gdpr

Inhoud Het management van veel Nederlandse bedrijven denkt te lichtvoetig over de eisen die de GDPR aan organisaties stelt. Slechts een kwart van hen is betrokken bij de compliance van deze regelgeving en een aanzienlijk deel weet niet welke persoonsgegevens zij precies moeten beschermen. Daarop duidt onderzoek van Trend Micro. Paradoxaal genoeg is er aardig wat kennis aanwezig over GDPR in het algemeen. Zo weet zeker 93 procent van de onderzochte professionals in Nederland dat ze aan de regelgeving moet voldoen en 72 procent heeft zelf kennis genomen van enkele exacte regels. Zes op de tien Nederlandse bedrijven zegt dat hun data niet veiliger opgeslagen kan worden.   Persoonsgegevens? Er heerst nogal wat onduidelijkheid over welke ‘persoonsgegevens’ goed beschermd moeten. Dat begint al bij de inventarisatie. Bijna een kwart van de Nederlandse respondenten kan niet aangeven welke persoonsgegevens ze hebben opgeslagen en waar. Van alle Nederlandse respondenten weet vervolgens 22 procent niet dat een geboortedatum geclassificeerd moet worden als een ‘persoonsgegeven’ en meer dan de helft van de Nederlandse IT-beslissers ziet informatie in hun e-mail marketingdatabases onterecht niet als persoonsgegeven. Voor wat postadressen aangaat, stijgt dat percentage tot 71 procent en voor e-mailadressen zelfs tot een alarmerende 78 procent. Organisaties die dergelijke gegevens – die hackers vaak genoeg munitie geven voor identiteitsdiefstal – niet goed beveiligen, riskeren hoge boetes. Meer dan 60 procent weet niet dat het hierbij om bedragen gaat die tussen de 2 en 4 procent van hun jaarlijkse omzet kunnen liggen. Een opvallende kwart van de ondervraagde organisaties in Nederland maakt zich echter niet druk over een mogelijke sanctie. “Het ontbreken van kennis over GDPR, dat duidelijk naar voren komt in dit onderzoek, is schokkend. Geboortedata, e-mailadressen, marketingdatabases en postadressen zijn allemaal belangrijke klantgegevens en het is zorgelijk dat zo veel Nederlandse organisaties dat, ondanks het zelfvertrouwen, gewoon niet weten”, zegt Rik Ferguson, VP Security Research van Trend Micro. “Als organisaties deze gegevens niet beschermen, nemen ze niet alleen hun klanten niet serieus, ze zijn zeker niet klaar voor GDPR.”   Verantwoordelijkheden Op de vraag wie verantwoordelijk is voor het verlies van grote hoeveelheden EU-data bij of door Amerikaanse aanbieders wist slechts 10 procent het correcte antwoord: beide partijen dragen evenveel verantwoordelijkheid, iets minder dan het wereldwijde gemiddelde van 14 procent. Bijna de helft van de Nederlandse organisaties denkt dat de boete betaald moet worden door de data-eigenaar, een kwart denkt dat de verantwoordelijkheid overzee ligt. Ook hebben Nederlandse beslissers niet helder voor ogen wie intern verantwoordelijk is voor compliance aan deze regelgeving. Een kwart denkt dat de CEO verantwoordelijk is, een iets groter percentage vindt dat het in handen is van de CISO en/of het security team. Slechts 10 procent van de Nederlandse hogere managers houdt zich echter actief met dit onderwerp bezig. “Het is zaak dat de C-suite GDPR gaat zien als een business-uitdaging in plaats van een security-probleem voordat het te laat is”, zegt Ferguson. “Het voorbereiden op GDPR is een enorme klus. Van investeren in state of the art technologie tot en met het implementeren van regels rondom dataprotectie en notificaties. Die voorbereiding is echter nutteloos als bedrijven niet weten om welke data het precies gaat en wie daarvoor verantwoordelijk is.” De GDPR verplicht bedrijven om de benodigde, moderne technologie te implementeren om goed om te kunnen gaan met risico’s. Toch heeft slechts 20 procent van de Nederlandse bedrijven geavanceerde technologie in huis om indringers op hun netwerk op te kunnen sporen. 26 procent heeft encryptietechnologie geïnstalleerd en 16 procent van de Nederlandse ondernemingen heeft geïnvesteerd in technologie die datalekken moet voorkomen.Bron: Felix Speulman, IT ExecutiveMeer weten over GDPR/AVG en hoe Mavim uw organisatie daarbij kan helpen? Lees meer op onze website of download de whitepaper "In 5 stappen voldoen aan de GDPR/AVG"

Inhoud   Sinds wanneer hebben we het eigenlijk over privacy? Hoe lang speelt dit vraagstuk al? We kunnen natuurlijk teruggaan tot de Romeinse tijd. De Romeinen bouwden bijvoorbeeld hun toiletten met een heel open karakter. De latrines waren open ruimtes met banken aan de zijkant met daarin gaten. Men kon zijn of haar behoefte doen terwijl het gesprek gewoon verder ging. Hoe zo privacy? Maar goed, dat is een ander soort privacy natuurlijk. Hoewel, we zeggen vandaag de dag in onze gedragscode wel iets over wat je wel of niet zou mogen bespreken in een publieke ruimte.   Het wissen van informatie is onmogelijk Het is niet gemakkelijk om de ontwikkelingen binnen het privacydomein te volgen en dat vervolgens uit te leggen aan de gemiddelde leek. Wat wel langzamerhand begint door te dringen is dat we in een onomkeerbaar proces terecht zijn gekomen. Het uitzetten of wissen van informatie op internet lijkt onmogelijk te zijn. Ik verwacht niet dat de nieuwe privacy wet in Europa(Algemene Verordening voor bescherming van persoonsgegevens (AVG) of General Data Protection Regulation (GDPR)) die in mei 2018 in werking zal gaan daar iets aan verandert. Ondanks dat er een soort van ‘right to be erased’ in is opgenomen. In juli 2000 werden we al ruw wakker geschud toen bleek dat er een Europees spionage systeem Echelon zou bestaan. Tegenwoordig weten we niet beter dat spionage en afluisteren standaardpraktijken zijn van praktisch alle overheden ter wereld. Door de onthullingen van Snowden is het bestaan van dit Echelon spionagenetwerk in 2015 bevestigd aan de hand van enkele documenten van de NSA.   Niet meer anoniem Als je anoniem wilt zijn in de huidige maatschappij kun je niet meer naar de grote stad verhuizen en je onderdompelen in de mensenmassa. Alles wordt daar geregistreerd. Je zult nu juist naar het platteland moeten gaan en je te voet of per fiets verplaatsen. En natuurlijk alle elektronische gadgets voorgoed achterlaten, en dat is voor veel mensen een uitdaging. Dat werd mooi geïllustreerd in het tv-programma ‘Hunted’ waarbij deelnemers moesten proberen om uit de handen van ‘rechercheurs’ te blijven. Binnenkort komt er een nieuwe serie van afleveringen van ‘Hunted’.   Wel of geen sleepnet? In Amerika werd begin 2017 door het Amerikaanse Senaat een wet aangenomen die het mogelijk maakt voor Internet Service Providers om al het internetverkeer van haar gebruikers individueel te analyseren en door te verkopen aan commerciële partijen. Maar ook in Nederland lijkt informatie steeds vaker openbaar te worden. Denk maar aan de introductie van de zogenaamde ‘sleepwet’ en het referendum wat daarover zal gaan plaatsvinden. Het gaat hierbij om wijzigingen in de Wet op de inlichtingen- en veiligheidsdiensten (Wiv). Deze wet uit 2002 volstaat volgens de rijksoverheid niet meer. Het is natuurlijk logisch dat met de enorm snelle technologische ontwikkelingen ook wetten regelmatig aangepast moeten worden.  Ik denk dat veel Nederlanders wel kunnen instemmen met het grootste deel van deze wet. Het lijkt immers logisch dat er een bevoegdheid moet komen om chatberichten van bijvoorbeeld een terrorist te onderscheppen, als er serieuze verdenkingen zijn uiteraard. Het probleem van deze wet zit onder andere in het feit dat veel informatie als ‘bijvangst’ ook beschikbaar komt en langere tijd bewaard kan worden. De AIVD zelf nuanceert dit door te stellen dat er juist meer controle en toezicht is ingebouwd en dat veel van de bijvangst direct weer wordt verwijderd. Ik denk niet dat het verstandig is om een referendum te houden over de gehele sleepwet. Feit is wel dat dit referendum er komt. Maar hoe kun je over zo een complexe wet de bevolking om een Ja/Nee gaan vragen? Ik verwacht dat de wet met aanpassingen op het toezicht er uiteindelijk toch wel zal komen, ongeacht de uitkomst van het referendum.Door: Jeroen Veraart Meer weten over de AVG? Lees hier meer over hoe u met het AVG framework aantoonbaar in control komt! Of meld u aan voor het webinar 'In 5 stappen voldoen aan de AVG'  

