Interview met Matthias de Bruyne, Senior Legal Counsel bij de DDMA.
Tijdens het Data Privacy Congres verzorgt Matthias de Bruyne, Senior Legal Counsel bij de DDMA, branchevereniging voor data en marketing, een inhoudelijke sessie over de laatste stand van zaken rondom data driven marketing en privacy. In zijn functie helpt hij leden te voldoen aan de geldende (Europese) privacywetgeving.
Daarbij geeft hij advies en voorlichting over de juridische ontwikkelingen op het gebied van datagebruik in marketing. Want waarvoor is nou precies toestemming nodig en wanneer kan er verwerkt worden op grond van het gerechtvaardigd belang? In een interview met Matthias blikken we vooruit op het Data Privacy Congres dat plaatsvindt op 22 september in Stadion Feijenoord, Rotterdam.
De DDMA is de grootste branchevereniging voor data en marketing in Nederland. Als Senior Legal Counsel ziet u veel onderwerpen met betrekking tot privacy langskomen. Wat is het meest voorkomende probleem waar men tegenaan loopt?
We zien dat organisaties nog steeds worstelen met open normen uit de AVG. Die wet staat vol met afwegingen, waarbij de omstandigheden van het geval bepalend zijn voor de uitkomst. Bijvoorbeeld: de hoogte van het risico van een verwerking, de hoeveelheid gegevens die noodzakelijk is of wanneer een privacy statement begrijpelijk is voor de doelgroep. Veel organisaties benaderen de AVG als een checklist: zorg dat de juiste informatie in het privacy statement staat, dat er toestemming wordt gevraagd, en over tot de orde van de dag. Zo makkelijk is het helaas vaak niet. Het antwoord op de vraag: “mag dit?” is vaak geen ja of nee. Het cliché “dat hangt ervan af” is vaak waar. Veel organisaties beschikken niet over de expertise om dat soort afwegingen te maken. Dat resulteert vaak in de nodige onzekerheid.
Op het snijvlak van data-driven marketing & privacy zijn veel onderwerpen, wat spreekt u hier persoonlijk het meest in aan?
Ik houd me het liefst bezig met juridische vraagstukken die te maken hebben met technologie. De techniek loopt altijd vooruit op de wetgeving en dat verschil lijkt alsmaar groter te worden. Daardoor moet je als jurist improviseren: hoe pas je een wet toe op een technologie die nog niet bestond toen de wetgever het heeft opgeschreven? Vaak komt daar ook ethiek bij kijken. Je kunt, bij het ontbreken van passende wetgeving, de grens van het toelaatbare opzoeken, maar je kunt het ook vanuit de klant bekijken: wat past bij de rol van onze organisatie in de maatschappij? Het voeren van die gesprekken wordt steeds belangrijker bij DDMA. Onze leden merken dat van hen verwacht wordt dat zij hierover nadenken.
Waarom is er zoveel te doen rondom de grondslag van het gerechtvaardigd belang?
Hierover is momenteel veel discussie doordat de Autoriteit Persoonsgegevens haar interpretatie van die grondslag kenbaar heeft gemaakt. Zowel in de vorig jaar gepubliceerde ‘normuitleg gerechtvaardigd belang’ als in de opgelegde boete ter attentie van de KNLTB (De Koninklijke Nederlandse Lawn Tennisbond). De interpretatie van de AVG-bepalingen over het gerechtvaardigd belang door de Autoriteit Persoonsgegevens in het besluit t.a.v. de KNLTB heeft voor aardig wat verwarring gezorgd. Die interpretatie wijkt namelijk af van de interpretatie door andere toezichthouders en de EDPB (de Europese koepel van privacytoezichthouders). Dat is opmerkelijk, omdat het gerechtvaardigd belang ook voor de AVG al bestond. Er is met de komst van de AVG geen aanleiding voor een nieuwe interpretatie, maar toch lijkt hier sprake van te zijn.
Wat zijn de gevolgen van de normuitleg voor de grondslag ‘gerechtvaardigd belang’ van de Autoriteit Persoonsgegevens?
