Vanaf 25 mei 2018 treedt de AVG in werking en iedereen die gegevens over EU-ingezetenen verzamelt, opslaat en verwerkt, komt in de schijnwerpers te staan. Ze moeten zich er allemaal aan houden – of ze krijgen straffen.
De gevolgen zijn groot genoeg om de hele adtech-industrie, die sterk afhankelijk is van gebruikersgegevens die nu door gebruikers gebruikt zullen moeten worden, onder druk te zetten. uitdrukkelijk toestemming – in een stille paniek. Dit omvat uitgevers die hun EU-publiek via advertenties geldelijker maken.
Met nog drie maanden te gaan, is het tijd om aan een eigen complianceplan te werken. Om te beginnen, Hier is een leesbare AVG-nalevingschecklist voor uitgevers.
Wat je nodig hebt:
- Wettelijke basis: In principe is een geldig reden om te blijven doen wat u (en uw 'verwerkers') ook doen met de gegevens van EU-ingezetenen. Wettelijke grondslagen omvatten expliciete toestemming, legitiem belang (wat GEEN Get-out-of-jail-free-card is, stop met hopen), contractuele basis, wettelijke verplichting, etc.
Aanbevolen literatuur: Wettelijke basis voor verwerking (Bron: ICO.org UK)
- Verkopers lijst: Elke 'data processor' (ad tech vendors, evenals analytics en tag management platforms) op uw site heeft de expliciete toestemming van de gebruiker nodig om hun data te blijven gebruiken. De 'data controller' (uitgever) moet deze toestemming verkrijgen. Als u niet weet wie data verzamelt via uw pagina's, gebruik dan een tool als Evidon Trackermap.
- Privacyverklaringen: Of toestemmingsverklaring, als dat uw wettelijke basis is. Dit is waar u zich committeert aan het transparantiebeginsel van de AVG door bezoekers duidelijk te vertellen wat ze precies opgeven (gegevens), waarom (uw wettelijke basis), met wie (alle verwerkers waarmee u deze gegevens deelt), hoe lang deze gegevens bewaard worden, etc.
- Vaardigheden voor het bijhouden van gegevens: Bij naleving van de AVG draait het voor een groot deel om het bijhouden van een register van wat u met de gegevens doet. Zo kunt u aantonen dat u verantwoording aflegt.
- Een team van ontwikkelaars en een advocaat/AVG-adviseur keuren uw plan goed voordat u met de implementatie ervan begint.
Zodra u dit allemaal begrijpt, gaat u verder met de volgende stappen:
1. Beoordelen en documenteren: gegevens-, verwerkings- en deelactiviteiten
Het klinkt grappig, maar het is een van de makkelijkere stappen om compliance te bereiken. En het is niet optioneel. Richard Lam, die werkt aan het GDPR-complianceproject van zijn organisatie, zegt:
GDPR vereist uitgebreide administratie, dus documenteer alles; welke persoonlijke gegevens u verwerkt en de wettelijke basis hiervoor. Documenteer de procesworkflow van de persoonlijke gegevens - waar deze worden opgeslagen, wie er controle over heeft, met wie deze worden gedeeld, etc. Formaliseer vervolgens een proces voor het geval u een verzoek ontvangt om "recht om te worden gewist".
– Richard Lam, hoofd van Programmatic en Ad Ops, Network-N
Het doel van deze records is om te laten zien dat u verantwoordelijk bent voor gegevens binnen uw organisatie. Dat gezegd hebbende, heeft dit ook het extra voordeel dat het u helpt te identificeren wat er moet worden gedaan en waar om GDPR-compatibel te zijn vóór de deadline.
2. Werk uw privacyverklaring bij
De eerste regel van de AVG is om met bezoekers te praten over uw gewoonten op het gebied van het verzamelen en verwerken van gegevens. eerlijk.
Om ervoor te zorgen dat de verwerking eerlijk verloopt, moet de verwerkingsverantwoordelijke (de organisatie die verantwoordelijk is voor de verwerking van de gegevens) bepaalde informatie beschikbaar stellen aan de betrokkenen (de personen op wie de gegevens betrekking hebben), zodat zij hun gegevens kunnen blijven gebruiken.
– ICO.org VK
Dit geldt ongeacht of u de gegevens rechtstreeks van de betrokkene (uw bezoeker) verkrijgt of via tweede- of derdepartijregelingen. Zolang de gegevens die u hebt van een EU-ingezetene afkomstig zijn, MOET u aan hen het volgende bekendmaken:
- wie de gegevensbeheerder is; voor de volledigheid, dit is de uitgever,
- waarom hun gegevens verwerkt moeten worden;
- wie het zal verwerken (met wie het zal worden gedeeld),
- Alle andere informatie die moet worden bekendgemaakt in het kader van transparantie, zoals het effect van de verwerking (“online tracking”), hoe de gegevensverzameling zal werken (“cookies op uw apparaat”), enz.