Inhoud Vrijdag 25 mei 2018 zal bij de meeste woningcorporaties rood omcirkeld staan in de agenda. Op die datum wordt de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Welke stappen moeten corporaties nemen om aan de privacywet te voldoen, en hoe borg je de aanpassingen binnen de organisatie? Een gesprek met Mitchel Kooyman, Business Consultant Informatiebeveiliging en Privacy bij Audittrail: “Wees je bewust dat de tijd begint te dringen.” In de praktijk ziet Mitchel dat corporaties vaak nog verschillende stappen moeten zetten om aan de nieuwe wetgeving te voldoen. “Corporaties zijn zich bewust van de naderende startdatum en weten dat maatregelen nu getroffen moeten worden. Er is alleen nog vraag naar ‘hoe’ deze stappen genomen moeten worden. En daarbij is de AVG geen simpele of gemakkelijke wetgeving. Het is complexe materie waarbij specialistische kennis nodig is om het juist te implementeren in organisaties. Het kan dan ook niet in een aantal weken gebeuren: het implementeren heeft een tijdslijn van enkele maanden.”   Motivatie Volgens Mitchel wil je als corporatie naar je huurders toe aan de regels voldoen. “Je wil hen beschermen tegen identiteitsfraude, en in het nieuws komen dat gegevens gelekt zijn kan grote imagoschade betekenen. Daarnaast wil je niet tegen een boete aanlopen: deze kunnen zo 20.000.000 euro of vier procent van de wereldwijze jaaromzet bedragen. Ook zien wij dat corporaties die nog gebruikmaken van papieren archieven de naderende wet aangrijpen om dit te digitaliseren. Op die manier heeft het een positieve invloed op de datakwaliteit.”   Nulmeting is de basis Op de vraag wat het voldoen aan de AVG lastig maakt, zegt Mitchel: “De nieuwe wetgeving is een moderne vervanging van de Wbp, maar een stuk strakker ingeregeld. Zo wordt een privacybeleid verplicht, moet er een verwerkingenregister zijn en moeten procedures voor rechten van betrokkenen ingericht en bekend zijn.” Een nulmeting is de basis om te voldoen aan de AVG. “Op die manier weet de corporatie waar het momenteel staat,” legt Mitchel uit. “Op basis daarvan kunnen vervolgstappen worden bepaald en in welke volgorde deze moeten worden uitgevoerd. Verder is het wenselijk voor elke organisatie een privacy officer aan te stellen en heeft men baat bij een ‘werkgroep privacy’. Zo’n werkgroep zorgt ervoor dat je met medewerkers van verschillende afdelingen kan sparren en dat verschillende onderdelen tegelijkertijd kunnen worden aangepakt, waardoor je sneller kunt voldoen aan de AVG.”    Borgen van privacy “De meeste corporaties geven aan dat het traject naar AVG-gereedheid zo’n zes tot acht maanden in beslag neemt. De tijd dringt, zeker als je nagaat dat er nog veel moet gebeuren bij de meeste corporaties. En zelfs wanneer je als corporatie voldoet aan de wetgeving, ben je nog niet klaar met het traject. Om de privacywetgeving binnen de organisatie te borgen, is het belangrijk dat je het continu blijft verbeteren. Via een PDCA-traject (Plan, Do, Check en Act) kijk je steeds waar processen geoptimaliseerd kunnen worden.”    AVG-framework Om corporaties te helpen AVG-compliant te zijn en te blijven, heeft Audittrail samen met Mavim een AVG-framework ontwikkeld. “Compliant zijn betekent niet alleen dat er zaken uit de AVG ingeregeld zijn, maar ook dat deze geborgd worden. Dit kan met het framework door het in de organisatie te verankeren en mee te nemen in de eerdergenoemde PDCA-cyclus. Een voorbeeld hiervan is het verwerkingenregister. Dit kan per proces of processtap ingevuld worden en er kan een rapportage over worden uitgedraaid. Wanneer stappen in het proces veranderen, kan dit worden doorgevoerd in het framework en in het register voor dat proces. Ook het privacybeleid kan worden opgenomen met een opsteldatum, een revisiedatum en een verantwoordelijke. Dit kan gepubliceerd worden in het Mavim-portaal, waarbij elke medewerker het beleid kan zien en zijn of haar opmerkingen hierover kan geven. Ook dit kan gebruikt worden om het beleid continu te verbeteren en privacy écht te borgen in de organisatie. Al met al een tooling waarmee inzichtelijk wordt wat het niveau is van de organisatie ten opzichte van de AVG en wat er nog gedaan moet worden.” “Daarbij helpen wij corporaties ook met het uitvoeren van de privacy-nulmeting. Dit valt onder de Quickstart Implementatie AVG. Het plan dat uit de nulmeting voortkomt bevat onze bevindingen en geeft een lijst met stappen om aan de wetgeving te voldoen. Dit geeft een corporatie een ‘to do-lijst’, waarmee het in de hoofdlijnen het traject naar compliancy kan aflopen.”   Onderdeel maken Mitchel sluit af door te herhalen dat de tijd voor corporaties om te voldoen aan de AVG begint te dringen. “De klok tikt en de AVG is geen simpele wetgeving. Het is complex en kost tijd om in zijn geheel te implementeren. Afhankelijk van de inzet van medewerkers, de bereidheid voor verandering en de vrijgemaakte tijd kan de implementatie van de AVG enkele maanden duren. Begin met een nulmeting en krijg een goed overzicht van welke stappen je nog moet nemen. Neem daarna de tijd om de veranderingen te borgen, zodat je niet alleen voldoet aan de regelgeving maar privacy onderdeel maakt van je organisatie.” Bron: Audittrail.nl | Auteur: Johan van den Beld, CorporatieMedia Benieuwd welke stappen u nog moet nemen om te kunnen voldoen aan de AVG/GDPR? Wat de impact van deze vernieuwde wetgeving op uw organisatie is? Meld u dan aan voor het Webinar 'In 5 stappen voldoen aan de AVG/GDPR'.

Inhoud Voor de leesbaarheid zal ik eerst samenvatten wat AVG en New Public Management inhoudt. Daarna zal ik duidelijk maken waarom ik denk dat deze managementbenadering invloed kan hebben op de voorbereiding van publieke organisaties op de AVG. Alle organisaties binnen de EU moeten per 25 mei 2018 voldoen aan de AVG (GDPR) wetgeving. Dit houdt in dat er strengere normen worden gehanteerd als het gaat om het gebruik, de verwerking en het beheer van persoonsgegevens. Het doel van deze wetgeving is om consumenten te beschermen en duidelijke richtlijnen te scheppen voor organisaties over het waarborgen van deze bescherming van persoonsgegevens. Veel organisaties zijn nog aan het zoeken hoe ze hun processen en procedures zodanig kunnen inrichten dat er wordt voldaan aan deze wet. Organisaties moeten immers aan kunnen tonen dat ze verantwoord met persoonsgegevens omgaan. Bovendien hebben burgers het recht om te vragen ‘vergeten’ te worden of om persoonsgegevens over te dragen en hier zullen organisaties ook in moeten voorzien.   De betekenis van New Public Management New Public Management (NPM) is een term die opkwam in de jaren ‘80. Deze term beschrijft de trend om managementtechnieken uit de private sector toe te passen op publieke organisaties. Want in die tijd ervoeren de burgers een grote kloof tussen publieke en private sector ten aanzien van doelmatigheid en efficiëntie. Te veel bureaucratie belemmerde een doeltreffende overheid, waardoor tevredenheid van burgers over de dienstverlening van hun overheid afnam. Volgens NPM zou de publieke sector een stuk beter gaan presteren wanneer managementtechnieken uit de private sector gebruikt zouden worden. Gemeenten zouden bijvoorbeeld meer in termen van ‘klanten’ en ‘producten’ moeten gaan denken waar het burgers en gemeentelijke dienstverlening betreft. Dit zou moeten leiden tot meer doelmatig, doeltreffend en zuinig werken binnen gemeenten, provincies en ministeries.   De keerzijde van New Public Management Na zoveel jaren NPM worden er ook kritische geluiden waargenomen over de toepassing van bedrijfsmatig werken binnen de publieke sector. Zowel de kenmerken van de publieke sector als het te ver doorschieten in zakelijk denken leiden tot herbezinning over de toepassing van private managementprincipes. Zo is de relatie tussen gemeenten en burgers niet vergelijkbaar met de klantgestuurde markt voor een bedrijf. Ook zorgt de blijvende aanwezigheid van verhoudingsgewijs veel hiërarchische lagen binnen diezelfde gemeenten voor veel meer interne stroperigheid. Daardoor ontstaat inefficiëntie en is er gewoon minder aandacht voor de uitvoering. Een voorbeeld van een zaak waarbij men is doorgeschoten in zakelijk denken is de Ceteco-affaire, waarbij de provincie Zuid-Holland in het geheim voor ongeveer twee miljard gulden bankierde met als doel het maken van winst. Hoewel de provincie in het begin geld verdiende, leed zij vervolgens enorme verliezen door 47,5 miljoen gulden uit te lenen aan het noodlijdende handelshuis Ceteco, dat uiteindelijk failliet ging.   NPM en BPM Ondanks bovengenoemde kanttekeningen is NPM ingekapseld in het managementdenken binnen de overheid. Met de beginselen achter NPM zijn wel degelijk verbeteringen bereikt in de werking van publieke organisaties. En er zijn nog steeds verbeteringen mee te behalen, zolang de toepassing ervan maar plaatsvindt met inachtneming van publieke waarden. Dus geen fixatie op kostenbeheersing en efficiency, maar wel aandacht voor deze factoren met behoud van legitimiteit en democratische aansprakelijkheid. Mogelijke verbetergebieden zijn proces- en risicomanagement. Een onderdeel van bedrijfsmatig werken is namelijk het grondig belichten en inrichten van de processen, het kritisch doorlichten van de effectiviteit ervan en het doelgericht toepassen van mensen, technieken en middelen. En het inschatten en beheersbaar maken van de bijhorende risico's plus continue monitoring hiervan.   Voldoen aan de AVG met NPM Terug naar het voldoen aan de AVG: ik durf te stellen dat een juiste toepassing van NPM het voldoen aan deze wetgeving helpt te vereenvoudigen. Bijvoorbeeld door met de toepassing van procesmanagement en risicomanagement. Met procesmanagement kan worden bereikt dat de impact van deze wetgeving zichtbaar wordt. Processen in kaart hebben, levert inzicht en overzicht op in een operationeel procesmodel. Met dit overzicht is precies te zien op welke plekken in de organisatie de wetgeving op persoonsgegevens van toepassing is, op welke momenten welke persoonsgegevens gebruikt worden en op welke plek deze gegevens worden beheerd. Door inzicht in het proces is overzichtelijk op welke manier persoonsgegevens worden verzameld, hoe en door wie deze verwerkt worden en waar en tot wanneer deze worden opgeslagen. Hierdoor is het ook mogelijk risicomanagement toe te passen. Met de informatie die wordt gecreerd vanuit procesmanagement kunnen de risico’s worden geïdentificeerd. Daarmee kunnen vervolgens stappen worden ondernomen voor de beheersing en monitoring daarvan. Kortom, het in kaart brengen van de processen en risico’s levert inzicht en overzicht op. Daarmee kunnen processen en wet en regelgeving aan elkaar worden gekoppeld. Het maakt overzichtelijk waar privacygevoelige gegevens gebruikt en bewaard worden. Met dit inzicht en overzicht kan er een fit-gap analyse worden uitgevoerd ten aanzien van de wijze waarop de omgang met persoonsgegevens op dit moment is ingeregeld en hoe dit ingeregeld zou moeten zijn om te voldoen aan de AVG. De te nemen stappen worden snel inzichtelijk en er kan doelmatig en doeltreffend worden opgetreden om het operationele model aan te passen. Auteur: Rick van DongenWilt u meer weten over hoe procesmanagement kan helpen bij het voldoen aan de AVG? Volg dan het webinar ‘In 5 stappen voldoen aan de AVG/GDPR’. Meld u aan voor het webinar ‘Mavim AVG/GDPR framework: aantoonbaar in control’.  

Inhoud AVG compliant worden, maar vooral ook blijven, is een uitdagende en veelomvattende opdracht. Het gaat immers niet alleen om privacygevoelige gegevens die op allerlei plekken zijn opgeslagen, maar vooral ook om het menselijk handelen en de verwerking van deze persoonlijke gegevens door uw medewerkers. Vandaar de vraag: “Hoe staat u ervoor?” Bent u klaar voor 25 mei 2018? Als specialist op het gebied van security en IT draagt u de verantwoordelijkheid voor een project waarbij u de hele organisatie moet meekrijgen en waarvoor u nog een relatief korte periode de tijd heeft. Voldoen aan de AVG regelgeving is dus al geen gemakkelijke klus, maar daarnaast wilt u zowel aan interne als externe stakeholders kunnen aantonen waar uw organisatie staat en in hoeverre u compliant bent. Gelukkig is het bewustzijn van de AVG op managementlevel groot:   “Recent onderzoek van Microsoft onder 600 bedrijven laat zien dat 84% van de IT managers en 72% van de directeuren weet dat deze wet van toepassing is op zijn organisatie.”   De echte uitdaging: AVG bewustwording bij iedereen Traditioneel zijn de onderwerpen security en privacy sterk verbonden met IT. Dat laat het recente onderzoek van Microsoft ook zien. Dit is echter kort door de bocht – juist de medewerkers zijn vaak nog onvoldoende geïnformeerd:   “22% van de medewerkers is zich niet bewust van het risico op boete bij overtreding. Het niet bewustzijn is de grootste valkuil, omdat elke medewerker een risico vormt als er niet goed met privacygevoelige gegevens van klanten wordt omgegaan”   Hulp bij AVG: van diagnose tot oplossing door het bundelen van krachten Wij geloven dat de besproken problematiek rondom AVG goed aangepakt kan worden door het bundelen van krachten. Niet alleen binnen uw organisatie, maar ook in onze aanpak. Die aanpak verenigt drie partijen met elk hun eigen expertise:    Audittrail Audittrail is gespecialiseerd in privacy en informatiebeveiliging en kan uw organisatie met juridische vakkennis het juiste inzicht geven over de mate waarin u momenteel voldoet aan de AVG regelgeving. Ook biedt Audittrail inzicht en handvatten om concreet aan de slag te gaan richting AVG compliance. Ze kijken daarbij naar het volledige beeld van uw organisatie, de processen en mensen. Motion10 Naast de impact van AVG op uw organisatie, processen en mensen, heeft de regelgeving ook impact op uw systemen. Een voorbeeld hiervan is uw digitale werkplek en de inrichting daarvan: het specialisme van Microsoft partner Motion10. Ook het begeleiden van de verandertrajecten en adoptie van wijzigingen in deze digitale werkplek valt onder hun expertise. Mavim Mavim helpt u om alle inzichten rondom uw organisatie, processen, mensen en systemen in relatie tot de AVG vast te leggen, te visualiseren en er over te communiceren. Dit biedt u een dynamisch platform waarop u de weg naar continue AVG compliance kunt borgen – nu en in de toekomst. Met Mavim maakt u de impact van elke verandering inzichtelijk.   Bewustzijn creëren vanuit een positieve boodschap Uiteindelijk draait de AVG om een betere bescherming van privacy, van ons als individuen. Een belangrijke doelstelling, waar u met uw organisatie uw bijdrage aan kunt leveren. Het is belangrijk dat u kunt uitleggen waarvoor en waarom u specifieke gegevens gebruikt. U kunt hier naar kijken als administratieve last, maar het biedt u óók meer kansen: het vaker vragen om toestemming van een klant of prospect betekent meer contactmomenten en dus de mogelijkheid om uw klantrelatie verder uit te bouwen. Daarnaast hebben uw contacten aangegeven akkoord te zijn met uw communicatie en tonen zij daarmee interesse in uw product of dienst. Uw communicatie- en marketingactiviteiten kunnen zo doelgerichter worden.   Aan de slag Kortom, de AVG stelt u voor een complexe uitdaging die tegelijkertijd kansen biedt. AVG compliance vraagt om kennis en inzicht in de wetgeving, informatiestromen, processen, inrichting en gebruik van uw digitale werkplek. Een kwart van de Nederlandse bedrijven geeft dan ook aan hulp te willen bij hun reis naar AVG compliance. Wij – Audittrail, Mavim en Motion10 – houden van doen en bundelen onze krachten om te zorgen dat u deze uitdaging aankunt, uw kansen grijpt en continu en aantoonbaar voldoet aan de regelgeving.   Meer weten of direct aan de slag met AVG compliance? Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens van Europese burgers verwerken of bewaren, voldoen aan de AVG (Algemene Verordening Persoonsgegevens, ook wel bekend als GDPR). Niet voldoen aan de nieuwe Europese wetgeving kan naast reputatieschade substantiële boetes opleveren. Aantoonbaar AVG/GDPR compliant worden en blijven vereist kennis van en inzicht in de wet, informatiestromen, processen, inrichting en gebruik van een digitale werkplek. Microsoft-partners Audittrail, Mavim en Motion10 bundelen hun expertises om u hierbij te helpen.Wilt u meer weten of direct aan de slag? Neem contact met ons op! Of download de whitepaper Aan de slag met AVG!

Inhoud Als national security officer bij Microsoft Nederland wordt Martin Vliem veelvuldig het hemd van het lijf gevraagd over de GDPR. “Ik ben blij dat-ie van kracht wordt. In plaats van beperkingen, zie ik juist veel kansen.” Het is een heet hangijzer, maar Martin Vliem vertelt ook graag over andere thema’s die hem bezighouden – als het even kan zonder ‘Wij van Wc-eend’-boodschap.   Wat houdt jouw rol bij Microsoft in? “National security officer is eigenlijk een soort ambassadeursrol. Ik ga veel de dialoog aan met klanten, industriepartners, belangenverenigingen en autoriteiten op de domeinen informatiebeveiliging, privacy en compliance.”   Waarom is dat nodig? “We hebben een heel brede missie statement vanuit Microsoft: we proberen iedereen te helpen om meer te bereiken. Daarin speelt technologie wat ons betreft een belangrijke rol: het kan bedrijven steeds meer helpen om te innoveren, om klanten beter bedienen, om hun eigen operatie te verbeteren, noem maar op. In de markt wordt erkend dat er veel potentiële waarde zit in wat met een modewoord ‘digitale transformatie’ wordt genoemd. Eén essentieel punt: als er überhaupt geen vertrouwen is in die technologie – waarvan bedrijven afhankelijker worden – gaat het niet gebeuren. Microsoft kan geen vertrouwen verkopen, dat moeten we verdienen.”   Uit welke ingrediënten bestaat dat vertrouwen en hoe spring je daarmee om? “De drie thema’s waarmee ik me bezighoud – informatiebeveiliging, privacy, compliance en de balans daartussen – zijn heel vaak onderliggend aan de vetrouwensdialoog. Intern probeer ik ervoor te zorgen dat onze mensen daarover kunnen praten. Extern begeleid ik klantentrajecten, maar heb ik ook heel erg een luisterfunctie. Als Microsoft iets met technologie doet, zijn er heel veel organisaties en instanties die daar wat van vinden, en waar we graag van leren. Dus voer ik gesprekken met autoriteiten, toezichthouders: wat wij hier doen, past dat binnen de huidige kaders, of moeten wij misschien dingen veranderen? Het is echt tweerichtingsverkeer.”   Ook klanten zijn bij jou aan het juiste adres. Waarvoor kunnen ze bij de national security officer terecht? “Klanten willen heel graag, maar zien naast de voordelen van digitale transformatie ook een heleboel beren op de weg. Ze overwegen hun intellectuele eigendom met ons te delen, ze gaan informatie in een Microsoft-omgeving verwerken of halen onze technologie in huis. Wat als er iets misgaat, wat als er een lek is, wat als data niet op de juiste manier beveiligd wordt, hoe zit het met de wet- en regelgeving rondom privacy? Er zijn veel onderwerpen die klanten zorgen baren. Ik of mijn collega’s worden betrokken in trajecten om aan te geven wat Microsoft doet, maar wat ook we níet doen en om te vragen wat ze wíllen: transparantie is ontzettend belangrijk.”   Het ís toch ook best spannend om data uit handen te geven? “Ja, het leeuwendeel van de reacties heeft te maken met de angst om controle te verliezen, want als je het uit handen geeft, word je ook afhankelijk. Wellicht geruststellend: alles wat wij doen, wordt getoetst door derden. De rapportages en certificeringen die daaruit voortkomen, zijn toegankelijk voor onze klanten. Dat is een heel belangrijke basis. Wij kunnen onszelf wel op de borst kloppen en zeggen dat we het goed voor elkaar hebben, maar dan wordt het een beetje ‘Wij van Wc-eend adviseren Wc-eend.’ Veel van de vragen die we krijgen zijn emotioneel getint. Niet verbazingwekkend: je hoeft maar ‘Donald Trump’ in te typen en je krijgt zorgwekkende berichten bovenaan je zoekresultaten. Dat speelt. Wat is er waar van het backdoors-verhaal: achterdeurtjes in technologie waardoor overheden er zomaar bij kunnen? Als emoties hoog oplopen, voeren wij het terug naar een rationele discussie en dan is het prettig dat we bewijslast kunnen overleggen. Onafhankelijke verklaringen over hoe wij dingen doen en hoe onze processen lopen. Het verlies aan controle proberen we te compenseren met transparantie.”   In het kader van 25 mei 2018: kun je data protection officers hulpmiddelen bieden vanuit IT? “Ontzettend veel. En ik wil organisaties, groot en klein, ook echt op het hart drukken om met de GDPR aan de slag te gaan. Maak een stappenplannetje en start met het in kaart brengen in welke scenario’s en waar je persoonsgegevens verwerkt. Als je eenmaal weet wat je hebt, probeer je dat onder controle te brengen. Vervolgens komt de informatiebeveiliging om de hoek kijken. En tot slot moet je laten zien dat je in controle bent over wat je hebt gedaan. Dus één: identificeren, twee: beheren, drie: beschermen en vier: rapporteren. Bij die vier stappen spelen data protection officers een belangrijke rol. Er zijn partijen die zeggen ‘Koop dit of je loopt het risico op torenhoge boetes’. Dat vind ik iets te kort door de bocht.”   Maar jullie willen toch ook gewoon producten verkopen? “Natuurlijk heeft Microsoft producten die kunnen helpen; er is volop tooling beschikbaar voor alle vier die stadia, maar de waarde van de technologie die we verkopen, zit ‘m in andere dingen dan puur alleen informatiebeveiliging. We zijn een breed huis, leveren veel technologie die kan helpen bij allerlei vormen van digitale transformatie en daarin is vertrouwen een voorwaarde. Dus willen we ook informatiebeveiliging en alle mogelijkheden daartoe inbedden in dat platform en daar niet per definitie los heel veel geld aan verdienen. Het is onderdeel van een totaalpakket.”   Hoe kijkt Microsoft eigenlijk tegen de nieuwe wetgeving aan? “We geloven dat technologie waarde kan bieden. Tegelijkertijd zien we dat heel veel organisaties een worsteling hebben. Of je nou kaartjes verkoopt aan reizigers of een loyaliteitsprogramma aanbiedt waarbij klanten punten kunnen sparen voor kortingen, in bijna elk scenario heb je te maken met de verwerking van persoonsgegevens. De uitgangspunten vanuit wet- en regelgeving zijn oud en achterhaald, dus dat kraakt en weerhoudt. De GDPR is up-to-date, bijgewerkt naar de stand van de tijd en dat schept een kader waarvan wij denken dat het innovatie zelfs mogelijk maakt. Ook wij vinden dat je persoonsgegevens goed moet beveiligen, dat je transparant moet zijn over waarvoor je ze verwerkt. Juist omdat je er heel mooie dingen mee kunt doen. De GPDR is complex, maar wij staan er eigenlijk achter. Natuurlijk, je móet voldoen, maar misschien wíl je wel voldoen. Het kan heel positieve elementen met zich meebrengen.”   Waarom zijn jullie zo in de wolken met de Cloud? “Dit is een beetje ‘Wc-eend’, maar ik geloof echt dat het zo is: het kan de digitale transformatie enorm helpen. Als klant ga je op een GDPR-compliant Cloud zitten. Dat betekent nog niet dat je alle regels naleeft, maar heel veel van de maatregelen die nodig zijn, worden dan al door Microsoft – of een andere cloudleverancier – ingevuld. Je haalt een solide basis in huis. Datzelfde geldt voor security. Er zijn zoveel zaken waarop je als organisatie moet letten, dat ik denk dat het slim is om dat stuk uit handen te geven. Het is niet zo dat daardoor veel werkplekken verdwijnen, integendeel. Je kunt banen wel beter inrichten: je hebt tijd over voor de dingen waarmee je echt het verschil kunt maken.”   Microsoft ontslaat bedrijven niet van hun eindverantwoordelijkheid? “Zelfs als heel veel bij ons is ondergebracht, blijven klanten verantwoordelijk om te voldoen aan wetgeving die op hen van toepassing is. Of aan eigen informatiebeveiligingsbeleid of continuïteitseisen vanuit de organisatie. Op basis van wat wij al doen, moeten ze extra maatregelen treffen. InSpark bijvoorbeeld speelt daarin een heel belangrijke rol. Als hun klanten iets met Cloud overwegen, hebben zij alle kennis in huis voor openstaande vragen over de inrichting, voorlichting naar medewerkers en eventuele additionele investeringen in technologie of proceskeuzes. Ons partnernetwerk is in dat opzicht van onschatbare waarde.”Bron: Derk van der Woude | InSparkMartin Vliem is spreker op hét GDPR-event van het jaar: GDPR, the day after tomorrow dat op 24 mei a.s. plaatsvindt bij InnStyle in Maarssen. Het evenement draait uiteraard om de GDPR/AVG die de volgende dag van kracht wordt, maar gaat vooral in op hoe je - in plaats van te werken aan een tijdelijke oplossing - 'voor altijd' aan huidige én toekomstige privacywetgeving kunt voldoen.   > Lees hier de blog 'AVG: alleen maar verplichtingen of een unieke groeikans?'

