Dat de GDPR inmiddels actief is, kan bij niemand onopgemerkt voorbij zijn gegaan. Hoewel veel bedrijven de GDPR liever niet hadden zien verschijnen, leg ik je graag uit dat het een perfecte aanleiding is om je business naar een hoger niveau te tillen.
Op 25 mei 2018 heeft de nieuwe Algemene Verordening Gegevensbescherming (AVG/GDPR) zijn intrede gedaan. Inclusief bijbehorende sancties voor bedrijven die hun data-zaken niet op orde hebben. Dit artikel gaat over hoe een DMP je kan helpen een van de belangrijkste speerpunten van de nieuwe wetgeving (intern) te stroomlijnen.
Nog veel onduidelijkheden over de GDPR
Ondanks dat de wetgeving al een aantal weken actief is, zijn er nog een hoop onduidelijkheden over de GDPR. Regelmatig wordt de vaagheid van de wetgeving benadrukt, echter is nuancering hiervan ook op zijn plek. De wetgeving is geen revolutie, het is eerder een evolutie van bestaande wetgeving. Instemming met betrekking tot dataverwerking was altijd al nodig, alleen nu zijn die voorwaarden gewijzigd. Betere afspraken tussen dataverwerkers en consumenten wordt nog te vaak gezien als een quick fix om aan de GDPR te voldoen. Terwijl als je verder kijkt dan alleen ‘aan de regels voldoen’, zal je zien dat een betere afstemming tussen de interesses van je publiek en beter weten wie er wel en niet op je boodschap zit te wachten, je juist helpt om de interactie met je klanten naar een hoger niveau te tillen.
Het was overigens vrij duidelijk dat de markt nog niet klaar was voor 25 mei. Eind vorig jaar bleek uit een peiling van de DDMA, de Nederlandse brancheorganisatie voor marketing en data, onder 75 bedrijven dat slechts 36% van de ondervraagden qua voorbereidingen op de wetgeving op schema lag. Iets minder dan de helft had plannen gemaakt om te beginnen en de rest had nog helemaal geen voorbereidingen getroffen. Een gebrek aan capaciteit (33%), tijd (25%) en kennis (10%) werden als belangrijkste oorzaken genoemd.
Een wat recenter onderzoek van EY, de Global Forensic Data Analytics Survey, laat hetzelfde beeld zien. EY ondervroeg 745 bestuurders van internationaal opererende organisaties uit 19 landen, waaronder Nederland. 78% van de ondervraagden gaf aan zich zorgen te maken over compliance op het gebied van gegevensbescherming. Ruim een op de drie Nederlandse bedrijven (37%) had toen nog geen idee hoe zij zich aan de nieuwe privacywetgeving moeten houden. Op de vraag hoe bedrijven zich hadden voorbereid op de GDPR zei 63% ‘er is een plan’.
Technologie en kennis als struikelblok
De onderzoeken delen een belangrijke uitkomst: technologie en kennis komen bij beiden als de grootste obstakels naar voren. Volgens DDMA gaan de meeste zorgen bij organisaties over gegevens uit oude systemen (legacy data), een proces inrichten om toestemming te vragen voor het gebruik van data en het trainen van medewerkers.
Bovenstaande komt duidelijk naar voren bij het onderzoek van EY. De resultaten lieten zien dat slechts 5% van de Nederlandse respondenten van mening was dat zijn of haar organisatie op dat moment over de juiste technische infrastructuur beschikte en slechts 15% had het gevoel voldoende kennis in huis te hebben op het gebied van data-analyse.
Juist op het gebied van de hierboven beschreven knelpunten kan de implementatie van een DMP een belangrijke oplossing zijn om GDPR-compliant te worden. Voor de volledigheid zet ik eerst de hoofdpunten van de GDPR in relatie tot dit verhaal op een rij.
Inzicht en zeggenschap
De essentie is simpel. Consumenten moeten vanaf nu expliciet toestemming geven per data-element en per gebruiksdoel. Dat uit zich op drie hoofdpunten:
Recht om vergeten te worden
Het recht op verzet zorgde er al voor dat de consument zich kon afmelden voor je marketinguitingen. Met het recht om vergeten te worden kan de consument nu ook een verzoek voor verwijdering van persoonlijke gegevens doen. Bijvoorbeeld wanneer de organisatie de persoonsgegevens niet meer nodig heeft voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.Recht op dataportabiliteit
Dit is een nieuw onderdeel dat nog niet in de oude wetgeving zat. Het stelt mensen in staat (een deel van) hun gegevens op te vragen bij een organisatie om die gegevens vervolgens naar een andere organisatie te laten sturen of de data zelf te ontvangen in een ‘gangbaar bestandsformaat’. Dit maakt het voor de consument makkelijker om over te stappen van de ene naar de andere aanbieder.Recht op inzage, rectificatie en aanvulling
Onder de wetgeving van voor 25 mei was via een privacy statement al verplicht om informatie te verstrekken over de manier waarop je persoonsgegevens verwerkt en voor welke doeleinden. Vanaf nu ben je verplicht om je consumenten uitgebreider te informeren, ook over nieuwe rechten zoals onder andere de bewaartermijnen van de gegevens, het recht om gegevens in te zien, te laten aanpassen, aan te vullen of te verwijderen. Daarnaast is er nu het recht om bezwaar te maken tegen en het beperken van de verwerking van gegevens, de mogelijkheid om toestemming op ieder moment in te trekken en de herkomst van de gegevens toe te lichten, wanneer deze niet direct door de betrokkenen zijn ingevuld en/of achtergelaten.
En hier zit voor veel organisaties de uitdaging. Al die data die we jarenlang opgeslagen hebben, is ondergebracht in verschillende systemen. Hoe en waar je in het verleden allemaal data hebt opgeslagen is dus een belangrijk punt.
Organisatorisch gezien zit de uitdaging vooral in de vraag hoe je ervoor zorgt dat de consument zijn gegevens kan inzien, aanpassen, verwijderen of verplaatsen.
Op dit vlak zijn er drie concrete uitdagingen:
Transparantie verkrijgen in welke data is verzameld en waarvoor.
Gebruikers in staat stellen deze data aan te passen of te verwijderen.
Gebruikers in staat stellen data te verplaatsen naar een andere omgeving (dataportabiliteit).
De rol van een data management platform
DMP’s hebben de afgelopen jaren terrein gewonnen binnen digitale marketing, zowel aan de kant van de publisher als aan de kant van de adverteerder. Een DMP verzamelt data vanuit verschillende bronnen omtrent een klantprofiel, organiseert en visualiseert die data en managet en activeert die data in realtime, hoewel dat laatste nog niet in alle gevallen geldt. Een DMP kun je dus eigenlijk zien als een overkoepelende data-laag bestaande uit de optelsom van meetbaar klantgedrag in relatie tot je merk of product om gerichter te communiceren naar een individuele klant of iemand die daarop lijkt. De geijkte doelstelling: communiceren met de klant op het juiste moment via het juiste verhaal. Dat verhaal kennen we inmiddels.
In het bundelen van al die kanalen zijn DMP’s van wezenlijk belang, zeker bij de inzet van paid media. Dat is namelijk waar wat mij betreft de waarde van een DMP ligt op langere termijn. De huidige tegenstelling met betrekking tot controle tussen owned en paid media klopt namelijk niet. DMP’s kunnen merken op termijn meer inzicht in en controle over paid media gaan geven doordat paid media door middel van een DMP via hetzelfde systeem kunnen lopen als owned media. DMP’s gaan voor een belangrijk deel over het verkrijgen van third-party data. Met een DMP kun je bijvoorbeeld owned kanalen koppelen aan display advertisingkanalen: iemand is twee weken niet op je website geweest; toon hem of haar een advertentie via Adwords, geen interactie op een aanbiedingsmail; toon dezelfde aanbieding op Facebook. Een DMP kan al die data bewaren, verwerken en inzetten.
Voor bedrijven met een forse mediaspend kan het dus veel transparanter worden waar het geld naartoe gaat en zorgt het er dus voor dat ze niet blindelings (alleen) op de rapportages van een mediabureau hoeven te vertrouwen. Zodoende houd je zelf de regie over de rapportage.
Het loont om op dit vlak meer eigen technologie – ik noem het een marketingtechstack – in te zetten. Doordat owned en paid kanalen samengebracht zijn in één systeem kun je de effectiviteit van je inspanningen toetsen aan de hand van eigen rapportages.
