Out-of-Home & privacy issues

Tijdens een congres over digitale buitenreclame (Media Summit 2016, Londen, 17 mei) gaf Nick Graham namens Dentons (een van de grootste advocatenkantoren ter wereld) een presentatie over de bescherming van persoonsgegevens, cyber veiligheid en de bescherming van data governance. Hij waarschuwde dat de regels inzake privacy strenger worden. In april is de General Data Protection Regulation goedgekeurd door het Europese parlement en zal definitief in werking treden op 25 mei 2018.
De Europese regels zijn trouwens nu al strenger dan de Amerikaanse wetgeving:

• in Europa is privacy een mensenrecht, terwijl het in de VS beschouwd wordt als een issue inzake de bescherming van de consument
• in Europa spreken we over ‘personal data’, terwijl in de VS gesproken wordt over PII: personally identifiable information
• standaard geldt in Europa dat het verwerken van persoonlijke gegevens niet toegestaan is, terwijl in de VS het commerciële gebruik van persoonlijke data wel aanvaardbaar is

De laatste maanden krijgt dit issue sowieso al meer aandacht dan ooit tevoren. Denk bijvoorbeeld aan de case tussen Apple en de FBI, waarbij de FBI toegang wil krijgen tot de iPhone van een terrorist. Dichterbij ons werkveld: de City of Londen verbood de exploitant van reclame op prullenbakken om via nieuwe technieken mobiele telefoons te volgen. Cyber security risico’s; privacy versus veiligheid; en de versnelling van de wereldwijde privacywetgeving horen nu al tot de hot topics van 2016.
“Er zijn een aantal lessen te trekken uit wat er aan de hand is,” vertelde Graham. Data controllers zijn wettelijk verantwoordelijk voor de privacy, maar de technologie-leveranciers moeten ervoor zorgen dat hun producten privacy compliant zijn. Nieuwe wetten zullen leveranciers hiervoor verantwoordelijk te maken.
Duidelijk zal zijn dat persoonlijke data niet verzameld mogen worden in het publieke domein (zonder toestemming althans), maar dat betekent niet dat geaggregeerde data zonder risico zijn. Persoonlijke data heeft betrekking op alle gegevens die terug te brengen zijn op een identificeerbare levende persoon: het gaat ook om IP-adressen, cookies en data verkregen via een browser. Het werkelijk anonimiseren van data is niet eenvoudig, eenvoudigweg het verwijderen van een naam en adres valt daar niet onder. Ook gelden strenge regels voor speciale categorieën, zoals ras, etniciteit, gezondheidsgegevens e.d.
De toestemming van consumenten zullen veel gedetailleerder moeten zijn dan nu gebruikelijk is. Zo verwacht Graham dat ook voor gezichtsherkenning, locatiebepaling toestemming van de persoon in kwestie noodzakelijk is. Niet eenvoudig voor vele OOH toepassingen. Uit de presentatie werd duidelijk dat er ook nog een grijs gebied is (daar houden juristen van….): camera’s op billboards zouden misschien wel kunnen, als ze dan maar voldoende groothoek zijn, zodat individuen niet getraceerd kunnen worden.
Graham meldt dat het moeilijker zal worden voor bedrijven in de EU om gegevens te gaan verzamelen en gebruiken. De boetes kunnen ook behoorlijk oplopen tot wel 4% van de totale wereldwijde omzet.