Inhoud Businesses affected by the European Union’s General Data Protection Regulation (GDPR) have the 25 May 2018 compliance deadline marked in their calendars. The new legislation is a milestone on a journey into a new era, where data is the fuel powering companies of all shapes and sizes, from all sectors. Consider this: 90 percent of all the world’s internet data was generated in the last two years. This exponential growth in the volume of data we generate – coupled with technology that can extract actionable, predictive insights from it – is empowering companies to offer more personalized experiences to customers, achieve unprecedented efficiencies and bring new products and services to market faster than ever. The opportunity is enormous, and business leaders across Western Europe looking to seize it. We are proud to be working with Yara in Norway; FamilieHulp in Belgium, UCN in Denmark; Alajmo in Italy, and many more customers across the region to help them capture that opportunity and move them along their GDPR journey. Given this huge shift in how business gets done, an updated governance framework for data protection is only sensible. But business leaders are realizing that GDPR is an opportunity for broad business transformation – not just a compliance hurdle they need to clear. This is because the benchmarks GDPR sets out for compliance are the very same benchmarks a company needs to meet if it is going to become a data-driven business. Generally speaking, there are two ways in which companies are approaching GDPR compliance – while the first is absolutely essential, the second is what will unlock major competitive advantages.   Countdown approach: when focus is limited to compliance One approach is to count backwards from the 25th and put a compliance calendar in place. This is a sensible method when resources are constrained and time is limited. In prepping for ‘GDPR-day,’ there are four steps to keep front of mind ensuring you stay on course. The first step is to discover what data your company has and how it is used. Then establish processes to govern who manages this data. Then, you need to make sure it’s protected. Finally, you need to ensure you can offer transparent, clear reporting on how your customers’ data is treated should regulators require it. Yet increasingly, companies are looking at an approach best described as ‘compliance+’, that goes beyond discovery, management, protection and reporting to anticipate potential future developments and preparedness. For example, opting for cloud vendors who are committed to complying with all relevant regulations – at a national, European and international level – provides added confidence.   Using GDPR to transform your business From complying to competing, companies that are using GDPR as a valuable milestone to drive business transformation will emerge with a significant advantage. They are already empowering their people to seamlessly collaborate and access information, anywhere and across any device. In addition, they see the potential of using technology like artificial intelligence (AI) and machine learning to stay a step ahead of customer needs and competitive threats. However, leaders in these organizations know that technology alone is not enough. Innovations like AI have a lot of potential, but if employees are not properly capturing, storing, using and protecting data, the value the technology offers is diminished. After all, only accurate data can yield dependable insights. Further, all the insights in the world won’t help your business if workers across your business aren’t actively using them as part of their everyday jobs.  Savvy businesses recognize that the ability to manage and protect data is not only a compliance necessity, it’s a must for building trusted relationships with customers. According to Harvard Business Review, 97% of people expressed concern that their online personal information might be misused. As every company becomes a data-driven company, being able to offer full transparency around data usage and data policies will be key. Given the importance of data management, forward-looking leaders see GDPR as way to help build a data driven culture in which each person – from intern to CEO – sees him or herself as a data champion. Using GDPR as a ‘hook,’ they use the opportunity to clearly communicate their vision of how data will take their businesses forward in a cloud-first world. This means ensuring employees across divisions understand their role in using data responsibly to delight customers, unlock growth opportunities and ultimately outperform their competition.  The bottom line for business leaders: recognizing 25 May as a catalyst for growth sets you up to thrive as we enter the new data age.Bron: PulseMartin Vliem is spreker op hét GDPR-event van het jaar: GDPR, the day after tomorrow dat op 24 mei a.s. plaatsvindt bij InnStyle in Maarssen. Het evenement draait uiteraard om de GDPR/AVG die de volgende dag van kracht wordt, maar gaat vooral in op hoe je - in plaats van te werken aan een tijdelijke oplossing - 'voor altijd' aan huidige én toekomstige privacywetgeving kunt voldoen.   > Lees hier de blog 'Vertrouwen kun je niet kopen, dat moet je verdienen'

Inhoud Tim Geenen werkte jarenlang bij Bannerconnect en richtte onlangs Faktor op, een nieuwe speler in de advertisingmarkt die inspeelt op de GDPR-wetgeving die in mei van kracht wordt. Daarnaast is hij voorzitter van de IAB Taskforce Programmatic . In het kader van onze Special over programmatic waren dat twee goede redenen voor ons om met hem in gesprek te gaan. Een interview in twee delen; vandaag deel 1 vanuit zijn rol bij IAB Nederland. Een gesprek over de complexiteit van programmatic marketing, de katalyserende rol ervan, waarom cookies kapot zijn, transparantie en het gat tussen marketing en programmatic - en hoe het te overbruggen.  Tim Geenen is mede-oprichter van de IAB Taskforce Programmatic, die eerder de naam Automated trading had. “En daarvoor heette het nog Performance advertising”, blikt Geenen terug. "We begonnen ermee in 2009, Marco Derksen [oprichter Marketingfacts, red.] was destijds voorzitter van IAB Nederland. Ik weet nog dat ik bij hem kwam met het idee voor de Taskforce: ‘Er gebeurt iets heel spannends, er is nog geen naam voor, maar via exchanges wordt al wel veel verkeer verhandeld en worden acquisities gedaan. We moeten daar iets mee.’ De technologie was toen nog een beetje een black box."   Lead “We organiseerden een meeting bij Telegraaf Media Groep met 19 participanten, dat waren alle partijen die al iets mee deden. Het doel was nader tot elkaar te komen. Toen is besloten het initiatief bij IAB onder te brengen en is de taskforce opgericht. We hebben als markt dus zelf de lead genomen. Dat lag wel gecompliceerd, want hoe ga je iets organiseren waarvan bijna niemand nog weet dat het bestaat?" “Na een periode van afwezigheid ben ik nu weer voorzitter van de Taskforce Programmatic. We werken met een kerngroep van 10 mensen, allemaal erg toegewijd. We organiseren een award show, geven documenten uit over transparantie en nieuwe trends zoals headerbidding, houden een uitverkochte borrel op de dmexco in Keulen en geven vijf of zes sessies in samenwerking met de BVA [officiële vertegenwoordiging van Nederlandse adverteerders, red.]. En binnenkort volgt nog een event over blockchain.”   Merken “De animo om deel te nemen wordt ook steeds breder: out of home, televisie en partijen uit de marketing- en technologiehoek sluiten zich aan. En nog opvallender is dat steeds meer merken aansluiten. Er zijn er nu drie die deelnemen aan de Taskforce zelf: ING, bol.com en TUI.”   “Opvallender is dat steeds meer merken aansluiten bij de Taskforce." "Vroeger was het ondenkbaar dat merken meededen, want die begrepen nog niet wat zich afspeelde. Er werd weliswaar veel performance-based ingekocht, maar dat gebeurde allemaal via bureaus en die kochten weer in via netwerken.” "Nu zie je de trend dat adverteerders steeds meer in-house doen. Dat is begonnen met data en de vraag hoe je inzichtelijk maakt wat er met advertentie-uitgaven gebeurt. Iedereen wil kanalen aan elkaar verbinden, dan kom je snel aan de mediakant terecht. De inkoop ervan was een skill die voorbehouden was aan mediabureaus, maar dat is niet langer het geval."   Complex Wellicht dat merken gedreven worden door de slechte naam die mediabureaus kregen door de 'ANA Papers’. Dat rapport van de Association of National Advertisers, waarin de intransparantie van de markt aan de kaak werd gesteld, deed flinke stof opwaaien in de industrie. Hoe kijkt Geenen daarnaar? “Dat rapport heeft natuurlijk veel opwinding opgeleverd, maar ook een brede discussie. En het is te makkelijk om alleen naar de mediabureaus te wijzen. Iedere schakel in de keten, die heel gecompliceerd is, houdt die keten in stand.”   “Het is te makkelijk om alleen naar de mediabureaus te wijzen." "Er wordt vaak gewezen naar de mediabureaus, die zitten in het verdomhoekje, maar adverteerders dragen zelf ook schuld. Want het hele proces gaat goed, totdat je bij een inkoopafdeling terechtkomt en er een contract afgesloten moet worden. Dan gaan opeens de prijzen omlaag en dus gaan bureaus op zoek naar andere verdienmodellen. En dat is niet altijd in het belang van de adverteerder." "De belangen zijn dus complex. Het hele programmatic ecosysteem is sowieso complex geworden, met zo veel derde partijen en zo veel technologie erbij, dat moeilijk bij te houden is wie welke waarde levert. En voor mij is dát primair de discussie: het gaat er niet zozeer om waar marge zit of die verdwijnt, maar meer: wie doet wat en wat is dat waard?”   “Voor mij is dát primair de discussie: wie doet wat en wat is dat waard?” Programmatic Awards Die vraag is een belangrijk agendapunt van de taskforce. "Wij brengen mensen vooral samen, de sessies in samenwerking met BVA zijn daar een goed voorbeeld van. Maar ook de mensen achter de schermen, dat was het doel van de Programmatic Award Show.” Die awards komen voort uit een persoonlijke frustratie van Geenen. "Ik moest een keer bij de AMMA’s een innovatieve case uitleggen en ik had niet het idee dat de mensen in de jury het begrepen. Dan kun je twee dingen doen: vloeken of denken dat er iets mist, dat het nog niet bestaat in deze wereld." “Ik koos voor dat laatste. Met de Award Show willen we ook de nieuwe rollen in het programmatic ecosysteem een podium geven: de campagnemanagers, de yield managers, de demand managers, supply managers. Dat hebben we gedaan, waardoor er mensen op dat podium stonden die je normaal gesproken nooit zou zien.” "Wat me ook opviel, was dat de merken het heel serieus namen. Iedereen die genomineerd was, was aanwezig op het event, met partners en bureaus. Ze stonden heel serieus op het podium. En het werkte ook intern. Een van de adverteerders die was genomineerd stuurde het nieuws over hun nominatie intern door aan de hele internationale marketingorganisatie. Zo van: we zijn in Nederland genomineerd met deze programmatic-case. Dus we hebben wel iets moois weten neer te zetten en dat zal nog wel jaren blijven bestaan." Met de Awards richt de taskforce zich op de mensen die al met programmatic advertising werken. Natuurlijk is er ook aandacht voor marketeers die dat nog niet doen en zich erin willen verdiepen, o.a. met de sessies die het samen met BVA organiseert.  Geenen: “BVA heeft veel adverteerders als lid en IAB heeft veel kennis in huis over dit onderwerp, dus we dachten: laten we dat samenbrengen. En dat wordt gewaardeerd. Er is altijd veel interactie met de deelnemers; zij voelen zich vrij om erover te discussiëren, niemand wil ze iets verkopen.”   Katalysator Op de website van de taskforce valt te lezen: De doelstelling van de taskforce Programmatic is om het programmatic eco-systeem volwassener en breder te maken. De toekomst van media, marketing en advertising is data driven en programmatic is de katalysator. Wat wordt bedoeld met die rol van katalysator? “Dan moeten we eerst even een stap terug maken. Vroeger werden media handmatig ingekocht. Op een gegeven moment kwamen de inkopers zelf ‘in control’: 'deze campagne wil ik zo vaak laten zien', 'dit is mijn budget', dat konden ze allemaal zelf instellen.” "Daar kwamen steeds meer rauwe data uit, die het vertrekpunt werden van veel meer. Je kon opeens analyseren op impressieniveau en elke impressie heeft 80 tot 100 datakenmerken. Daarvoor werd alleen gekeken over bijvoorbeeld duizend impressies met elk 10 kenmerken. De hele benadering werd daardoor anders, want je kon meer zeggen over de verschillende kanalen." “Daar komt bij, dat de data actionable zijn. Je kunt bijvoorbeeld een groep destilleren van mensen die een bepaalde actie hebben gedaan, zoals een banner aanklikken. Je pakt al die cookie-id’s en maakt er een nieuwe campagne op aan. Dat denken op het laagste niveau van data, op consumentniveau - of in ieder geval op cookie-niveau - is echt in programmatic ontstaan.”   “Het denken op het laagste niveau van data, op consumentniveau is echt in programmatic ontstaan." “En dan kom je bij de katalysatorfunctie: geen enkele andere tak van het marketingvak, of het nu contentmarketing of social is, was vanaf de start primair data-driven. Programmatic wel. En elk nieuw kanaal dat gedigitaliseerd wordt, wordt aangesloten op programmatic.” "Het mobiele kanaal heeft de handmatige inkoop helemaal overgeslagen, dat werd direct volledig geautomatiseerd. Als televisie digitaler wordt, zullen daarbij programmatic technieken gebruikt worden, out of home heeft bij de digitalisering ook programmatic omarmd en voor VR zal het niet anders zijn."   Cookies Dat werken op cookieniveau kent wel z’n grenzen, volgens Geenen. De cookie is namelijk “extreem volatiel”, zegt hij. “Minstens de helft van alle cookies is morgen niet meer herkenbaar, die bestaan niet meer. Daardoor begint het spel elke dag opnieuw.” Is dat niet overdreven kort? Niet volgens Geenen: "Zeker niet. Dat verval ligt zo hoog door de inmenging van derde partijen en met de inmening van mobiele kanalen in programmatic. Browsers gooien soms cookies weg, gebruikers hebben antivirussoftware, Safari staat geen third-party cookies toe na 24 uur - het is een heel complexe wereld. Binnen app-omgevingen bestaat een cookie niet, daar heb je app-id’s, maar die worden soms ook ‘geflusht', bijvoorbeeld door Apple.”    “Het hele meetsysteem waarmee wij consumenten herkennen, in de hele digitale industrie, is extreem kapot." "Partijen als Twitter, Google en Facebook hebben daar enorm voordeel bij dankzij hun 'wall gardens’, want hun cookies zijn veel meer persistent. En bovendien ben je vaak ingelogd in die omgevingen." Geenens conclusie is duidelijk: “Het hele meetsysteem waarmee wij consumenten herkennen, in de hele digitale industrie, is extreem kapot. Cookies zijn ook nooit voor bedoeld om op deze manier gebruikt te worden."   Arrogantie En zelfs als merken personen goed herkennen, betekent dat niet automatisch dat het goed gaat. Want een merk moet een persoon ook nog een relevante boodschap opdienen. Relevant voor die persoon, welteverstaan.  "Adverteerders denken altijd dat ze extreem relevant zijn voor de consument, maar dat is natuurlijk niet zo. Als we nu naar buiten lopen, de straat op, en we vragen aan mensen 'Vind je advertising leuk?', kun je de antwoorden wel voorspellen.”   "Adverteerders denken altijd dat ze extreem relevant zijn voor de consument, maar dat is natuurlijk niet zo." "Ik heb er een carrière mee gemaakt, maar ik blijf wel relateren aan die mensen. Want wat wij doen, is natuurlijk niet per se waarop zij zitten te wachten. Terwijl mensen merken wel vaak kennen en herkennen dankzij die uitingen, dat is de paradox.” “Merken hebben een bepaald soort arrogantie: mensen zitten hierop te wachten. Vanuit de hele mediawereld is er ook een extreem respect voor adverteerders, want daar zit natuurlijk het geld. Maar als ik kijk hoe consumenten omgaan met merken, is dat vaak een stuk minder respectvol. Kijk maar naar de tweets die mensen sturen naar bedrijven als Ziggo.”   Ad spend In het Ad Spend-rapport van IAB Nederland over 2016 valt te lezen dat de markt voor display-advertising zo’n 690 miljard euro bedraagt. Het separate rapport dat inzoomt op programmatic advertising laat zien dat 225 miljoen euro daarvan programmatic verhandeld wordt, bijna op de kop af eenderde van het totaal.  Dat lijkt nog relatief laag, maar schijn bedriegt, legt Geenen uit. “Programmatic wordt in dit rapport wat mij betreft te beperkt toegepast, want Google en Facebook worden niet meegenomen; die worden als 'automated media' betiteld. Maar er gaat naar die partijen een groot bedrag waarvan je ook kunt beargumenteren dat het om programmatic gaat.”   “Alles wat geautomatiseerd ingekocht wordt, kun je in principe toewijzen aan wat we nu programmatic noemen." "Mijn mening is: alles wat geautomatiseerd ingekocht wordt, kun je in principe toewijzen aan wat we nu programmatic noemen. Of we moeten een splitsing maken van 'automated media platforms' als Instagram, Facebook, Google en Snapchat. Ook dat zijn geautomatiseerde platformen waarop mediabureaus inloggen en hun campagnes verder distribueren." De verwarring maakt duidelijk dat er geen eenduidige definitie is van ‘programmatic advertising’, maar een ding is duidelijk, benadrukt Geenen: “De programmatic-markt is groter dan die 225 miljoen."   Transparant Begin volgend jaar zit Geenens termijn als voorzitter van de taskforce erop en draagt hij zijn taken over. Wat moet de gemiddelde marketeer tegen die tijd over programmatic weten? "Dat programmatic transparant kan zijn. Kán zijn, inderdaad. Daar hebben we veel moeite in gestoken, bijvoorbeeld in die BVA-sessie. We hebben zelfs een document gemaakt met vragen die je als adverteerder kunt stellen aan je bureau." "Het grootste compliment dat we daarover kregen was van een groot merk. Zij vertelden dat ze in gesprek waren met een leverancier die een salespitch gaf. Dankzij onze vragenlijst moest die leverancier een heel andere presentatie openen om uit te leggen wat ze nou precíes doen. Dat vonden de mensen van dat merk heel fijn, ze voelden zich een stuk zelfverzekerder.”   Attributie Er is dus een kennisgat dat gedicht moet worden, voordat we toekomen aan dat ándere gat tussen marketing en programmatic advertising: attributie. “Ik had vaker gesprekken met marketeers waarin ik merkte dat we totaal niet dezelfde taal spraken. Zij hebben het over merken en beleving en ik heb het over cookies en targeting. Dat matcht niet. Dat verschil is symptomatisch en met de taskforce proberen we die twee werelden bij elkaar te brengen.”   “Marketing heeft het over merken en beleving en programmatic over cookies en targeting. Dat matcht niet." "Aan de onderkant van de markt komen steeds meer bèta’s binnen. Die zijn heel goed en die kunnen campagneresultaten tot drie cijfers achter de komma berekenen. Maar dat is hún definitie van resultaat. Tegelijkertijd hebben marketeers soms nog moeite om aan te tonen dat een stijging in marketingbudget ook meer oplevert op organisatieniveau.” Kan dat niveau van attributie ooit bereikt worden? “Ja, als we offline erbij betrekken. Negentig procent van alle aankopen vindt plaats in fysieke winkels. Wij praten misschien veel over digitale aankopen en partijen als bol.com en Coolblue, maar het meeste geld wordt offline besteed. Dat moeten we betrekken in onze datastromen.” “In m’n vorige baan, bij Bannerconnect, hebben we een pilot met een reisorganisatie gedaan. De vraag daarbij was of aangetoond kon worden dat mensen die naar reiswinkels kwamen online advertenties hadden gezien. Dat hebben we geprobeerd met beacons en allerlei andere technologie. Maar dat is redelijk gelimiteerd en het vergt veel handwerk, dus het is veel werk om het te weten te komen. In de toekomst zal dat veel makkelijker gaan.” “Apple is erg ver op dit vlak. Zij hebben het goed voor elkaar, bijvoorbeeld met hun Apple Store-app. Bijenkorf is ook goed bezig. Mijn rekeningnummer is gekoppeld aan mijn e-mailadres, dus als ik in de fysieke Bijenkorf m’n pinpas gebruik, krijg ik gelijk een e-mail binnen, wat betekent dat ze ook een cookie hebben.”   "Ik heb billboards altijd gezien als het lichtende voorbeeld van reclames die effect hebben." “Die zaken kun je dus op een speelse manier aan elkaar verbinden. Maar ik denk dat je attributie alleen rond kunt krijgen als je de fysieke, de echte wereld erbij betrekt.” Inclusief offline advertising? “Ja, die ook. In mijn beleving hebben billboards veel effect. Die heb ik altijd gezien als het lichtende voorbeeld van reclames die effect hebben. Als je die datastromen, zoals van out of home, kunt koppelen aan digitale advertenties en aankopen in de winkel, kun je als marketeer zien of wat je doet effect heeft."Bron: MarketingfactsTim Geenen is spreker op hét GDPR-event van het jaar: GDPR, the day after tomorrow dat op 24 mei 2018 plaatsvond bij InnStyle in Maarssen. Het evenement draait uiteraard om de GDPR/AVG die de volgende dag van kracht wordt, maar gaat vooral in op hoe je - in plaats van te werken aan een tijdelijke oplossing - 'voor altijd' aan huidige én toekomstige privacywetgeving kunt voldoen.   > Lees hier de blog 'Geef mensen controle over hun data'

Inhoud Tim Geenen werkte jarenlang bij Bannerconnect en richtte onlangs Faktor op, een nieuwe speler in de advertisingmarkt die inspeelt op de GDPR-wetgeving die in mei van kracht wordt. Daarnaast is hij voorzitter van de IAB Taskforce Programmatic . In het kader van onze Special over programmatic waren dat twee goede redenen voor ons om met hem in gesprek te gaan. In deel 1 spraken we hem vanuit zijn rol bij IAB Nederland, in dit deel 2 over zijn startup, die consumenten meer macht moet geven over hun data en uitgevers meer omzet moet opleveren. En dat allemaal dankzij de blockchain en de GDPR-wetgeving. Een jaar geleden was Tim Geenen op de NEXT Conference in Hamburg. Hij dacht op weg te zijn naar de locatie waar alle marketingsessies plaatsvonden, maar kwam in het blockchain-gebouw terecht. Hij belandde in een compleet nieuwe community en kende de terminologie nog niet helemaal, maar hij voelde de energie en zag de paralellen met de programmatic-wereld: “Een line item is immers niet heel anders dan een smart contract.” Nog tijdens het event skypete hij zijn vriendin en vertelde over zijn plan een bedrijf te beginnen dat de blockchain gebruikt om advertising naar een nieuw niveau te brengen. De opdoemende GDPR-wetgeving zorgde voor de urgentie; Faktor was geboren. In ieder geval het idee ervoor, in mei van dit jaar kreeg het bedrijf definitief vorm. Inmiddels werken er negen mensen, waaronder vier ontwikkelaars in Servië door een partnership met Levi9. In het eerste deel van het interview kwam de complexiteit van het ecosysteem al aan de orde. Op welk onderdeel van die keten richt Faktor zich? Geenen: “Het deel van de identiteit. Dat bestaat nog niet, we creëren iets nieuws.” Wordt het ecosysteem daarmee nóg complexer? “Nee, we beginnen opnieuw. Dingen die al jarenlang fout gaan, proberen we recht te trekken.” “Neem het voorbeeld van jullie zelf, van Marketingfacts. Al jullie content mag ik gratis lezen. De meeste lezers staan daar niet bij stil. Ze zijn onderdeel van een ‘value exchange’ zonder zich daarvan bewust te zijn. Wat betalen adverteerders bijvoorbeeld om te adverteren? Wat weten ze over jou als lezer? Kunnen lezers er ook voor kiezen te betalen voor de content? Dat is allemaal totaal niet duidelijk.” “Impliciet ben je als lezer gewoon een product, je wordt verhandeld. Dat mag straks niet meer zonder toestemming, zodra de GDPR van kracht wordt. Die schrijft letterlijk vijf consumentrechten voor: recht op toegang, op aanpassen, op verwijderen, op portabiliteit en om te klagen. Geen enkele uitgever kan dat op dit moment aanbieden.”   Identiteit Faktor springt daarop in door zich te richten op de identiteit van de lezer, de consument. “Identiteit is een complex iets. Je hebt namelijk meerdere identiteiten: voor merken, voor uitgevers, voor de overheid, op social channels. Overal heb je een identiteit. Er worden steeds meer aannames over jou gemaakt en dat is een probabilistische manier om iets vast te stellen.”   “Je moet consumenten zelf controle geven over hun data en je moet de waarde-uitwisseling benoemen.” “Daarvan hebben we met Faktor gezegd: dat kan niet meer uit. Je moet het omdraaien en consumenten zelf controle geven over hun data en je moet de waarde-uitwisseling benoemen. Dus je moet aangeven: deze content heeft geld gekost, daar moet iets voor terugkomen.” "Wij vragen dus aan consumenten hun data met ons te delen: e-mailadres, leeftijd, geslacht. Dat is de basisset, erop gericht om het simpel te maken. En als gebruiker kun je een platform, zoals Marketingfacts, toegang tot die data geven."   Ruilmiddelen "Er moet dus een ruil plaatsvinden om de content te consumeren. Je kunt mensen overtuigen om data af te staan, want als je als uitgever over meer data beschikt over je lezers, kun je hogere tarieven vragen voor advertenties. Je kunt mensen ook vragen te betalen voor je content en de advertenties achterwege laten.” In de toekomst moet dat betalen ook mogelijk worden via cryptocurrencies, zoals Bitcoin. "Wij zien dat als de ideale oplossing voor microbetalingen, maar dat zal nog twee tot vijf jaar duren. Op dit moment is het nog lastig om geld in je browser te hebben, dat is nog maar voor weinig mensen weggelegd. Eigenlijk willen we dat iedereen een wallet heeft in z’n browser, in apps of in de smart-tv.”   “De truc voor uitgevers wordt consumenten te overtuigen zo vaak mogelijk ergens ‘ja’ op te zeggen.” “Die wallet bevat dan de ruilmiddelen. Dus naast een cryptocurrency is dat je identiteit, waarbij je zelf bepaalt welke partijen toegang krijgen tot welke onderdelen ervan. De truc voor uitgevers wordt consumenten te overtuigen zo vaak mogelijk ergens ‘ja’ op te zeggen. Dat schrijft de wet namelijk voor, dat je die goedkeuring haalt.”   Toestemming Dat vragen van goedkeuring gaat impact hebben voor marketeers en gebruikers: per platform, per mediabureau, per adverteerder moet die toestemming namelijk verkregen worden. Potentieel kan het zo worden dat zelfs wanneer je die ‘consent’ al hebt gegeven, een andere uitgever weer op de proppen komt met dezelfde vraag: ‘Wij willen u graag advertenties van aan jou vertonen. Geeft u hiervoor toestemming?’ Iedereen die nu al kriebels krijgt van alle cookiemeldingen, voelt aan tot welke taferelen dit kan gaan leiden. “Ja, die hele GDPR wordt echt een enorm probleem, het wordt een gedrocht in de uitvoering. Wij springen daarop in om het werkbaar te houden.”   “Die hele GDPR wordt echt een enorm probleem, het wordt een gedrocht in de uitvoering.” Faktor biedt een oplossing voor de gebruiker, maar ook voor uitgevers. "Jarenlang staan die laatste al onder druk, maar de realiteit is, dat zij belangrijke partijen zijn, omdat ze een directe relatie hebben met de consument. Merken hebben die soms ook, maar dan alleen met de klanten die ze al hebben. Hun groei zit juist bij consumenten die ze nog niet kennen. Dus dan komen ze toch terecht bij de uitgever met hun vragen om consent.”  "De uitgever krijgt dus een sterkere positie. Want de hele ’tussenwereld’ in het ecosysteem heeft geen enkele grip op of relatie met de consument. Neem het voorbeeld dat je op NU.nl bent en je ziet een pop-up ‘ wil je data’, wat denk je dan als consument? Die weet niet hoe snel hij ’Nee' moet aanklikken. De publisher moet dus duidelijk gaan maken waarom die toestemming van belang is en die tussenpartij is afhankelijk van die consent-vraag." Tot slot is Faktor ook van waarde voor merken. “Als je de identiteit bij de gebruiker neerlegt en die wordt gevalideerd, wat in de blockchain gebeurt, weet je als merk dat je te maken hebt met een persoon. Dat maakt de kans op bot-impressies veel kleiner.”   