Privacy Nieuws
70% van de bedrijven in Groot-Brittannie heeft geen officieel proces of protocol heeft voor het weggooien van verouderde IT-apparatuur. De verwachting is dat de cijfers representatief zijn voor de rest van Europa.
De bedrijven blijken de gegevens van apparatuur en gegevensdragers die zij in de twee maanden na de invoering van de AVG hebben verwijderd, niet te hebben gewist. Dat is volgens de Algemene Verordening Gegevensbescherming (AVG) wel verplicht.
Bovendien geeft 66% van de werknemers toe dat ze niet eens zouden weten wie ze in hun bedrijf moeten benaderen om oude of onbruikbare apparatuur op de juiste manier af te voeren.
Dat blijkt uit een enquête onder 1.002 Britse werknemers met een volledige of deeltijdse baan, uitgevoerd door Probrand.co.uk.
Probrand is een marktplaats voor business IT in het Verenigd Koninkrijk, met IT-producten, managed IT-services en IT-oplossingen.
Vooral transportsector overtreedt de AVG
Vooral transportbedrijven – waarvan er veel zullen beschikken over klant- en klantadressen en contactinformatie over hun systemen – gaan slordig om met IT-apparatuur die verwijderd wordt, blijkt uit het onderzoek.
Bedrijven in de verkoop en marketing (62%) – waarvan velen ook toegang zullen hebben tot openbare gegevens – waren de op één na meest schuldig aan deze situatie.
Top 10 bedrijfstakken die AVG overtreden
De top 10 industrieën die het meest schuldig zijn aan het niet wissen van het geheugen van IT-apparatuur voordat deze wordt verwijderd:
- Vervoer – 72%
- Verkoop en marketing – 62%
- Productie – 59%
- Nutsbedrijven – 58%
- Detailhandel – 57%
- Onderwijs – 54%
- Vrije tijd en reizen – 49%
- Gezondheidszorg en gastvrijheid – 45%
- Handelaren / administratie – 44%
- Voorlichting en communicatie – 39%
Verbazingwekkend dat bedrijven zelfs eenvoudig AVG beleid niet op orde hebben
“Gezien de hoeveelheid publiciteit rond de privacywet is het aantoonbaar onmogelijk dat bedrijven nog steeds niet op de hoogte zijn van de regels. Het is dus verbazingwekkend om te ontdekken hoeveel bedrijven er niet in slagen om een aantal van de eenvoudigste praktijken op het gebied van gegevensbescherming te implementeren en te volgen”, zegt Matt Royle, marketingdirecteur bij Probrand.co.uk.
De boetes in verband met een AVG-overtreding kunnen oplopen tot miljoenen. Daarnaast dreigen reputatieschade, minder klantenvertrouwen en minder loyaliteit voor bedrijven die als gevolg van nalatigheid tegen de lamp lopen vanwege een datalek of een controle door de Autoriteit Persoonsgegevens (AP).
Meer AVG awareness nodig. Bedrijven moeten verwijderingsbeleid ontwikkelen
“Gezien deze bevindingen is het duidelijk dat er meer moet worden gedaan om ervoor te zorgen dat alle bedrijven over een verwijderingsprocedure beschikken om te voorkomen dat er per ongeluk gevoelige gegevens uitlekken”, zegt Matt Royle.
Privacy Nieuws
Het Duitse Bundesgerichtshof (BGH) heeft geoordeeld (VI ZR 225/17) dat klanttevredenheidsonderzoeken per e-mail over het algemeen verboden zijn. De hoogste Duitse rechter verwijst daarbij naar de Europese privacywetgeving.
Wat betekent die Duitse uitspraak voor Nederlandse ondernemers?
De basisgedachte achter de Europese privacyregelgeving is dat in heel Europa in principe dezelfde privacyregels gelden.
Dat impliceert dat jurisprudentie die elders in de EU ontstaat ook impact zou kunnen hebben op uitspraken van Nederlandse rechters en de Autoriteit Persoonsgegevens in soortgelijke zaken.
Voorzitter Aleid Wolfsen van de Autoriteit Persoonsgegevens zegt dat Europese toezichthouders regelmatig bij elkaar komen om nieuwe toelichtingen op de wet uit te werken in zogenaamde guidelines (richtlijnen).
Het zou denkbaar kunnen zijn dat er een Europese richtlijn komt over klanttevredenheidsonderzoek.
Zo lang die er niet is is het interessant om de Duitse jurisprudentie over klanttevredenheidsonderzoek te analyseren. Ook in het kader van de nieuwe veel bekritiseerde Europese e-privacywet die binnenkort naast de AVG nog meer Europese privacyregels toevoegt.