Een data management platform is hiervoor een heel concrete eerste stap.
Een dergelijke stip op de horizon is natuurlijk een mooi toekomstbeeld, maar het levert je niets op als er boetes boven je hoofd hangen.
DMP’s en de GDPR
Het bundelen van data uit al je kanalen maken DMP’s interessant voor commerciële doeleinden, maar juist ook die eigenschap zorgt ervoor dat je via een DMP een data-infrastructuur kunt bouwen waarmee je aan (dat onderdeel van) de wetgeving voldoet.
De data die je inzichtelijk moet maken is vaak verspreid over de verschillende datasilo’s die je marketingtools vormen: CRM, een e-mailmarketingtool, een e-commerceplatform, het ERP-systeem. Kortom, alle tools waarmee je de afgelopen jaren persoonsgegevens hebt verwerkt. En die bovendien niet of nauwelijks data met elkaar uitwisselen; de welbekende datasilo’s.
Hoe kun je de rol van een DMP in relatie tot de GDPR zien? In mijn ogen als die van gatekeeper. Een DMP stelt je in staat data vanuit verschillende bronnen te ontgrendelen, zoals first party data als naam, e-mail en aankoophistorie vanuit CRM-systemen (die eerst geanonimiseerd wordt), ad pixels van advertentieplatformen en aangekochte third-party audience segmenten.
Een DMP maakt het inzichtelijk hoe die individuele data zich over je platform beweegt. Van bron tot actie. Daarnaast geeft een DMP informatie over hoe en waar de data is verzameld en onder welke toestemmingsvoorwaarden. Dit creëert meer duidelijkheid over hoe je aan bepaalde data komt en voor wat je het kunt inzetten. Op deze manier krijg je een veel beter inzicht in het proces, van datacollectie tot data-activatie.
Een DMP biedt dus meer inzicht over waar er actie vereist is wanneer een consument gebruik maakt van zijn recht op inzicht, aanpassing of verwijdering van data. De bron waar de aanpassing plaats moet vinden is makkelijker en sneller te herleiden. Bijkomend voordeel is de op termijn hogere zuiverheid van je data. Een wijziging wordt namelijk in het bronsysteem aangepast.
Het laatste punt is het nieuwe recht op dataportabiliteit. Bedrijven moeten ervoor zorgen dat persoonsgegevens in een ‘gestructureerd, veelgebruikt en machine-leesbaar formaat’ geëxporteerd kunnen worden. Dit kun je natuurlijk op verschillende manieren interpreteren. Je kunt de data die je met een DMP ontsluit, exporteren om ze als download aan te bieden. Daarmee voldoe je op individueel niveau aan het recht op dataportabiliteit. Echter biedt een DMP je ook de handvatten om een API te bouwen waarmee grotere batches aan data makkelijker ‘transporteerbaar’ zijn. Dat haakt direct in bij de nieuwe wetgeving omtrent de dataportabiliteit van systeem naar systeem. Dit is onder andere voor bedrijven zoals banken, telecomproviders en verzekeringsverstrekkers handig.
Compliant zijn en de toekomst
Uiteindelijk draait het zowel voor de consument als de marketeer om een toename van controle. Enerzijds stelt de wetgeving de consument in staat meer controle terug te nemen. Dat was nodig na een paar jaar vrij spel voor, in sommige gevallen, data-doorgedraaide marketeers in plaats van data-gedreven marketeers.
Anderzijds geeft een DMP de marketingorganisatie meer controle. Zowel over de data waarover men kan beschikken en waarvan je klant je heeft laten weten dat je die mag gebruiken, als het verbeteren van de performance van je advertising. En middels een DMP breng je bestaande databases, platformen en tools een stuk makkelijker bij elkaar. Door het samenbrengen van die datastromen uit verschillende bronnen leer je sneller en ben je dus ook in staat sneller te optimaliseren.
Natuurlijk is een boete voorkomen een slechte reden om een DMP aan te schaffen. Het is echter wel een heel concrete en mooie aanleiding om met betere marketingtechnologie aan de slag te gaan. Kortom, kiezen voor een DMP betekent op de korte termijn investeren in compliance en op de lange termijn een hogere ROI op je marketinginspanningen.
