De General Data Protection Regulation (GDPR), de Engelse benaming voor de Algemene Verordening Gegevensbescherming (AVG), treedt op 25 mei 2018 in werking. Hoewel de ePrivacy regelgeving op hetzelfde moment in werking moest treden, zal de huidige formulering ervan waarschijnlijk nog gaan veranderen en wordt daarom verwacht dat deze niet op dezelfde datum klaar is om in werking te treden.
Wat is de GDPR?
De General Data Protection Regulation (GDPR) treedt in werking op 25 mei 2018. Deze nieuwe regelgeving - die een keer per generatie voorkomt - betekent een ingrijpende wijziging in de manier waarop persoonsgegevens in de EU worden gereguleerd. Het zal een huidig juridisch kader vervangen dat niet bedacht was op de snelle toename van het gebruik van persoonsgegevens door bedrijven. Iets dat in de afgelopen 20 jaar gemeengoed is geworden.
Hoe beïnvloedt de GDPR de affiliate marketingindustrie?
De toegenomen reikwijdte van de GDPR en de toepassing ervan op soorten persoonsgegevens die, afhankelijk van de context, momenteel misschien niet gereguleerd zijn, is van bijzonder belang voor onze industrie aangezien deze gegevens nu onderhevig zullen zijn aan regelgeving. Dit kunnen apparaat-ID's, een ID van een Cashback-lid, klantreferentienummers en andere technische identificatiegegevens zijn. Bovendien stelt GDPR strengere eisen aan het verkrijgen van toestemming van de gebruiker voor de verwerking van persoonsgegevens.
We verwachten niet zozeer een aanzienlijke impact op affiliate marketing, maar we verwachten wel dat in sommige gevallen behavioural advertising (het verzamelen van informatie over online gedrag, bijv. door middel van cookies, om zo advertenties specifiek aan bepaalde individuen te kunnen tonen) en andere performance based marketing, dat sterk afhankelijk is van gebruikersprofielen voor het verzenden van gerichte reclameadvertenties, mogelijk onderworpen zullen zijn aan grotere wettelijke verplichtingen.
Moet Awin toestemming voor tracking vragen?
De GDPR behoudt de mogelijkheid om op een wettige manier persoonsgegevens te verwerken zonder toestemming van de gebruiker, uiteraard onder voorbehoud van implementatie van adequate privacybescherming. Awin heeft een afwegingstest uitgevoerd tijdens zijn privacy-impact assessment en is tot de conclusie gekomen dat de verwerking van persoonsgegevens legitiem gerechtvaardigd kan worden voor zijn basis trackingtechnologie. Hoewel dit de aanpak is die Awin neemt voor de GDPR, zal de ePrivacy verordening misschien strengere eisen gaan stellen voor het verzamelen van toestemming. Awin zal de voorwaarden blijven monitoren zolang de totstandbrenging van de verordening aan de gang is en zal ervoor zorgen dat zijn activiteiten conform blijven.
Wat moet ik doen om ervoor te zorgen dat mijn bedrijf klaar is voor de GDPR?
Alle bedrijven dienen hun gebruik van persoonsgegevens onder de loep te nemen in de context van de GDPR. In sommige gevallen, vooral wanneer een bedrijf van grote hoeveelheden persoonsgegevens gebruik maakt, is een beduidend grondigere toetsing nodig. Dit is een proces dat zorgvuldig moet worden nagegaan, aangezien de nieuwe wet wordt toegepast op elk aspect van persoonsgegevensverwerking binnen bedrijven. De IAB UK biedt nuttige en praktische informatie over het controleren van uw bedrijf en waarmee rekening gehouden moet worden in de GDPR-controlelijst.
Hoe bereiden Awin en affilinet zich voor op de komst van de GDPR?
Awin neemt gedetailleerd juridisch advies in de arm over hoe het best kan worden voldoen aan de GDPR met minimale verstoring van de bestaande activiteiten. Dit is inclusief een diepgaand assessment met betrekking tot de impact die het zal hebben op individuele privacy binnen elk aspect van het bedrijf, inclusief het Awin en affilinet platform.
Omdat er rekening is gehouden met de impact op individuele rechten, is Awin ervan overtuigd dat het op wettige wijze persoonsgegevens voor zijn trackingdiensten kan verwerken, omdat deze wijze van informatieverwerking voor Awin noodzakelijk is om zijn rechtmatige belangen na te streven. Dit betekent dat Awin niet afhankelijk is van individuele toestemming als wettelijke basis voor het verwerken van persoonsgegevens als onderdeel van trackingdiensten onder de GDPR.
Awin implementeert bovendien verschillende veiligheids- en nalevingsmaatregelen, zoals vereist om individuele rechten en vrijheden te beschermen en vastgesteld in de GDPR. Dit houdt onder andere in het zoveel mogelijk beperken van persoonsgegevensverwerking waar mogelijk, mededelingen publiceren om toe te lichten hoe gegevens verwerkt worden en het aanwijzen van specialisten als Data Protection Officers op zowel groep- als nationaal niveau.
In het verleden waren wetten voor gegevensbescherming vergezeld van gedetailleerde regelgevingsrichtlijnen die in meerdere jaren waren uitgegeven. De GDPR is een nieuwe reeks verordeningen waar nog richtlijnen in meerdere belangrijke aspecten voor zullen verschijnen. Omdat deze richtlijnen nog ontbreken, is onze assessment in enkele gevallen beperkt tot de formulering van de GDPR zelf. Naarmate er meer richtlijnen worden uitgebracht, zullen we waarschijnlijk onze positie dienen te herzien of aanvullende maatregelen moeten nemen om naleving te waarborgen. Alle maatregelen die van invloed kunnen zijn op onze partners zullen duidelijk en tijdig worden gecommuniceerd.
Wat zijn de volgende stappen?
We streven ernaar om onze assessment ruim voordat de GDPR van kracht zal zijn af te ronden, zodat niet alleen wij, maar vooral ook onze partners voldoende tijd en mogelijkheid hebben om eventuele wijzigingen door te voeren die nodig zijn om te voldoen aan de GDPR.
Terwijl we onze trackingtechnieken toetsen aan de GDPR-voorwaarden, bereiden we tevens een diepgaand assessment voor, waarin zal worden vastgesteld in hoeverre Awin optreedt als een datacontroller of -processor in de relatie met adverteerders en publishers. In de komende weken zullen we Awins stand van zaken delen en hoe dit onze toekomstige contractuele data privacy voorwaarden zal beïnvloeden.
In aanloop naar 25 mei zullen we doorgaan met het delen van praktische richtlijnen voor onze partners via onze speciale portal awin.com/GDPR om ervoor te zorgen dat ze ‘GDPR-ready’ zijn.
Mocht u in de tussentijd nog vragen hebben met betrekking tot de GDPR, dan kunt u hier met ons contact opnemen.
Handige bronnen: