Klanten volgen in de retailsector

1
23 22 » Voor reacties en nieuwe bijdragen van IT-experts: Henk Ester, 070 3046812 h.ester@ automatise- ringgids.nl strom informeerde haar klanten dat hun loca- tiegegevens gevolgd werden. Consumenten konden aangeven dat zij hier niet aan mee wilden werken door middel van een opt-out. Nordstrom kreeg te veel negatieve reacties en is er daarom in 2013 mee gestopt. De Ameri- kaanse koffieketen Philz Coffee overkwam hetzelfde en stopte in 2014 eveneens met WiFi-tracking. Het ligt voor de hand om het winkelend pu- bliek met behulp van bordjes of stickers te in- formeren over gebruikte tracking-technieken. Maar het effect van dergelijke bordjes is twij- felachtig. Uit Amerikaans onderzoek blijkt dat waarschuwingsmededelingen aan consumen- ten in winkels nauwelijks wordt opgemerkt. Bij persoonlijke service past persoonlijke in- formatieverstrekking. Daarom is het verstan- dig om, indien mogelijk, de informatiever- strekking één-op-één te regelen met de klant. Bij passieve tracking-technieken gelden bord- jes vooralsnog als de enige praktische oplos- sing (zie kader). Daarentegen kan bij actieve tracking door middel van een app toestem- ming van de klant worden gevraagd en kan worden aangegeven wat er met zijn gegevens gebeurt. Dit geldt ook voor de website van de winkel of winkelketen en social media die ver- werkt worden om een gepersonaliseerde aan- bieding te doen en te vermelden dat de gege- vens uitsluitend worden gebruikt door de betreffende winkel of winkelketen. Beveiliging Daarnaast wordt er nog te weinig aandacht be- steed aan beveiliging, ondanks dat bedrijven wettelijk verplicht zijn om persoonsgegevens – bijvoorbeeld persoonlijke data afkomstig van smartphones of andere apparaten – goed te be- veiligen tegen datalekken of vormen van on- rechtmatige gegevensverwerking. Als bekend wordt dat de data gehackt worden, haakt 12 procent van de consumenten af en op 72 pro- cent heeft dit een negatieve invloed. Ander on- derzoek toont aan dat 23 procent van de con- sumenten zijn creditcard niet meer gebruikt als die ooit is gehackt. Het beleid bij retailers op dit punt is vaak te beperkt, het beperkt zich tot fraude met betalingen. Er moet meer gelet worden op verzekeringen en training van het personeel, dat vaak een zwakke schakel vormt binnen de beveiliging. Dit is des te relevanter omdat het opslaan van gegevens op diverse manieren gebeurt, via het MAC-adres wordt de klant gelokaliseerd als de WiFi-verbinding van de telefoon op zoek is naar een netwerk of een app van de betreffen- de winkel zelf. Er wordt dan door de consu- ment toestemming gegeven. De app werkt met beacons. Wie zijn klanten via techniek volgt, verwerkt al snel persoonsgegevens. Bijvoorbeeld het MAC- adres van de smartphone of een ander apparaat van de klant. In dat geval moet de winkelier V oor winkeliers stond het afgelo- pen decennium in het teken van e-commerce: de klant moest ook online worden bediend. Bijvoor- beeld via een webshop. Van bricks naar clicks. Deze ontwikkeling gaf on- linewinkeliers een schat aan gedetailleerde informatie over de klanten en hun aankoop- gedrag. Tegenwoordig proberen winkeliers eenzelfde niveau van klantinzicht te bereiken door de inzet van tracking-technieken in de eigen – stenen – winkels. Hiermee kan de winkelier onder andere het aantal klanten in zijn winkel vaststellen en het loopgedrag na- gaan. Deze klantdata brengen echter een aan- tal knelpunten met zich mee, vooral op het vlak van privacy en IT-beveiliging. In de retail wordt al veel gebruik gemaakt van data op winkel- en straatniveau. In Nederland zijn er warenhuizen die gebruik maken van beacons of andere technieken om vaste klan- ten aanbiedingen te doen. Een klant die gaat afrekenen wordt dan benaderd door een char- KLANTEN VOLGEN IN DE RETAILSECTOR Hoever mogen winkeliers gaan met tracking-technieken? Het volgen van klantgedrag is aantrekkelijk voor winkeliers. Maar het verzamelen van klantdata kan voor problemen zorgen. Vooral op het gebied van privacy en beveiliging. Louise de Gier en Joost Gerritsen laten zien wat juridisch is toegestaan en wat niet. door: LOUISE DE GIER & JOOST GERRITSEN beeld: ANP mante jongedame om naar een speciale kassa te gaan waar hij als gewaardeerde vaste klant een cadeau krijgt. Deze klant werd door een beacon in de winkel herkend. Daarnaast hebben winkelstraten en zelfs hele dorpen ‘beacondekking’. Het Friese dorpje Grou heeft volgens de initiatiefnemers volle- dige beacondekking. Hieraan doen 60 onder- nemers mee. Het Zuid-Franse winkelcentrum Les Terrasses du Port in Marseille heeft maar liefst 190 deelnemende retailers en horeca- uitbaters. Het winkelend publiek ontvangt in deze gebieden acties die variëren van cou- pons tot welkomstboodschappen en product- informatie. Datastromen in de retail zijn ook elders zichtbaar. In de kledingindustrie wordt bij- voorbeeld een bodyscan gegeven zodat de klant geholpen wordt om bijpassende kleding te vinden. Door een spiegel met een RFID-tag kunnen andere accessoires worden getoond. Ook verwerken fabrikanten data in chips. Zo wordt door bepaalde machines aangegeven wanneer een nieuw onderdeel vervangen moet worden. Weinig zorgen Winkeliers komen door deze technieken veel te weten over hun klant. Het grote publiek lijkt zich hier weinig zorgen om te maken. De meer- derheid van de consument is bereid privacy in te ruilen als daar goede gepersonaliseerde aan- biedingen tegenover staan. Dit blijkt uit een on- derzoek onder 2000 consumenten uit de Ver- enigde Staten en het Verenigd Koninkrijk. Twee derde van de respondenten vond het belangrijk aanbiedingen te krijgen en levert daar graag pri- vacy voor in. Ander onderzoek toonde aan dat zelfs 89 procent van de consumenten wereld- wijd kiezen voor een retailer die gepersonali- seerde kortingen of aanbiedingen geeft. Toch blijft het voor retailers uitermate belang- rijk om zorgvuldig de gepersonaliseerde aan- biedingen ‘te verkopen’ aan de consument. Dit ondervonden diverse retailers waaronder de Amerikaanse winkelketen Nordstrom. Nord- zich houden aan de Wet Bescherming Persoons- gegevens (Wbp). Het CBP houdt toezicht op de naleving van deze regels. Het geeft prioriteit aan tracking & tracing en dan met name aan de eis dat de klanten goed geïnformeerd moeten worden. Daarnaast bekijkt het CBP of op de juiste wijze om toestemming is gevraagd of dat er een adequate opt-out-mogelijkheid is gebo- den. Het is van belang dat winkeliers de regels naleven, temeer nu het CBP in de toe- komst meer bevoegdheden krijgt, waar- onder het opleggen van hoge boetes. ITEXPERT JURIDISCHE KNELPUNTEN TRACKING-TECHNIEKEN De passieve technieken zijn juridisch gezien het meest problematisch omdat de klant nauwelijks zijn keuze kan uitoefenen om wel of niet te worden ‘gevolgd’ door de winkelier. Ook is het de vraag of de klant voldoende duidelijk geïnformeerd kan worden over de gegevensverwerking. De actieve technieken kunnen juridisch gezien verenigbaar zijn met de privacywetgeving, zolang een klant de controle houdt over zijn gegevens, toestemming kan geven (bijvoorbeeld bij profilering) en desgewenst de gegevensverwerking kan stoppen (opt-out) en zich kan afmelden van eventuele gepersonaliseerde diensten. Daarnaast dienen de overige privacyprincipes in acht te worden genomen, zoals databeveiliging, en dienen de gegevens niet langer dan nodig te worden bewaard. De Chief Technologist van de Amerikaanse toezichthouder Federal Trade Commission, conclu- deerde in zijn analyse dat de juridische knelpunten per tracking-techniek kunnen verschillen. Zijn analyse levert het volgende beeld op (zie tabel). Techniek Gebruikte identifiers Informatieverstrekking aan klant en mogelijkheid voor toestemming Actieve WiFi WiFi MAC-adres Informatie over tracking tijdens het aanmeldproces (bijvoorbeeld bij inloggen op WiFi hotspot). Keuzemogelijkheid bijvoorbeeld via smartphone. Passieve WiFi WiFi MAC-adres Informatieverstrekking via bordjes of stickers. Keuzemogelijkheid beperkt tot uitschakelen van de smartphone of ander apparaat. Actieve Bluetooth Afhankelijk van de gebruikte app en eigenschappen van het operating system. Informatie over tracking in de privacyvoorwaarden als onderdeel van de app-installatieprocedure. Keuzemogelijkheid bijvoorbeeld via smartphone. Passieve Bluetooth BT MAC-adres Informatieverstrekking via bordjes of stickers. Keuzemogelijkheid beperkt tot uitschakelen van de smartphone of ander apparaat. Klanten legaal volgen De belangrijkste juridische uitgangspunten om klanten legaal te kunnen volgen in de winkel worden hier genoemd. Het zijn algemene uitgangspun- ten. Per geval dient beoordeeld te worden of de gebruikte techniek en de wijze waarop de gegevens worden gebruikt, wettelijk zijn toegestaan. Persoonsgegevens: de meeste tracking-technieken maken gebruik van het MAC-adres van een smartphone of ander apparaat. MAC-adressen zijn volgens het CBP persoonsgegevens en de Wbp is van toepassing. Tracking van klanten in de eigen winkel: in dit geval is toestemming van de klant niet altijd nodig. De winkeleigenaar kan het verzamelen van de gegevens aanmerken als een gerechtvaardigd eigen belang, wanneer dit belang opweegt tegen het belang van de consument, waaronder zijn belang van privacybescherming. Volgens minister Kamp heeft de win- kelier zo’n belang bij vaststelling van het aantal winkelbezoekers en het verplaatsingsgedrag van het winkelend publiek, zonder een combinatie met andere persoonsgegevens te maken. Hoewel deze opinie geen wet is, vormt zijn opmerking een belangrijk handvat voor winkeleigenaren. Tracking van klanten in de openbare ruimte: voor de gegevensverza- meling van passanten op de openbare weg, buiten de winkel, moet toe- stemming worden gevraagd. Dit omdat passanten er niet op bedacht hoeven te zijn dat zij mogelijk worden gevolgd. Het privacybelang van de passant weegt dan zwaarder dan het belang van de winkelier. Informeer de klant zo goed mogelijk: de privacytoezichthouder CBP vindt dat klanten altijd geïnformeerd moeten worden over gegevens- verwerking via tracking-technieken. Bied een opt-out-mogelijkheid: als de gegevensverwerking noodzake- lijk is voor het bedrijfsbelang en de inbreuk op de privacy gering is, dan hoeft een winkel niet eerst om toestemming te vragen, mits er een opt-out-optie is. Gebeurt het volgen om statistische redenen, dan moeten de klanten zich hiervoor kunnen afmelden via een opt-out- optie, aldus het CBP. Toestemming vereist bij profileren: als winkeliers profielen van klanten willen maken dan zullen zij hiervoor de toestemming van de klant moe- ten vragen, zo meldt het CBP. Houd rekening met de ‘cookieregels’: de cookieregels uit de Telecom- municatiewet kunnen ook een rol spelen zodra informatie bijvoorbeeld via een app wordt uitgelezen uit een smartphone of een ander apparaat van de klant. Louise de Gier is advocaat en partner van het kantoor De Gier | Stam & Advocaten, gespecialiseerd in Big Data en privacy ([email protected]). Joost Gerritsen (twitter: @JBAGerritsen) is als advocaat werkzaam bij hetzelfde kantoor. Ook hij is gespecialiseerd in Big Data en privacy (www.degierstam.nl).