Blockchain Wat is de rol van de blockchain in dit alles? “Wij gebruiken de blockchain voor het vertrouwensaspect. Wij wilden niet de markt op komen met de propositie dat die consumentendata van ons zijn. De blockchain is volledig gedecentraliseerd en de data ‘leven’ daar in verschillende, kleine stukken op duizenden verschillende locaties.”   “De blockchain is volledig gedecentraliseerd en de data ‘leven’ daar in verschillende, kleine stukken op duizenden verschillende locaties.” “De data worden bovendien ge-audit: als er een wijziging is in de data, moet de hele community daarop ‘minen’. Die moet moeilijke puzzels oplossen om te zien of die wijziging correct is - dat heet ‘consensus'. Zodra die consensus is behaald, een proces dat volledig geautomatiseerd verloopt, worden de nieuwe data als waarheid bevonden.” “Stel dat jij je consent voor een merk intrekt, je wilt dus dat een merk of organisatie niet meer over je data beschikt, dan wordt dat gevalideerd en vastgelegd. Als dat merk jouw data wil gebruiken, moeten ze zich daarvoor aanmelden. De consument moet kunnen zien dat zijn data door dat merk gebruikt zijn en waarvoor. Als een merk die data gebruikt en dat niet meldt, zijn ze in principe in overtreding.”   Persoonsgegevens De blockchain is een openbaar grootboek van alle transacties. Hoe waarborgt Faktor de privacy van de gebruikers? “Iemands identiteit bestaat uit verschillende data, alleen gecombineerd vormen die een persoonsgegeven. Wij gaan de data op een dusdanige manier opslaan, dat deze volledige versplinterd zijn en alleen wij de bruggetjes ertussen herkennen. En als iemand een toestemming intrekt, halen we die bruggetjes weg." Direct na de lancering van Faktor kwam er kritiek op hun oplossing van Wouter Dammers van Lawfox. Hij legt in een artikel uit waarom de propositie van Faktor niet kan werken. Uiteraard heeft Geenen het stuk gelezen. “Zijn aanname is dat wij álle gegevens van gebruikers in de blockchain opslaan. Dat is niet het geval. De basisgegevens, zoals leeftijd en geslacht, blijven op het device van de gebruiker zelf, versleuteld.”   “Over wat persoonsgegevens zijn, gaan nog stevige discussies gevoerd worden.” Het zal niet de laatste keer zijn dat er discussie komt over persoonsgegevens, verwacht Geenen. “In december komt het Information Commissioner’s Office (ICO) uit de UK met richtlijnen over wat persoonlijke data zijn en hoe je de consument het beste kunt informeren. Zij hebben een goede kijk op hoe je balanceert tussen de verschillende werelden, dus kijken we daarnaar uit.” “De vraag is namelijk wat een persoonsgegeven is. Neem een IP-adres, dat bestaat uit 4 of 6 octetten die ieder 256 verschillende waarden kunnen hebben. Als je één octet uit het adres verwijdert, zijn er dus nog 256 mogelijke IP-adressen. Dat aantal is te overzien, is het dan ook een persoonsgegeven?” “Over dit onderwerp gaan dus nog stevige discussies gevoerd worden. Wij hebben niet de exacte oplossing. Maar als we de data versnipperd genoeg opslaan, bepalen we zelf hoeveel we moeten verwijderen om het geen persoonsgegeven meer te laten zijn. Aan die uitwerking werken we nu.”   Marketing Faktor moet klanten vinden onder uitgevers, maar levert de dienst aan consumenten. Die laatsten zullen de blockchain niet direct koppelen aan vertrouwen, gezien de berichten over fraude (denk aan Silk Road) en de volatiliteit van de cryptocurrencies die erop gebaseerd zijn. Geenen erkent dat daar nog werk ligt. "Ja, heel erg. Maar we hebben gekozen voor de blockchain omdat het uiteindelijk het beste is. Het decentraliseren van identiteit is de enige manier om het op grote schaal te managen. Ik geloof niet in nóg een grote entiteit die alle informatie gaat beheren.”   “Ik geloof niet in nóg een grote entiteit die alle informatie gaat beheren. We hebben al Google en Facebook, dit is juist een tegenhanger ervan.” “We hebben al Google en Facebook en dit is juist een tegenhanger ervan, dit is een openbaar systeem. Johan en Niels, onze technische co-founders, willen ons systeem zelfs open-source maken. En bovendien: we hoeven niet tegen een consument te zeggen dat ons systeem op de blockchain gebouwd is.” De belangrijkste marketinguitdaging ligt dan ook niet bij de consument. “Onze grootste horde worden de uitgevers. Er zijn in de afgelopen jaren veel initiatieven geweest om content achter slot en grendel zetten, zoals paywalls. Die zijn eigenlijk allemaal mislukt, behalve voor het FD. Dus als wij praten met uitgevers, zeggen zij: ‘Dat hebben we al geprobeerd.’"    “Onze grootste horde worden de uitgevers.” "Maar de wereld verandert. Het wordt steeds makkelijker om een single sign-on te hebben. Bij Spotify weet je niet eens dat je bent ingelogd, daar wordt je nooit meer naar gevraagd. Diezelfde ervaring willen we bieden aan andere uitgevers.” De filosofie achter de oplossing die Geenen en zijn team biedt, namelijk het ‘empoweren’ van de consument en het beschikking geven over de eigen data, heeft veel weg van Doc Searls’ concept van Vendor Relationship Management. Dat idee is al ruim 10 jaar oud, maar nooit echt aangeslagen. Wellicht was hij te vroeg. "Misschien zijn wij zelfs wel te vroeg.”  Het maakt de ambitie er niet minder om: “Nederlandse uitgevers zijn onze eerste doelgroep, maar direct erna richten we ons op de top-5 publishers in de verschillende markten in Europa." Bron: MarketingfactsTim Geenen is spreker op hét GDPR-event van het jaar: GDPR, the day after tomorrow dat op 24 mei 2018 plaatsvond bij InnStyle in Maarssen. Het evenement draait uiteraard om de GDPR/AVG die de volgende dag van kracht wordt, maar gaat vooral in op hoe je - in plaats van te werken aan een tijdelijke oplossing - 'voor altijd' aan huidige én toekomstige privacywetgeving kunt voldoen.   > Lees hier de blog 'Waarom cookies kapot zijn'

Inhoud De cookiescanner is onderdeel van Privacy Analytics, een service die de Amsterdamse start-up Faktor lanceert vandaag presenteert. Met Privacy Analytics beoogt Faktor uitgevers, webwinkels en adverteerder ondersteuning te bieden in de voorbereiding op de Algemene Verordening Gegevensbescherming (AVG), ofwel de General Data Protection Regulation (GDPR). Een van de vereisten van de nieuwe regelgeving is dat adverteerders en uitgevers een zogeheten Data Processing Agreement (DPA) afsluiten met alle bedrijven die mogelijk gegevens op hun platformen verzamelen. Dit betekent dat deze partijen een contract moeten afsluiten met alle adverteerders en advertentieplatformen die cookies plaatsen op hun platformen. Voor internetgebruikers is het eenvoudig om te zien uitgevers, webwinkels en adverteerders is het echter erg lastig om uit te zoeken van wie al deze cookies zijn. Op verzoek van meerdere uitgevers heeft Faktor daarom de ‘Cookie Scanner’ ontwikkeld. De cookiescan-analyse zorgt onder andere voor een overzicht van de bedrijven waarmee een DPA moet worden geregeld.   Cookie-probleem Faktor ging vorig jaar van start met de ontwikkeling van een op blockchain gebaseerd identiteitsmanagementsysteem voor de AVG. Deze oplossing moet op den duur leiden tot eliminatie van het cookie-probleem, door targeting in online advertising mogelijk te maken zonder gebruik van cookies. Uitgangspunt hierbij is het principe dat de consument eigenaar is van zijn eigen data. 'Tijdens het proces kwamen we tot de conclusie dat we vóór deze livegang onze klanten moeten helpen met de DPA’, zegt Tim Geenen, een van de Faktor-oprichters: 'Dit is een van de onderdelen van de AVG waar geen onduidelijkheid over is, maar die voor veel partijen in de praktijk niet uitvoerbaar is.' Dat probleem is ontstaan omdat het programmatic ecosysteem berust op het gebruik van cookies en het synchroniseren van data met meerdere derde partijen. Geenen: 'Vaak zijn dat partijen waar je helemaal geen zaken mee doet. Onze cookiescanner maakt het nu mogelijk om browser-, device- en locatie-onafhankelijk, cookies te detecteren. Om te voorkomen dat ad-techpartijen de scanner als een bot zien, gebruiken we Artificial Intelligence (AI) en een slim proxysysteem.'   Technisch advies Naast de cookiescanner is ook de adviserende rol van Faktor binnen het ‘Privacy Analytics-pakket’ belangrijk, vervolgt Geenen. ‘Nadat de cookiescanner per URL inzichtelijk heeft gemaakt welke bedrijven via hun platform mogelijk gegevens verzamelen, kunnen wij onze relaties ook informatie verschaffen over welke van deze bedrijven waarde toevoegen en welke niet. En bieden wij ondersteuning bij het maken van de DPA’s.’Bron: Adformatie   Tim Geenen is spreker op hét GDPR-event van het jaar: GDPR, the day after tomorrow dat op 24 mei a.s. plaatsvindt bij InnStyle in Maarssen. Het evenement draait uiteraard om de GDPR/AVG die de volgende dag van kracht wordt, maar gaat vooral in op hoe je - in plaats van te werken aan een tijdelijke oplossing - 'voor altijd' aan huidige én toekomstige privacywetgeving kunt voldoen. > Lees hier de blog 'Waarom cookies kapot zijn'> Lees hier de blog 'Geef consumenten controle over hun data'