Aanbevolen literatuur: Goede en slechte voorbeelden van privacyverklaringen (Bron: ICO.org UK)
Uitgevers zullen merken dat ze, om een groot deel van hun advertentiesysteem te laten functioneren zoals het nu doet, toestemming als hun wettelijke basis. Het goede nieuws is dat deze basis ook de naleving van een bijgewerkte ePrivacy-richtlijn zal omvatten, die op dezelfde dag als de AVG van kracht moet worden (hoewel de kans daarop klein lijkt).
Om geldig te zijn MOET toestemming de volgende bijvoeglijke naamwoorden bevatten: vrijelijk gegeven, specifiek, geïnformeerd, gedetailleerd, opt-in en ondubbelzinnig. In een verwante noot, stilte, vooraf aangevinkte vakjes of inactiviteit tellen NIET als toestemming.
Perimeter (een leverancier van toestemming) heeft een handig framework gepubliceerd voor een AVG-conforme toestemmingskennisgeving:
Dan moet je ervoor zorgen dat, als je eenmaal toestemming hebt gegeven, je die ook makkelijk weer kunt intrekken. Volgens Richard Lam:
Je overweegt een double opt in-methode te implementeren. Ik geloof dat uitgevers van elke omvang met een actief ontwikkelteam/mensen/persoon in staat moeten zijn om iets te creëren dat in-house functioneert. Dat is waar we zelf aan werken, en ik weet dat een paar grote uitgevers zoals The Guardian en News UK hetzelfde doen. Als je niet de ontwikkelaars hebt, kun je altijd een consent vendor gebruiken.
Als u de sites niet bezit en beheert, maar wel reclamerechten hebt, moet u uw toestemmingskennisgeving implementeren in het hele netwerk, inclusief sites die u niet bezit/beheert, maar wel exclusieve reclamerechten hebt. Zorg ervoor dat een gedetailleerde opt-out op één site wordt onthouden op alle websites binnen dat netwerk.
Houd er rekening mee dat u de toestemming van een ouder of voogd nodig hebt te verifiëren toestemming om gegevens te verzamelen en te verwerken van kinderen jonger dan 16 jaar (kan in het VK worden verlaagd tot minimaal 13 jaar). Transparantie geldt ook voor kinderen, dus uw privacyverklaring moet worden geschreven in taal die kinderen begrijpen.
3. Bepaal wat u gaat doen wanneer uw gebruikers hun AVG-rechten uitoefenen
Hoe zou u reageren als iemand vraagt om zijn persoonlijke gegevens volledig te verwijderen of er toegang toe te krijgen? Kunnen uw systemen u helpen de gegevens van één gebruiker binnen dertig dagen te lokaliseren en te verwijderen?
Aanbevolen lezing: Individuele rechten en subsecties (Bron: ICO.org UK)
Richard Lam deelt het proces dat zijn team heeft opgezet,
Dat was het makkelijkste onderdeel om af te vinken op onze checklist, omdat het overeenkomt met de richtlijnen voor verzoeken om inzage in persoonsgegevens (Subject Access Request, SAR) die momenteel gelden onder de Wet bescherming persoonsgegevens.
We zijn van plan om een contactformulier op onze bedrijfswebsite te plaatsen waarmee gebruikers contact kunnen opnemen. Het verzoek gaat naar een centrale persoon hier die verantwoordelijk is voor SAR- en dataverwijderingsverzoeken. We sturen de gebruiker vervolgens een formulier om in te vullen, ze verstrekken vervolgens een identiteitsbewijs samen met het ingevulde en ondertekende formulier, en we verwerken het.
Omdat de toestemming ‘eenvoudig moet kunnen worden ingetrokken’, zal dit contactformulier ook worden gekoppeld aan alle privacybeleidsregels op onze eigen en beheerde websites.
Houd er rekening mee dat wanneer de gebruiker om een verzoek vraagt, toegang Als u uw gegevens wilt bewaren, moet u de persoonsgegevens in een "algemeen gebruikte en machinaal leesbare vorm" verstrekken, zonder kosten (tenzij het verzoek zich herhaalt) en binnen dertig dagen.
4. Voorkom en meld datalekken
Dit is waar de meeste mensen in de toeleveringsketen hun hoofd over breken. In een systeem dat zo labyrintisch is als programmatisch – waar gegevens worden verzameld en doorgegeven met weinig aandacht voor frivole zorgen zoals oorsprong of individueel rechten – hoe voorkom je datalekken?
De complexiteit van Lumascape zal niet onder de AVG vallen. Shubham Grover, Product Specialist bij AdPushup, schetst wat uitgevers redelijkerwijs kunnen doen om datalekken te voorkomen en zichzelf ertegen te beschermen:
- Sta nooit toe dat een SSP partners toevoegt (voor de aanvulling van de vraag) zonder uw toestemming.
- Maak contact met al uw technologieleveranciers en partners en communiceer uw gegevensbeleid, d.w.z. de verwachtingen ten aanzien van gegevensverwerking, wat wel en niet is toegestaan, etc.