Transcript of Klanten volgen in de retailsector

Page 1: Klanten volgen in de retailsector

2322

»

Voor reacties en nieuwe bijdragen van IT-experts: Henk Ester, 070 [email protected]

strom informeerde haar klanten dat hun loca-tiegegevens gevolgd werden. Consumenten konden aangeven dat zij hier niet aan mee wilden werken door middel van een opt-out. Nordstrom kreeg te veel negatieve reacties en is er daarom in 2013 mee gestopt. De Ameri-kaanse koffieketen Philz Coffee overkwam hetzelfde en stopte in 2014 eveneens met WiFi-tracking.Het ligt voor de hand om het winkelend pu-bliek met behulp van bordjes of stickers te in-formeren over gebruikte tracking-technieken. Maar het effect van dergelijke bordjes is twij-felachtig. Uit Amerikaans onderzoek blijkt dat waarschuwingsmededelingen aan consumen-ten in winkels nauwelijks wordt opgemerkt. Bij persoonlijke service past persoonlijke in-formatieverstrekking. Daarom is het verstan-dig om, indien mogelijk, de informatiever-strekking één-op-één te regelen met de klant. Bij passieve tracking-technieken gelden bord-jes vooralsnog als de enige praktische oplos-sing (zie kader). Daarentegen kan bij actieve tracking door middel van een app toestem-ming van de klant worden gevraagd en kan worden aangegeven wat er met zijn gegevens gebeurt. Dit geldt ook voor de website van de winkel of winkelketen en social media die ver-werkt worden om een gepersonaliseerde aan-bieding te doen en te vermelden dat de gege-vens uitsluitend worden gebruikt door de betreffende winkel of winkelketen.

BeveiligingDaarnaast wordt er nog te weinig aandacht be-steed aan beveiliging, ondanks dat bedrijven wettelijk verplicht zijn om persoonsgegevens – bijvoorbeeld persoonlijke data afkomstig van smartphones of andere apparaten – goed te be-veiligen tegen datalekken of vormen van on-rechtmatige gegevensverwerking. Als bekend wordt dat de data gehackt worden, haakt 12 procent van de consumenten af en op 72 pro-cent heeft dit een negatieve invloed. Ander on-derzoek toont aan dat 23 procent van de con-sumenten zijn creditcard niet meer gebruikt als die ooit is gehackt. Het beleid bij retailers op dit punt is vaak te beperkt, het beperkt zich tot fraude met betalingen. Er moet meer gelet worden op verzekeringen en training van het personeel, dat vaak een zwakke schakel vormt binnen de beveiliging.

Dit is des te relevanter omdat het opslaan van gegevens op diverse manieren gebeurt, via het MAC-adres wordt de klant gelokaliseerd als de WiFi-verbinding van de telefoon op zoek is naar een netwerk of een app van de betreffen-de winkel zelf. Er wordt dan door de consu-ment toestemming gegeven. De app werkt met beacons.Wie zijn klanten via techniek volgt, verwerkt al snel persoonsgegevens. Bijvoorbeeld het MAC-adres van de smartphone of een ander apparaat van de klant. In dat geval moet de winkelier

Voor winkeliers stond het afgelo-pen decennium in het teken van e-commerce: de klant moest ook online worden bediend. Bijvoor-beeld via een webshop. Van

bricks naar clicks. Deze ontwikkeling gaf on-linewinkeliers een schat aan gedetailleerde informatie over de klanten en hun aankoop-gedrag. Tegenwoordig proberen winkeliers eenzelfde niveau van klantinzicht te bereiken door de inzet van tracking-technieken in de eigen – stenen – winkels. Hiermee kan de winkelier onder andere het aantal klanten in zijn winkel vaststellen en het loopgedrag na-gaan. Deze klantdata brengen echter een aan-tal knelpunten met zich mee, vooral op het vlak van privacy en IT-beveiliging.In de retail wordt al veel gebruik gemaakt van data op winkel- en straatniveau. In Nederland zijn er warenhuizen die gebruik maken van beacons of andere technieken om vaste klan-ten aanbiedingen te doen. Een klant die gaat afrekenen wordt dan benaderd door een char-

KlanTEn volgen in de rETaIlsEcTor

Hoever mogen winkeliers gaan met tracking-technieken?

