisen) van de GDPR.
Daarom hebben we een uitgebreide PIA gemaakt die kijkt naar alle aspecten van onze tracking, van basis cookies tot cross-device. We houden ook rekening met de impact van onze plugin-technologie, transactie query’s die worden gegenereerd door cashback-sites en de details van onze leadgeneratie tak. Bij het beoordelen van al deze aspecten houden we rekening met het wat, het waarom en het hoe van ieder onderdeel, evenals de tijdsduur dat we gegevens opslaan.
Een uittreksel van onze PIA zal te zijner tijd beschikbaar zijn voor al onze partners.
Rechtsgrondslag en afwegingstest
Het kiezen van een wettelijke basis voor het gebruik van gegevens vormt de kern van de GDPR. We hebben eerder al verklaard dat het bedrijf legitiem belang als wettelijke basis gaat kiezen voor het verzamelen van gegevens. Na de uitvoering van een afwegingstest tijdens het evalueren van onze technologie, hebben we geconcludeerd dat onze basic tracking technologieën volgens deze definitie kan worden verantwoord.
Bijkomende overwegingen
Bij het evalueren van onze trackingtechnologieën moeten ook de bepalingen van de nationale wetten ter uitvoering van de e-privacyrichtlijn in overweging worden genomen. Terwijl de GDPR van verschillende rechtsgrondslagen is voorzien - toestemming is daar een van - waaronder gegevensverwerking kan worden uitgevoerd, biedt ePrivacy een strengere standaard met betrekking tot cookies en andere trackingmethodes die van invloed zijn op het apparaat van de eindgebruiker. Wanneer die samen in combinatie met de GDPR in acht wordt genomen, betekent dit dat in bepaalde rechtsgebieden vanaf mei 2018 een GDPR-compatibele opt-in vereist zal zijn van de eindgebruiker.
2. Documentatie
Intern beleid maken
Na alles wat er in de PIA stond te hebben geëvalueerd, hebben we onze gegevens van verwerking en intern beleid vernieuwd in overeenstemming met de resultaten van de evaluatie en met de vereisten van de GDPR. Organisaties zullen verplicht zijn om meer processen te implementeren dan voorheen over zaken als meldingen van datalekken, verzoeken om toegang tot gegevens te krijgen enzovoort.
Verduidelijking van onze positie bij klanten
De relatie van Awin met publishers, adverteerders, bureaus en andere derden betekent dat voor veel van hen verduidelijking nodig is naargelang de positie van het bedrijf met betrekking tot gegevensverwerkingsovereenkomsten. We hebben te maken gehad met vragen van klanten en een reeks gestandaardiseerde antwoorden en FAQ’s verzameld. Dit archief blijft groeien en zullen we op zijn beurt posten, aangezien we een toename in de belangstelling van onze positie verwachten. Dit zal ook een evaluatie van tools van derden omvatten alsook een bevestiging of de noodzakelijke voorzorgsmaatregelen voor de verwerkingsactiviteiten ingevoerd zijn.
3. Transparantie en bewustmaking
Privacy beleid
Het laatste gebied waar we mee te maken hebben, is het communiceren met onze zakelijke partners, hen op de hoogte houden van de veranderingen die we aanbrengen. Een onderdeel hiervan is een update die binnenkort beschikbaar komt over onze eerlijke verwerkingskennisgeving die aantoont waarom en hoe we met gegevens omgaan.
Algemene communicatie
Naast alle logistieke en juridische uitdagingen die moeten worden aangepakt, zijn communicatie en educatie de sleutel tot de GDPR. De bewustmaking vergroten en het houden van een doorlopende discussie over de GDPR samen met updates als en wanneer ze zich voordoen, is iets waar we ons als bedrijf mee bezig houden. Daarom hebben we een speciale GDPR-portaalsite gelanceerd die zoveel mogelijk informatie bevat die jij als partner nodig hebt.
Bewustzijn van medewerkers
Naast externe communicatie, heeft de GDPR een vereiste om ervoor te zorgen dat werknemers zowel op de hoogte alsook getraind zijn in de verschillende onderdelen van de GDPR. Dit helpt weer om ervoor te zorgen dat bedrijven een privacy-by-design methode toepassen bij het ontwikkelen van hulpmiddelen & technologie en de werknemers bovendien ondersteunt bij het uitvoeren van hun dagelijkse functies. Daarom is de stakeholdergroep bezig met het bouwen van een verplicht trainingsprogramma voor Awins werknemers.
4. Volgende stappen
Zoals we hierboven hebben aangeduid, zijn er nog steeds verschillende lopende projecten waar we intern aan werken om ervoor te zorgen dat ons bedrijf in mei 2018 voldoet aan de GDPR. Vanwege dit aanhoudende werk hebben onze partners binnenkort toegang tot:
- Een uittreksel van onze PIA
- Begeleidingsmateriaal voor onze publishers waarin de wijzigingen in onze bestaande contractvoorwaarden worden beschreven, inclusief een template voor gegevensverwerking die door Awin wordt verstrekt
- Een toestemmingsoplossing die kan worden toegepast door onze publishers. Awin wil ervoor zorgen dat het onze partners de meest relevante en flexibele technologie biedt. Affilinet heeft al eerder een toestemmingstool gelanceerd en Awin heeft eveneens een plug-in voor de ePrivacyrichtlijn ontwikkeld. Deze worden geëvalueerd om ervoor te zorgen dat ze de beste oplossing bieden in vergelijking met andere toestemmingstools die ontwikkeld worden.
- Een gedetailleerde FAQ over onze gegevensverwerkingsactiviteiten om ervoor te zorgen dat onze klanten een goed inzicht hebben in wat Awin doet met de gegevens die het bezit
- Awins bijgewerkte GDPR-compliant privacybeleid dat adverteerders en publishers vrij kunnen citeren in hun eigen beleid
De resultaten zullen hier op onze GDPR-portal worden gepubliceerd.