Privacy en data en GDPR en dingen

Privacy en spel, altijd leutig.

Al van zo lang ik mij kan herinneren, ben ik zot van persoonlijke data verzamelen. Data in het algemeen, maar persoonlijke data nog veel meer: daar kan een mens dan gemiddelden van trekken, trends in zien, grafieken trekken, mensen manipuleren en indelen zonder er ooit mee te moeten interageren in het echt, vat krijgen op menselijke relaties en eigenschappen zonder te moeten spreken, euh, hang on, wacht, ‘t is niet alsof ik een autist ben of zo hé.

Klaslijsten, alumniverenigingen, CRM-systemen, databases allerlei, genealogie: het komt allemaal neer op persoonsgegevens die kunnen gemanipuleerd worden. Wijs!

De leutigheid is dat we dat op het werk ook doen. Op veel grotere schaal en grotendeels anoniemer, maar we doen het wel.

En in de sector beweegt er vanalles. Een fijn rapport om te lezen is dat van Citi over ePrivacy en Data Protection: Who Watches the Watchers? — How Regulation Could Alter The Path of Innovation.

De twee dingen waar het over gaan, zijn

  1. De General Data Protection Regulation (GDPR), die vanaf 25 mei 2018 van kracht wordt en allerlei hefbomen terug in handen van de gewone mens geven — met allerlei nieuwe rechten en plichten voor iedereen van boven tot onder, met boetes tot 4% van de omzet of 20 miljoen euro, met allerlei nieuwe verplichte processen en veranderingen en vanalles;
  2. En ePrivacy, dat een Europese verordening moet worden die samen met GDPR van kracht wordt, waar specifiek ingezoomd wordt op de privacy van electronische communicatie, waar de boetes en het concept van “consent” van GDPR worden overgenomen.

Spoilers: ePrivacy en GDPR zullen zwaar impact hebben op de risk/reward van persoonlijke-gegevensgebruik, en allerlei mensen zullen hun manier van omgaan met data grondig moeten aanpassen.

europe-2021308_640

Een jaar of tien geleden was er bijna niets van dataprotectie, op zwakke pogingen van Europa na, tegenwoordig heeft zowat elk land zijn eigen regels op allerlei mogelijke manieren. Het interessante van GDPR is dat het de zaken horizontaal aanpakt, ‘t is te zeggen, niet specifiek voor één industrie of één context. En aangezien er tegenwoordig miljarden verdiend worden door bedrijven die niets anders doen dan persoonlijke gegevens tegen betaling versluizen, kunt g’u inbeelden dat er enorm veel gevolgen zullen zijn.

GDPR probeert een evenwicht te vinden tussen enerzijds de bescherming van persoonlijke data, en anderzijds de mogelijkheid om persoonlijke data vlot te laten doorstromen tussen partijen.

Vlotte doorstroming tussen partijen binnen de Europese Unie, welteverstaan. Wat enorme opportuniteiten kan creëren hier, maar dat het wat moeilijker maakt als het over data van en naar buiten de EU gaat (hallo, Google en Facebook!). Er is wel sinds de jaren 2000 een concept van “dit land doet het goed genoeg naar onze goesting”, maar de grootste landen die daaronder vallen zijn Canada en Argentinië. Niet, voor de duidelijkheid, de VS, China, Rusland, Brazilië.

GDPR heeft dus wel degelijk globale ambities: als een organisatie van de buiten de EU data wil verwerken in de EU, of diensten wil aanbieden gebaseerd op persoonlijke data, dan gaan ze zich aan GDPR moeten houden. Zélfs als ze geen zetel of fysieke aanwezigheid in de EU hebben.

Y2K-resize

Er zijn redelijk wat bedrijven in de VS die denkden dat het allemaal zo geen vaart zal lopen, en dat die GDPR een beetje zoals Y2K zal zijn: veel geblaat, iedereen bang maken, en als puntje bij paaltje komt allemaal zo geen groot probleem. Die bedrijven denken dan “als we maar tonen dat we ons best aan het doen zijn, en in de richting van compliance op aan schuiven zijn, zal het wel allemaal koelen zonder blazen”.

Neen dus. GDPR gaat op 25 mei 2018 van kracht, er zit al een transitieperiode van twee jaar ingebouwd, en dus zal er geen geleidelijke overgangsperiode zijn, geen vriendelijke waarschuwingen of opgestoken vingers. Ga ervan uit dat het tegen 24 mei 2018 allemaal in orde moet zijn. Niet dat het een totaal star en onrealistisch ding is: GDPR doet aan risk-based regulation (zie bijvoorbeeld hier), en pakweg gezondheidsverwante data zal bijvoorbeeld veel strenger behandeld worden dan pakweg aankoopgedrag van wc-papier.

Maar als het fout gaat, zijn de boetes dus echt niet van de poes: tot 20 miljoen euro of 4% van de globale jaarlijkse omzet, welk van de twee het grootst is — voor Google zou dat tegen de vier miljard dollar kunnen zijn.

Concreet moet er heel wat veranderen, want GDPR geeft de mensen veel meer rechten wat hun persoonlijke gegevens betreft. Zij kunnen bijvoorbeeld eisen dat ze gratis hun eigen gegevens kunnen inkijken, dat al hun persoonlijke gegevens verwijderd worden, dat ze al hun gegevens in een “portable format” kunnen krijgen. Er moeten allerlei processen opgezet worden, bijvoorbeeld om te identificeren wanneer er ingebroken is in persoonlijke gegevens, en hoe de overheid én de mensen daarvan op de hoogte gesteld zullen worden.