Het volgen van klantgedrag is aantrekkelijk voor winkeliers. Maar het verzamelen van

klantdata kan voor problemen zorgen. vooral op het gebied van privacy en beveiliging.

louise de gier en Joost gerritsen laten zien wat juridisch is toegestaan en wat niet.door: louise de gier & Joost gerritsen beeld: AnP

mante jongedame om naar een speciale kassa te gaan waar hij als gewaardeerde vaste klant een cadeau krijgt. Deze klant werd door een beacon in de winkel herkend.Daarnaast hebben winkelstraten en zelfs hele dorpen ‘beacondekking’. Het Friese dorpje Grou heeft volgens de initiatiefnemers volle-dige beacondekking. Hieraan doen 60 onder-nemers mee. Het Zuid-Franse winkelcentrum Les Terrasses du Port in Marseille heeft maar liefst 190 deelnemende retailers en horeca-uitbaters. Het winkelend publiek ontvangt in deze gebieden acties die variëren van cou-pons tot welkomstboodschappen en product-informatie.Datastromen in de retail zijn ook elders zichtbaar. In de kledingindustrie wordt bij-voorbeeld een bodyscan gegeven zodat de klant geholpen wordt om bijpassende kleding te vinden. Door een spiegel met een RFID-tag kunnen andere accessoires worden getoond. Ook verwerken fabrikanten data in chips. Zo wordt door bepaalde machines aangegeven

wanneer een nieuw onderdeel vervangen moet worden.

Weinig zorgenWinkeliers komen door deze technieken veel te weten over hun klant. Het grote publiek lijkt zich hier weinig zorgen om te maken. De meer-derheid van de consument is bereid privacy in te ruilen als daar goede gepersonaliseerde aan-biedingen tegenover staan. Dit blijkt uit een on-derzoek onder 2000 consumenten uit de Ver-enigde Staten en het Verenigd Koninkrijk. Twee derde van de respondenten vond het belangrijk aanbiedingen te krijgen en levert daar graag pri-vacy voor in. Ander onderzoek toonde aan dat zelfs 89 procent van de consumenten wereld-wijd kiezen voor een retailer die gepersonali-seerde kortingen of aanbiedingen geeft.Toch blijft het voor retailers uitermate belang-rijk om zorgvuldig de gepersonaliseerde aan-biedingen ‘te verkopen’ aan de consument. Dit ondervonden diverse retailers waaronder de Amerikaanse winkelketen Nordstrom. Nord-

zich houden aan de Wet Bescherming Persoons-gegevens (Wbp). Het CBP houdt toezicht op de naleving van deze regels. Het geeft prioriteit aan tracking & tracing en dan met name aan de eis dat de klanten goed geïnformeerd moeten worden. Daarnaast bekijkt het CBP of op de juiste wijze om toestemming is gevraagd of dat er een adequate opt-out-mogelijkheid is gebo-den. Het is van belang dat winkeliers de regels naleven, temeer nu het CBP in de toe-komst meer bevoegdheden krijgt, waar-onder het opleggen van hoge boetes.

ITExp

Ert

Juridische knelpunten tracking-techniekende passieve technieken zijn juridisch gezien het meest problematisch omdat de klant nauwelijks zijn keuze kan uitoefenen om wel of niet te worden ‘gevolgd’ door de winkelier. Ook is het de vraag of de klant voldoende duidelijk geïnformeerd kan worden over de gegevensverwerking.de actieve technieken kunnen juridisch gezien verenigbaar zijn met de privacywetgeving, zolang een klant de controle houdt over zijn gegevens, toestemming kan geven (bijvoorbeeld bij profilering) en desgewenst de gegevensverwerking kan stoppen (opt-out) en zich kan afmelden van eventuele gepersonaliseerde diensten. daarnaast dienen de overige privacyprincipes in acht te worden genomen, zoals databeveiliging, en dienen de gegevens niet langer dan nodig te worden bewaard.de chief technologist van de amerikaanse toezichthouder Federal trade commission, conclu-deerde in zijn analyse dat de juridische knelpunten per tracking-techniek kunnen verschillen. Zijn analyse levert het volgende beeld op (zie tabel).

