Whitepaper om datasikkerhed lavet for Dansk Annoncørforening

Der bliver talt meget om medietransparens, men meget lidt om datatransparens, selv om udfordringen for virksomhederne om muligt er endnu større her. For i en virkelighed, hvor data er guld og privatlivsbeskyttelse i stigende grad har politikernes bevågenhed, er det altafgørende selv at have fuld kontrol over virksomhedens data – også når den bliver videreleveret mere eller mindre blindt til leverandører og partnere.

Udfordringen

Over halvdelen af det 14 milliarder kroner store annoncemarked vil i 2019 blive brugt på digitale medier, hvis effektivitet bliver drevet af én ting. Data.

Uden eksakte data er der ingen målrettede annoncer. Og uden skræddersyede annoncer målrettet til forbrugerens reelle behov og profil og serveret i lige det rette øjeblik, hvad er digitale medier da andet end massekommunikation i fnidrede formater på en lille skærm?

Derfor er ejerskabet og forståelsen af data et kerneområde for den nutidens CMO. Men det bliver besværliggjort af, at den digitale forsyningskæde er en labyrint indhyllet i mørke med myriader af usynlige spillere, der på brøkdele af et sekund handler data med hinanden for at kunne servere målrettede  annoncer.

Men med GDPR betyder de svage led i kæden, at annoncøren får en uacceptabel risiko. Derfor er det på høje tide at tænde lyset og få fuld gennemsigtbarhed i datas bevægelse gennem hele forsyningskæden fra annoncør til eksponering.

Det indebærer, at de mange og komplekse lag, der er en del af det moderne digitale økosystem, skal pilles fra hinanden og undersøges for at fastslå hvilke data, der bliver indsamlet, hvad data bliver brugt til og om brugen overholder GDPR-reglerne.

Dertil kommer, at data er den hårde valuta, som driver de fleste store medier i dag. Adgang til ens data er derfor også en af de omkostninger, man som annoncør betaler. Det gælder hos medier som Google, Facebook og Amazon, men i høj grad også i samarbejdet med både teknologileverandører og mediebureauer. Det er Dansk Annoncørforenings holdning, at man som annoncør har ret til fuldt og uopfordret indblik i alle eksterne parters brug og videresalg af ens data uanset formen.

Afgrænsningen

Dette whitepaper skal hjælpe danske annoncører med praktiske råd om, hvordan man med simple greb kan få større gennemsigtbarhed i håndteringen af data i hele den digitale markedsførings forsyningskæde. Det er et af de 5 hovedområder, som Dansk Annoncørforening arbejder med for at få skabt større transparens på mediemarkedet.

På trods af at data er det afgørende brændstof, der driver den moderne digitale marketingmaskine, er det måske det område, hvor der er allermest usikkerhed, flest gråzoner og derfor også mindst transparens. Udfordringerne gælder især de følgende 3 spørgsmål :

  1. Hvordan sikrer man som annoncør, at GDPR og anden lovgivning bliver overholdt i hele den del af forsyningskæden, man er ansvarlig for?
  2. Hvem ejer annoncørens førstepartsdata og de afledte data, som bliver skabt på baggrund af disse?
  3. Hvem er dataansvarlig, og hvem er databehandler undervejs i den digitale forsyningskæde fra annoncør til eksponering?

Det er endnu for tidligt at tale om etableret præcedens på eksempelvis GDPR-området, så en del af de følgende anbefalinger er Dansk Annoncørforenings holdning til, hvad som minimum bør gøre som  annoncør for at sikre ejerskab og ansvar.

Det skiftende regulative landskab

GDPR ændrede alt. Før det var de store, komplekse netværk, der drev programmatic buying, usynlige for folk udenfor (og endda indenfor) marketingbranchen. Nu er de usynlige spillere kommet frem i lyset.

GDPR introducerede nye, strenge regler, der kræver, at virksomheder bliver meget mere åbne om, hvornår der bliver indsamlet data, hvem der indsamler, og hvad data skal bruges til. Det har gjort især tredjeparterne i den digitale annoncerings værdikæde mere synlige samtidig med, at  forbrugeren aktivt selv skal tilvælge dataindsamling.

Det må forventes, at GDPR bare er det første skridt på vejen til begrænsning af virksomheders råderum til at indsamle og behandle data i  reklameøjemed. Muligvis vil et kommende ePrivacy-regulativ i EU stille fornyede krav, og selv hvis det ikke sker, må vi forvente, at der i den kommende tid vil blive sat fokus på at håndhæve implementeringen af GDPR i alle led af det digitale økosystem.

Det er samtidigt vigtigt at holde sig for øje, at GDPR langtfra er det eneste lovapparat, der regulerer den digitale markedsføring. Man bør som  annoncør i lige så høj grad sikre sig, at man overholder de generelle bestemmelser i markedsføringsloven og de specifikke i cookiebekendtgørelsen.

Principperne i lovgivningen

Persondatabeskyttelsen og dermed GPDR-reglerne bygger på fire grundlæggende principper, man skal overholde som annoncør.