De zaak
Een Duits bedrijf verkocht goederen via Amazon en stuurde via e-mail de factuur naar de koper. In die e-mail schreef het bedrijf:
“Dames en heren, bijgevoegd uw factuur in PDF-formaat. Bedankt voor het kopen van dit artikel van ons. Wij zijn een jong bedrijf en daarom afhankelijk van goede ratings. Als u tevreden bent over onze service, vragen wij u daarom om ons een 5-sterrenscore te geven voor uw aankoop.
Als er iets mis is met het geleverde artikel of onze service, vragen wij u vriendelijk contact met ons op te nemen. Dan kunnen we het probleem oplossen. Voor de beoordeling: log gewoon in via de volgende link en geef een positieve 5-sterrenbeoordeling (…).”
De koper vond dat de verkoper via deze e-mail ongeoorloofde reclame meestuurde. Hij vond dat de verkoper alleen de factuur had mogen sturen. Het verzoek om een positieve beoordeling zou inbreuk op zijn privacy zijn.
Marketeers worden gek als ze te maken krijgen met klanten die exact naar de regels van de wet willen worden behandeld. Gaat dit niet te ver?
De aanklacht werd in eerste instantie in Duitsland verworpen door zowel de lokale rechtbank als het hof van beroep, aangezien zij geen enkele vordering tot voorlopige maatregelen op grond van §§ 1004, 823 (1) BGB zagen. Het Hof van Beroep heeft echter een beroep bij het BGH toegestaan, dat nu uitspraak heeft gedaan.
Het besluit van de BGH
De BGH verklaart dat:
- een klanttevredenheidsonderzoek valt onder het begrip (directe) reclame
- het gebruik van e-mail voor reclamedoeleinden zonder toestemming van de eiser in beginsel een inbreuk vormt op zijn beschermde privésfeer en dus op zijn algemene persoonlijkheidsrecht
Hoewel de levering van de factuur op zich geen reclame is, vormt het deel van de e-mail waarin om een evaluatie werd gevraagd volgens de Duitse rechter wel degelijk reclame.
En als we de Algemene Verordening Gegevensbescherming erbij pakken wordt al snel duidelijk waarom.
De ondernemer heeft de adresgegevens alleen gekregen om de factuur te verzenden. Er is geen toestemming gevraagd of verkregen om het e-mailadres ook voor andere specifiek genoemde doeleinden – zoals klanttevredenheidonderzoek – te gebruiken. Volgens de AVG, die in Duitsland afgekort wordt als DSGVO, is dat verplicht.
De betekenis van de Duitse uitspraak
Volgens eerdere Duitse jurisprudentie was het al moeilijk om zonder toestemming klanttevredenheidsonderzoeken via e-mail te rechtvaardigen.
De BGH benadrukt met haar jurisdictie nu dat er geen klanttevredenheidsbeoordelingen mogen worden opgenomen in anderszins legitieme e-mails aan de klant.
Met andere woorden, voor de beoordeling van de klanttevredenheid en de verzending van nieuwsbrieven is een duidelijke toestemming vereist.
Is klanttevredenheidsonderzoek per e-mail nu verboden?
Nee. Als bij het afsluiten van de koopovereenkomst netjes seperaat toestemming wordt gevraagd om het e-mailadres ook eenmalig voor klanttevredenheidsonderzoek te mogen gebruiken – en die toestemming gegeven wordt – mag het onderzoek nog steeds gedaan worden.
Deze richtlijnen gelden ook in Nederland. Voor de invoering van de AVG waren deze regels ook al van kracht.
Privacy Nieuws
De Britse toezichthouder ICO heeft een boete van £ 140,000 (156.000 Euro) opgelegd aan Lifecycle Marketing (Mother and Baby) Ltd, ook bekend als Emma’s Diary, voor het illegaal verzamelen en verkopen van persoonlijke gegevens van meer dan een miljoen mensen ten behoeve van een politieke campagne van de Labour Party.
De gegevensbemiddelaar, die adviseert over zwangerschap en kinderopvang, verkocht de informatie aan Experian Marketing Services, een onderdeel van het kredietreferentiebureau, speciaal ten behoeve van de Labour Party.
Experian creëerde vervolgens een database die de partij gebruikte om de nieuwe moeders te profileren in de aanloop naar de Algemene Verkiezing 2017.
Ondertussen heeft de ICO ook aangekondigd onderzoek te doen naar de manier waarop de Britse politieke partijen omgaan met persoonsgegevens van kiezers. In juli 2018 is er een uitgebreide notitie over dit onderzoek op de site van de ICO gepubliceerd.
Privacy Nieuws
75 procent van de bedrijven wil investeren in technologie waarmee ze beter kunnen voldoen aan de Europese privacyregelgeving GDPR.