En dus voor de duidelijkheid: dat geldt dus wel degelijk voor alle data van mensen in de EU, of die nu bij Google in de VS of Amazon in Indië of Facebook in Madagascar staat of waar dan ook. En voor iedereen, van KMO tot multinational over lokale overheid, zowel intern als extern. Bovendien is de definitie van “persoonlijke gegevens” redelijk los, ook cookies en IP-adressen (het internetadres van uw computer) vallen er bijvoorbeeld onder.

Binnenkort is het nog één jaar, en er moet nog veel gebeuren. Al wie bijvoorbeeld nu een contract getekend heeft met kleine letters: akkoord dat de kleine letters de letter van de wet volgden op het moment van ondertekenen — maar het is niet gezegd dat ze ook GDPR volgen. Moeten alle “terms and conditions” aangepast worden? En alle contracten hertekend? Dat is nog grotendeels open voor discussie.

En soms is het trouwens nu al te laat: voor veel openbare aanbestedingen — zeker in de sector waar ik werk, software die specifiek dingen met persoonsgegevens doet — wordt er nu al gevraagd dat men GDPR compliant is.

Paradoxaal genoeg zullen het trouwens vaak de kleinere organisaties zijn die het moeilijker hebben: het vraagt eigenlijk nieuwe bedrijfscultuur, met niet alleen transparantie maar ook een voortdurende dialoog met de personen waarvan gegevens gebruikt worden, met onder meer een “designated data protection officer” die zowel tussen organisatie en regulator als tussen organisatie en gewone mens zal staan.

on-the-internet-nobody-knows-youre-a-dog-meme-1

Komt daarbij dat de manier van omgaan met persoonsgegevens zelfs binnen Europa zeer verschillend is, en dat GDPR is in die zin redelijk Duits. In Duitsland staan ze heel ver met aller wat privacy betreft. Elders is dat absoluut niet het geval, en het wordt onvermijdelijk een beetje een schok voor heel Europa om plots met Duits-achtige regulatoren oog in oog te zaan — zowel qua flexibiliteit als qua strengheid.

(Okay, de regulator zal nog wel nationaal zijn, maar GDPR is Europees, en om te vermijden dat er door bedrijven een regulator-shopping zou gedaan worden met verstigingen in verschillende landen, is er voorzien dat zaken uiteindelijk zelfs door alle regulatoren zullen kunnen behandeld worden.)

Best wel boeiend eigenlijk, als een mens er bij stilstaat: GDPR zit te paard tussen aardrijkskunde en realiteit. De wetgeving is regionaal (Europees) in een wereld die de facto globaal en landenloos is, maar is toepassing van zodra er ook maar één Europese persoon opgepikt wordt.

De Europese aanpak is ook diametraal tegengesteld aan die van de VS: in de VS worden er per  sector (banken, verzekeringen, overheid, …) tegels gemaakt, en GDPR is zoals gezegd volledig horizontaal.

Geen idee hoe dat allemaal gaat uitdraaien. Veel spanningen, vermoedt men. En het maakt het allemaal niet gemakkelijker voor mensen die globaal zaken doen — wat tegenwoordig zowat iedereen kan zijn.

Flanders_automobile_advertisement_(from_Netherlands)

Op het werk maken wij software die het gedrag (bijvoorbeeld lezen, klikken, een aankoopo doen, een knop duwen, een filmpje bekijken, iets liken of delen, …) meet van mensen (met een bepaald profiel) op een bepaalde plaats (met bepaalde eigenschappen) op het internet ‘een pagina, een app, iets mobiel, een video, …). Door dat te meten, kunnen we voorspellen dat er in de toekomst bepaalde profielen bepaalde gedragingen op bepaalde plaatsen zullen uitvoeren. Na het meten, kunnen we ook eventueel meteen reageren, en bijvoorbeeld de gelezen pagina of app aanpassen, er iets insteken, een mail of sms sturen, tralala.

Door dat allemaal te doen, kunnen we allerlei fijne zaken doen voor onze klanten — betaalmuren verschuiven voor sommige profielen, artikelvolgordes aanpassen, menu-opties al dan niet tonen, … maar realistisch is de meest voorkomende use case voor onze software het beheren en uitleveren van reclame.

Ge ziet van hier dat wij al een tijd van zeer dicht met GDPR en ePrivacy bezig zijn: het is zowat onze core business.

Lang geleden was er al de cookiewetgeving, maar serieus: dat was compleet naast de kwestie, om allerlei redenen. Niet in het minst omdat cookies lang niet de enige manier zijn om mensen te tracken, en dat er niet veel bijt aan de regel was. Het enige gevolg was dat er overal lastige popups en boodschappen stonden van “klik hier om ons cookies te laten zetten” — terwijl ondertussen natuurlijk Google en Facebook al lang hun eigen gerief hadden gedeponeerd, en er niemand van wakker lag.

Er wordt tegenwoordig wel geschermd met het verschil tussen “first party” cookies (informatie beheerd door bijvoorbeeld een krant zelf) en “third party” cookies (informatie beheerd door bijvoorbeeld de adverteerder, of een ad server, of een DMP), maar dat is eigenlijk vaak naast de kwestie: wij kunnen bijvoorbeeld perfect een first party cookie zetten terwijl we eigenlijk een externe partij zijn, en iets als Google Analytics zet een third party cookie terwijl de informatie in principe voor eigen intern gebruik is (al zal Google er wel iets mee doen, natuurlijk; de dagen van don’t be evil zijn al een hele tijd geleden).

‘t Is te vroeg om al conclusies te trekken, maar we moeten daar eerlijk in zijn: als GDPR er komt, is het potentieel de doodsteek voor al wat reclame op het internet is. Transparantie en keuze in handen geven van de gewone bezoeker is waar GDPR om draait, en advertenties zijn daar zowat het omgekeerde van.

Veel ruimte voor innovatie, dus. Wij zijn alvast vragende partij, ha!