Informeret samtykke

Forbrugerens samtykke skal være frit og aktivt. Man må ikke bruge forudafkrydsede felter til at indhente samtykke, og forbrugeren skal foretage en handling for at give samtykket.

Samtykket skal også være informeret og utvetydigt. Det vil sige, at man i et letforståeligt sprog beskriver, hvilke data man indhenter, og hvad de skal bruges til. Bliver data delt med andre er det særligt vigtigt, at samtykket klart giver tilladelse hertil.

Legitim interesse

Selvfølgelig kan en annoncør ikke begå ulovligheder, bare fordi en forbruger har givet samtykke til det. Men lovgivningens princip om ”legitim interesse” går videre end det.

Hvis forbruger har givet et aktivt og informeret samtykke til, at vedkommendes data må bruges af annoncøren til at målrette dennes markedsføring, har annoncøren en legitim interesse i at behandle data. Det samme gælder for de leverandør undervejs i forsyningskæden, der muliggør annonceeksponeringen.

Man kan til gengæld dårligt tale om legitim interesse, hvis forbrugerens data i den ene eller anden form bliver brugt til at berige anden- eller tredjeparters data, da det ikke er dækket af samtykket, og det i øvrigt er vanskeligt at få  øje på forbrugerens interesse i dette.

Dataminimering

Indsamling af data skal altså foregå på en rimelig og gennemsigtig måde, hvor formålene er legitime, og de er angivet, så borgerne kan forstå dem. Der ligger også et krav om dataminimering. Det vil sige, at man som annoncør ikke må indsamle flere data, end man har behov for, for at kunne opfylde formålet med dataindsamlingen.

Data må ikke opbevares i længere tid end nødvendigt, og de skal være
opbevaret med tilstrækkelig sikkerhed.

Personhenførbare oplysninger

Databeskyttelsesforordningen (GDPR) blev sat i verden for at beskytte borgernes personfølsomme oplysninger. Derfor gælder alle onlineidentifikatorer, som kan bruges til at identificere enkeltindivider,  som personhenførbare oplysninger – for eksempel cookies, pixels, SDK, ip-adresser og andet.

Som annoncør bør man være opmærksom på, at bureauer og øvrige leverandører i værdikæden for et programmatic-køb ofte vil hævde, at de arbejder med såkaldt pseudonymiserede oplysninger, hvor de direkte identificerende parametre enten er erstattet med pseudonymer (”koder”), der så kan gælde som identifikatorer, eller dataene er blevet krypteret. Leverandørerne vil så ofte argumentere for, at data dermed er undtaget fra at skulle leve op til GDPR.

Men det er langtfra tilfældet. Så længe personoplysningerne stadig kan henføres til et enkeltindivid gennem eksempelvis en krypteringsnøgle eller andre tekniske foranstaltninger, er der stadig tale om personhenførbare oplysninger. Leverandøren skal således stadig opfylde GDPR-kravene, og det vil i mange tilfælde være annoncørens ansvar, at dette sker.

Forbrugernes holdninger

I en fælleseuropæisk analyse gennemført af GfK på vegne af IAB i 2017 svarede blot 20 % af alle adspurgte forbrugere, at de gerne deler deres data med tredjeparter for at få mere målrettet digital markedsføring. Det skal sammenholdes med, at næsten alt digital annoncering indebærer deling af forbrugerdata på tværs af netop en lang række tredjeparter såsom bureauer, DSP’er, SSP’er, exchanges, annonceservere, datamæglere og så videre.

Så hvordan vil forbrugerne reagere, når de bliver bedt om at give deres samtykke i en form, der til fulde lever op til både ord og hensigten i GDPR? Det er vanskeligt at forudsige, om den forventelige afstandstagen i en analyse også bliver omsat til et fravalg i praksis. Men det er til gengæld helt sikkert, at man som annoncør til fulde har ansvaret for, at alle ens partnere i forsyningskæden indsamler og behandler data, så forbrugerne får de  rettigheder, som GDPR giver.

Forstå de 3 former for data

På købssiden i en programmatic buying transaktion kan der indgå 3 former for forbrugerdata: førsteparts, andenparts og tredjeparts. Hver især har de deres egne styrker og begrænsninger.

Implementeringen af GDPR har betydet en grundlæggende omvæltning i, hvilke datakilder, der er de mest anvendte i eksempelvis programmatiske indkøb. Men alle tre former for data er stadig i spil.

Førstepartsdata

Dette er enhver form for data, som bliver indsamlet af annoncøren selv. Eksempler herpå er:

Transaktionsdata og registrerede CRM-data indhentet online eller offline fra forbrugere som har købt en vare i en fysisk butik eller et e-commerce site.  Det kan også være salgsleads, data fra sign-ups til fx nyhedsbreve eller  kaldsdata fra opkald til kundeservice.

Website-data og kampagnedata fra email, display, video, mobil, direct mail, tv, print og så videre.

Førstepartsdata er ofte den form for data, som annoncøren kan få mest værdi ud af, da det er data fra forbrugere som allerede har vist en interesse for annoncørens tilbud eller som allerede er kunder. Disse data gør det muligt at definere målgrupper, der i mange tilfælde kan indsnævres til individniveau gennem fx emailadresse eller cookie.