80 procent van de bedrijven maakt zich zorgen of leveranciers van marketingtechnologie zich wel houdt aan de privacywet.
Dat blijkt uit wereldwijd onderzoek dat het internationale onderzoeksbureau Demand Metric heeft gedaan in opdracht van Demandbase, marktleider op het gebied van account-based marketing (ABM).
Demandbase wilde inzicht krijgen in de manier waarop marketeers omgaan met gevoelige persoonsgegevens.
Het onderzoek werd ongeveer een maand na het verstrijken van de GDPR-deadline van 25 mei 2018 uitgevoerd.
Er werden tussen 13 juni – 28 juni 2018 wereldwijd 255 marketeers ondervraagd. De meerderheid van de respondenten is werkzaam bij organisaties met 20 tot 10.000 werknemers bij zakelijke/beroepsmatige diensten, consultancy, onderwijs, financiële diensten, gezondheidszorg, internet, productie, marketing, non-profit, detailhandel, telecommunicatie en andere bedrijfstakken.
23 procent van marketeers weet nog niets van de Europese privacyregels.
Uit het onderzoek blijkt volgens Demandbase dat 23 procent van de ondervraagde marketeers nog niets wist van de nieuwe Europese privacyregels.
Slechts 32 procent van de ondervraagde organisaties zou momenteel volledig voldoen aan de GDPR-regelgeving.
68 procent van de bedrijven is momenteel in overtreding. Zij moeten nog vele stappen zetten.
Van de bedrijven die op de hoogte zijn van het GDPR, geeft slechts 32 procent van de marketeers aan dat hun bedrijven volledig GDPR-conform zijn.
Externe leveranciers worden gezien als een potentieel groot risico. 80 procent van de ondervraagden maakt zich zorgen dat hun leveranciers van marketingtechnologie hun bedrijf kunnen blootstellen aan juridische risico’s omdat ze niet voldoen aan de GDPR-richtlijnen.
Marketeers moeten nog veel leren over GDPR
Uit de enquêteresultaten blijkt dat marketeers na het verstrijken van de GDPR-deadline nog veel te leren en uit te voeren hebben. De respondenten van de enquête gaven een opsomming van de belangrijkste GDPR-uitdagingen voor marketeers:
- Begrijpen van de GDPR (57%)
- Gegevensbeheer (44 procent)
- Toestemming van gebruikers verkrijgen (40 procent)
- Technologische barrières (37 procent)
Geen enkel bedrijf wil zaken doen met een bedrijf dat een aansprakelijkheidsrisico kan opleveren.
GDPR naleving is vooral belangrijk voor de B2B industrie omdat geen enkel bedrijf zaken wil doen met een ander bedrijf dat een risico op aansprakelijkheid kan worden”, zegt Fatima Khan, Chief Privacy Officer bij Demandbase.
De meeste ondervraagde bedrijven (60 procent) hebben de internationale benadering van privacy sinds de invoering van de GDPR gewijzigd. Met name in Europa en Noord-Amerika worden ingrijpende wijzigingen in marketingstrategien doorgevoerd.
GDPR geen eenmalige compliance-actie
“Bedrijven moeten erkennen dat de GDPR geen eenmalige compliance-actie is, maar het begin van een continu proces van herevaluatie van de naleving van privacy naarmate technologieën en dataprocessen evolueren”, aldus Khan.
“Desondanks geloof ik dat deze privacy veranderingen uiteindelijk meer transparantie zullen creëren en nieuwe kansen zullen bieden voor marketing afdelingen om meer betrokken, duidelijk en klantgericht te zijn.”
Driekwart van bedrijven tevreden met GDPR
Uit het onderzoek blijkt dat 86 procent van de organisaties de bescherming van gegevens van een significante tot een matige mate waardeert, waarbij klantenverwachtingen (73 procent) en wettelijke verantwoordelijkheden (72 procent) als belangrijkste redenen worden genoemd.
Meer dan 90 procent van de respondenten is van mening dat het waarborgen van gegevensprivacy hun marketingteam zal helpen vertrouwen op te bouwen bij klanten en ook hun marketingteam zal helpen een betere klantervaring te leveren.
Demandbase
Demandbase is marktleider op het gebied van account-based marketing (ABM). Het bedrijf biedt het enige op kunstmatige intelligentie gebaseerde, uitgebreide ABM-platform dat reclame, marketing, verkoop en analyse omvat.
Enterprise-leiders en snelgroeiende bedrijven zoals Accenture, Adobe, DocuSign, GE, Salesforce en anderen gebruiken Demandbase om hun ABM-strategie te sturen en hun marketingprestaties te maximaliseren.
In 2016 werd het bedrijf uitgeroepen tot Gartner Cool Vendor voor Tech Go-To Market.