Bij organisaties die persoonsgegevens verwerken op grond van het gerechtvaardigd belang zorgt dat voor onzekerheid. Vrijwel iedere commerciële organisatie verwerkt persoonsgegevens op basis van deze grondslag. Bijvoorbeeld voor het maken van analyses, het verbeteren van producten of het werven van klanten d.m.v. (direct) marketing. Onduidelijkheid over de grondslag van die verwerkingen betekent dat het onduidelijk is of die verwerkingen toegestaan zijn. Zorgen voor een andere grondslag is niet eenvoudig, het vragen van toestemming klinkt eenvoudig maar zorgt in de praktijk voor heel wat obstakels. Zowel voor de (potentiële) klant als de organisatie zelf.
Tijdens het Data Privacy congres gaat uw sessie over de laatste stand van zaken met betrekking tot data-driven marketing & privacy. Waarom is én blijft het belangrijk om hier bij stil te staan?
Marketing is onmisbaar voor onze economie. Zeker nu alles zo snel digitaliseert is het voor organisaties erg belangrijk om ervoor te zorgen dat hun producten of diensten onder de aandacht gebracht kunnen worden bij (potentiële) klanten. Digitale marketing is uiteraard niet zonder nadelen, niet iedereen zit hierop te wachten, dus is het voor adverteerders belangrijk om de wensen van de consument te respecteren. Merken adverteren liefst enkel richting consumenten voor wie het product of de dienst relevant is. Het rekening houden met die wensen en voorkeuren vereist ook het verwerken van gegevens. Daarom is het voor iedere adverterende organisatie belangrijk om bij te blijven met de laatste wetgeving op het gebied van marketing. Het juridisch kader is constant in beweging. In Brussel wordt er gewerkt aan de e-Privacy Verordening, in Nederland wordt de Telecommunicatiewet dit jaar aangepast. En als sector hebben we dit jaar de zelfregulering op het gebied van telemarketing en influencer marketing herzien.
Hoe denkt u dat de toekomst van data-gedreven marketing er uit zal zien?
Ik verwacht dat het verwerken van persoonsgegevens voor marketing een stuk ‘slimmer’ zal worden: meer bereiken met minder gegevens. De afgelopen jaren zagen we twee heel tegenstrijdige trends. Met nieuwe technische mogelijkheden werd er meer en meer data verzameld om de ‘klantreis’ 360 graden in beeld te krijgen en alles door te meten, terwijl er met de komst van de AVG meer nadruk kwam op dataminimalisatie en privacy by design. Ik verwacht dat het toegenomen privacybewustzijn onder consumenten en het handhaven van het juridisch kader er uiteindelijk voor zal zorgen dat er een stuk gerichter data verzameld zal moeten worden. Kritischer kijken naar wat er écht noodzakelijk is en de processen daarop inrichten.
Wat mogen we van uw sessie op het congres verwachten?
Ik zal de aanwezigen een update geven van de laatste voor data-driven marketing relevante ontwikkelingen op privacygebied. Er gebeurt momenteel nog veel, dus ik hoop dan al iets te kunnen zeggen over de gerechtvaardigd belang-guideline van de EDPB (European Data Protection Board) in Brussel. Die wordt dit najaar verwacht. Ook zijn toezichthouders steeds actiever met handhaven. Dat is uiteraard spannend voor organisaties, maar uiteindelijk is het voor iedereen leerzaam, omdat we dan zien hoe we de AVG in de praktijk moeten toepassen.
Wat is de belangrijkste les die u als spreker de deelnemers van dit congres wilt meegeven?
De belangrijkste les die ik zou willen meegeven is: zie AVG-compliance niet als een eindpunt op een checklist. Zie het als een continu proces dat er tegenwoordig bij hoort. Bij ieder nieuw project dat met data te maken heeft, zou privacy een thema moeten zijn. Voor alle punten waar de AVG bestaat uit lastige afwegingen raad ik iedereen aan om het gesprek aan te gaan met vakgenoten bij andere organisaties. Het kan erg verhelderend zijn om te horen hoe andere organisaties omgaan met vergelijkbare vraagstukken.
Nog een keer in het kort: waarom mogen mensen dit congres niet missen?
Je wordt in één dag helemaal bijgepraat over de laatste ontwikkelingen. Het is een mooi programma met veel praktijkcases. Ik denk dat je er veel inspiratie en praktische inzichten uit kunt halen die je zo kunt toepassen in je eigen organisatie.