(Gastblog) De cookiewet voorbij

De ‘cookiewet’ is slechts één voorbeeld van wet- en regelgeving die van toepassing is op digitale data. Daarnaast moet je onder andere ook rekening houden de volgende wetten en richtlijnen:

― Wet bescherming persoonsgegevens.
― Telecommunicatiewet (waar de cookiewet onder valt)
― De Patriot Act
― Legal policies binnen je bedrijf

Data lifecycle
Compliant worden met de cookiewet begint typisch met de inventarisatie van de cookies die gezet worden, en het classificeren van die cookies. Daarna breng je ze onder in een systeem dat ze al dan niet activeert aan de hand van de keuze van de websitegebruiker.

Maar je wil ervoor zorgen dat je compliant én in controle blijft gedurende de complete data lifecycle van die online verzamelde data.

Daarvoor breng je eerst de keten in kaart. Het onderstaande model, ontwikkeld door DDI Alliance Structural Reform Group en aangepast door Cole Whiteman van de Universiteit van Michigan, geeft daarvoor een blauwdruk:

Bron: http://bit.ly/157FK0m

De essentie van dit model is als volgt. Als je data wilt gaan verzamelen, moet je je eerst bedenken waarom je dat wilt doen en naar welke informatie je precies op zoek bent (concepting). Collection is het daadwerkelijk meetbaar maken van die informatie. Vervolgens worden de data verwerkt (processing) in rapportages en verspreid door de organisatie (distribution), gevolgd door onderzoek en analyse, waarna ze ofwel opnieuw gebruikt of gearchiveerd worden.

Ieder bedrijf heeft minimaal een zo’n keten voor haar digitale data. En bij alle stappen kun je je afvragen waar de risico’s zitten. In elk geval moet binnen elke organisatie iemand de verantwoordelijkheid nemen voor het managen van het incompliancerisico’s in de hele data lifecycle. Maar hoe ziet data governance in de verschillende fases eruit? En welke rol speelt data ownership daarin? Hieronder voorbeelden van risico’s die je tenminste kunt identificeren en managen.

Conceptfase
In de fase van concepting komt de relevante wetgeving rondom digitale data al aan de orde. Je moet bijvoorbeeld zeker stellen dat de requirements van informatie-eindgebruikers gefilterd worden en zodanig geformuleerd zijn dat ze geen risico vormen richting wetten, regels en intern juridisch beleid. Voorkom bijvoorbeeld dat iemand requirements bedenkt en opdracht geeft tot metingen die elders in de lifecycle tot persoonlijk herleidbare informatie leiden. Bijvoorbeeld een geboortedatum of een versleuteld klantnummer. Bewaak dat er geen meetbehoeften worden gedefinieerd die tot een ongewenste update van het privacy statement op de website gaan leiden.

Collectie
Bij de datacollectie wil je voorkomen dat er ten onrechte cookies worden geplaatst waarvoor expliciete of impliciete toestemming vooraf vereist was. Hoe ben je bijvoorbeeld zeker ervan dat er geen tracking scripts geplaatst kunnen
worden door partijen, zonder dat daar controle en verantwoording voor wordt gedragen?

Data ownership is van het hoogste belang binnen data governance. Stel dus ondubbelzinnig vast dat inderdaad geen cookies worden geplaatst die datacollectie door derden mogelijk maken. Je weet vaak immers niet of deze derden eigenlijk wel integer gebruik maken van deze data. Denk bijvoorbeeld al aan het plaatsen van cookies door Google Maps, waarbij het te schimmig is hoe deze data door Google gebruikt kunnen worden. Wat doen Google, Facebook en Youtube met de data van jouw online bezoekers? Waar gaan die data heen en waarom?

Neem de verantwoordelijkheid om te bepalen of je deze bedrijven gebruik laat maken van de data die jij verzamelt.

Denk hier ook na over de manier waarop de applicatie waarmee je op je website om consent vraagt, onderhouden en geüpdatet wordt. Stel, je lanceert een nieuwe website. Is er een applicatie die om consent vraagt en wordt die vraag ook automatisch gesteld aan alle bezoekers die in het verleden al eens voor een ander gedeelte van de website toestemming gegeven hebben?

Distribution
Heel belangrijk in deze fase is zeker stellen dat de data die je verzamelt, alleen toegankelijk zijn voor de ‘eindgebruiker’ die de data ook daadwerkelijk gebruikt en voor niemand anders. Stel, er worden data verzonden naar een bulk-e-mailapplicatie. Heeft de content editor die de nieuwsbrief maakt dan toegang tot gedetailleerde bezoekerinformatie die hij eigenlijk niet zou mogen inzien? En is de reden waarvoor deze data wordt verzameld geheel in lijn met de wet, en wordt dat in de uitvoering ook echt nageleefd?

Analysis
In de analysefase is het belangrijk om verder te kijken dan je eigen omgeving. Welke analyses zijn er nu mogelijk en met welke data wordt het gecombineerd om nieuwe inzichten te bereiken? En welke analyses zijn er in de toekomst nog mogelijk met deze data? Ga na of de acties die hierop worden ondernomen ook beperkt zijn tot hetgeen waarvoor je verantwoording aflegt aan de online bezoekers? Stel jezelf de vraag of je gebruikers het accepteren dat jouw organisatie deze analyses verricht op de sporen die zij onverhoopt in het digitale domein achterlaten.

Bewustzijn
Compliance keert dus terug in elke fase van de data lifecycle. Zolang data door de organisatie gaan, is data governance noodzakelijk om digitale transparantie voor internetgebruikers en voor je eigen organisatie te creëren. Daarnaast is data ownership belangrijker dan het ooit was, omdat je niet de controle over de data uit handen wil geven en waardoor je het consent van je eindgebruiker beschaamt.

Misstappen hierin zijn lang niet altijd opzettelijk, en daarom is dit bewustzijn des te belangrijker. Heb je binnen je eigen organisatie niet de resources of de expertise om je data lifecycle te controleren, schakel dan een specialist in om de risico’s in kaart te brengen. Niemand wil als overtreder van juridische of ethische grenzen op de voorpagina van het nieuws komen en dat vraagt in deze tijden om proactief handelen van de verantwoordelijken in jouw business.

Gerwin Hendriks is senior business consultant bij Adversitement