Techniek Gebruikte identifiers Informatieverstrekking aan klant en mogelijkheid voor toestemming

actieve WiFi WiFi Mac-adres informatie over tracking tijdens het aanmeldproces (bijvoorbeeld bij inloggen op WiFi hotspot). keuzemogelijkheid bijvoorbeeld via smartphone.

passieve WiFi WiFi Mac-adres informatieverstrekking via bordjes of stickers. keuzemogelijkheid beperkt tot uitschakelen van de smartphone of ander apparaat.

actieve Bluetooth

afhankelijk van de gebruikte app en eigenschappen van het operating system.

informatie over tracking in de privacyvoorwaarden als onderdeel van de app-installatieprocedure. keuzemogelijkheid bijvoorbeeld via smartphone.

passieve Bluetooth

Bt Mac-adres informatieverstrekking via bordjes of stickers. keuzemogelijkheid beperkt tot uitschakelen van de smartphone of ander apparaat.

Klanten legaal volgende belangrijkste juridische uitgangspunten om klanten legaal te kunnen volgen in de winkel worden hier genoemd. het zijn algemene uitgangspun-ten. per geval dient beoordeeld te worden of de gebruikte techniek en de wijze waarop de gegevens worden gebruikt, wettelijk zijn toegestaan.

• Persoonsgegevens: de meeste tracking-technieken maken gebruik van het Mac-adres van een smartphone of ander apparaat. Mac-adressen zijn volgens het cBp persoonsgegevens en de Wbp is van toepassing.

• Tracking van klanten in de eigen winkel: in dit geval is toestemming van de klant niet altijd nodig. de winkeleigenaar kan het verzamelen van de gegevens aanmerken als een gerechtvaardigd eigen belang, wanneer dit belang opweegt tegen het belang van de consument, waaronder zijn belang van privacybescherming. Volgens minister kamp heeft de win-kelier zo’n belang bij vaststelling van het aantal winkelbezoekers en het verplaatsingsgedrag van het winkelend publiek, zonder een combinatie met andere persoonsgegevens te maken. hoewel deze opinie geen wet is, vormt zijn opmerking een belangrijk handvat voor winkeleigenaren.

• Tracking van klanten in de openbare ruimte: voor de gegevensverza-meling van passanten op de openbare weg, buiten de winkel, moet toe-

stemming worden gevraagd. dit omdat passanten er niet op bedacht hoeven te zijn dat zij mogelijk worden gevolgd. het privacybelang van de passant weegt dan zwaarder dan het belang van de winkelier.

• Informeer de klant zo goed mogelijk: de privacytoezichthouder cBp vindt dat klanten altijd geïnformeerd moeten worden over gegevens-verwerking via tracking-technieken.

• Bied een opt-out-mogelijkheid: als de gegevensverwerking noodzake-lijk is voor het bedrijfsbelang en de inbreuk op de privacy gering is, dan hoeft een winkel niet eerst om toestemming te vragen, mits er een opt-out-optie is. gebeurt het volgen om statistische redenen, dan moeten de klanten zich hiervoor kunnen afmelden via een opt-out- optie, aldus het cBp.

• Toestemming vereist bij profileren: als winkeliers profielen van klanten willen maken dan zullen zij hiervoor de toestemming van de klant moe-ten vragen, zo meldt het cBp.

• Houd rekening met de ‘cookieregels’: de cookieregels uit de telecom-municatiewet kunnen ook een rol spelen zodra informatie bijvoorbeeld via een app wordt uitgelezen uit een smartphone of een ander apparaat van de klant.

louise de Gier is advocaat en partner van het

kantoor de gier | stam & advocaten, gespecialiseerd

in Big data en privacy ([email protected]).

Joost Gerritsen (twitter: @JBagerritsen) is als

advocaat werkzaam bij hetzelfde kantoor. Ook

hij is gespecialiseerd in Big data en privacy

(www.degierstam.nl).