- Bekijk alle huidige datadelingsregelingen en partnerschappen. Herzie contracten met partners in het licht van de AVG.
- Verwijder alle persoonlijke gegevens (zoals gedefinieerd in de AVG) voordat u deze verwerkt of deelt met andere entiteiten (zoals Google Analytics of Mixpanel).
- Vermeld in uw privacyverklaring alle leveranciers die momenteel gegevens via u verzamelen en verwerken.
Blijf uw digitale eigendommen in de gaten houden om er zeker van te zijn dat er geen ongeautoriseerde entiteiten stiekem meeluisteren naar de gegevens van uw gebruikers. Weet dat "het niet melden van een inbreuk wanneer dit vereist is, kan resulteren in een boete, evenals een boete voor de inbreuk zelf."
Op grotere schaal is het misschien niet waterdicht, maar het laat wel zien hoe toegewijd u bent aan het beschermen van de privacyrechten van uw bezoekers.
5. Privacybeoordelingen en personeel
Je bent bijna klaar.
Onder de AVG is "privacy by design" een uitdrukkelijke wettelijke vereiste voor degenen die omgaan met gebruikersgegevens. Dat betekent dat PIA's of 'Data Protection Impact Assessments' (DPIA's) verplicht zijn in situaties
- waar een nieuwe technologie/platform wordt geïmplementeerd;
- wanneer een profileringsoperatie waarschijnlijk een aanzienlijke impact op personen zal hebben; of
- waar sprake is van verwerking van bijzondere categorieën gegevens (op grote schaal)
Aanbevolen literatuur: PIA's uitvoeren: gedragscode (PDF-link)
Als uit uw beoordeling blijkt dat de gegevensverwerking een ‘hoog risico voor personen’ inhoudt en dat u die risico’s niet kunt aanpakken, dient u contact op te nemen met de toezichthoudende autoriteit voor de AVG in uw lidstaat voor advies over verdere maatregelen.
Ik herhaal dat het uitvoeren van DPIA's in de hierboven genoemde situaties is een wettelijke vereiste. Dit is een goed moment om er een organisatorische gewoonte van te maken. Overweeg om iemand aan te stellen die verantwoordelijk is voor uw naleving van gegevensbescherming en risicobeoordeling.
En dat is het.
Wat gebeurt er als de AVG van kracht wordt? Speculeren heeft weinig zin. Vergeet niet dat privacy en tracking de belangrijkste aandachtspunten waren voor de vroege adoptie van adblock en tot op de dag van vandaag een van de belangrijkste motivaties zijn. Het is redelijk om aan te nemen dat veel bezoekers uit de EU niet twee keer zullen knipperen voordat ze zich afmelden voor alle tracking/cookies zodra ze de keuze hebben.
Uitgevers die jarenlang EU-gebaseerde doelgroepsegmenten hebben, hebben gelijk als ze in paniek raken, want zonder toestemming zijn hun gegevens niet meer bruikbaar. "Als ik het was, zou ik serieus overwegen om deze gegevens te verkopen", zegt Shubham. "DSP's zullen het hard nodig hebben (in gehashte vorm) om contextuele targetingsegmenten te creëren die bereid zijn om meer geld te betalen dan normaal (doelgroepuitbreidingsgegevens)."
Nu contextuele targeting in opkomst is, zullen niche-uitgevers merken dat ze minder snel opbrengst verliezen. Richard Lam, die programmatische en advertentie-activiteiten beheert voor een verticaal gamingnetwerk in het Verenigd Koninkrijk, zegt: "Ik kan me voorstellen dat nieuwsuitgevers in paniek raken, vooral als ze zwaar hebben geïnvesteerd in doelgroeptargeting, DMP en datawetenschappers. Ze hadden honderden verschillende doelgroepen om te targeten. Dus ja, ik denk dat ik het zeker zou verprutsen als ik in die schoenen stond."
Maar niet alle hoop is verloren. “Elke wolk heeft een zilveren randje. Er zullen gebruikers zijn die wel cookies accepteren. Daarmee worden first-party data goud voor uitgevers,” zegt hij.
Bron:
ICO.org.uk Voorbereiding op de AVG: 12-stappenhandleiding (PDF-link)
Hier zijn enkele aanbevolen literatuur om meer over het onderwerp te begrijpen:
- Een AVG-checklist voor degenen die de AVG-checklists beu zijn
- Hoe advertentietechnologie eruit ziet in de nasleep van de AVG
- AVG-toestemmingsreeks: alles wat een uitgever moet weten
Shubham is een digitale marketeer met rijke ervaring in de advertentietechnologie-industrie. Hij heeft ruime ervaring in de programmatische industrie, waar hij de bedrijfsstrategie en schaalfuncties aanstuurt, inclusief maar niet beperkt tot groei en marketing, operations, procesoptimalisatie en verkoop.