Viden fra førstepartsdata er uhyre værdifuld. Derfor skal der være klare retningslinjer for, hvem der har adgang til data og hvorfor. Især for cookies er det vigtigt, at annoncøren forstår og overholder de særlige regler her. Derfor bør man som annoncør også overveje, om overholdelse af reglerne kræver, at man kontraktuelt forpligter eksterne samarbejdspartnere såsom bureauer, medier eller teknologileverandører til at indsamle og håndtere de krævede samtykker.

Andenpartsdata

Den begrænsede dækning og dybde af førstepartsdata og den til tider tvivlsomme kvalitet af tredjepartsdata har bragt øget fokus på data fra andenpart.

Andenpartsdata er en andens førstepartsdata – eksempelvis et medies data om sine besøgende. Andenpartsdata kan således komme fra ikkekonkurrerende brands, detailleddet eller andre dataejere, der ikke sælger deres data til de store tredjepartspuljer. Den store forskel mellem anden- og tredjepartsdata ligger i, at andenpartsdata bliver handlet eller delt direkte mellem de to parter. Det giver nogle store fordele, men også nogle udfordringer.

Den ene annoncør kan udnytte en anonymiseret profil af en anden annoncørs kunder i et partnerskab om brug af andenpartsdata og målrette sin annoncering til dennes profil. På den vis kan forskellige vertikaler som eksempelvis en detailkæde og en FMCG-producent samarbejde strategisk om at bruge hinandens data til gensidig fordel forudsat, at der er indhentet samtykke hertil fra forbrugeren.

Ulempen ved brug af andenpartsdata er, at den bygger på direkte aftaler med alt, hvad dét kan indebære af håndtering og udfordringer med prissætning. For at skalere dette tilbyder nogle DMP-leverandører at etablere datasamarbejde på tværs af deres kunder, så det bliver så let som salg og deling af tredjepartsdata. Hvis man som annoncør indgår et sådan  samarbejde, bør man især være opmærksom på, om GDPR og den øvrige lovgivning er overholdt. 

Tredjepartsdata

Tredjepartsdata bliver sædvanligvis ikke solgt direkte, men i stedet bliver brugen af den udliciteret mod betaling, hver gang den bliver aktiveret i en kampagne. Derfor har store leverandører af tredjepartsdata fyldt meget både i det digitale økosystem, men også i annoncørernes mediebudgetter uanset om det er fremgået direkte eller ej. Tredjepartsdata er eksempelvis: 

  • Interessedata som kategorier af sites en bruger besøger.
  • Data om købsintention fra fx brugersøgninger på produkter og priser.
  • Geolokaliserede data herunder GPS og WiFi device-data.
  • Demografiske data.
  • Sociografiske data som uddannelse og indkomst.
  • Data om tjenester tilmeldt med e-mail.
  • Data om brug af mobile applikationer.
  • Data om devices som mobiltelefon, tablet eller computer.

Værdien af førstepartsdata stiger voldsomt, når den bliver kombineret med tredjepartsdata, da det giver et meget rigere billede af målgruppesegmenter  nklusive livstidsværdi, attributter, adfærd og forbrug. Det muliggør en bedre forståelse af besøgende på en annoncørs site og danner grundlaget for  effektive retargeting og twining/look-alike kampagner.

For mange datafattige brands, der kun kan indfange små mængder af data gennem egne kanaler, er udstrakt brug tredjepartsdata vejen frem. Men siden GDPR er den tilgængelige mængde af tredjepartsdata, en annoncør må anvende, svundet ind. Samtidig kan der være en udfordring med kvaliteten, da det eksempelvis ikke altid er klart, om de solgte data er en forbrugers egne indberetninger, observerede data eller måske blot modellerede data.

Hvordan sikrer I GDPR-kompliance i hele forsyningskæden?

GDPR-kløften

Som annoncør skal man have fuld indsigt i, hvordan ens data bliver brugt til at drive marketing, og hvem der har adgang til disse data. Men i en virkelighed, hvor mange annoncører kører adskillige kampagner med millioner af annonceeksponeringer gennem flere bureauer, der hver især arbejder med forskellige netværk af tredjeparter, er det tæt på at være en umulig opgave. Udfordringen er det store væld af leverandører og data. 

interessenter i det digitale mediekøb

Heldigvis er de fleste annoncører i en noget bedre situation. Medmindre man har valgt at insource det digitale mediekøb, er det ikke sandsynligt, at man har direkte kontakt til hver eneste tredjepartsleverandør i et programmatic buying-setup.

Mange af de komplekse netværk i programmatic bliver i stedet håndteret af mediebureauer – ikke af annoncører. Så for annoncøren er opgaven at sikre datatransparens i samarbejdet med mediebureauet. Det betyder, at man skal  have fuld indsigt i, hvem data bliver delt med, hvorfor det sker og hvilke  kontrolforanstaltninger, der findes for at overholde GDPR.

6 skarpe til dit mediebureau

Som annoncør bør man tage en dialog med sit mediebureau om brugen af data, herunder overholdelsen af GDPR. Vi anbefaler, at man som minimum får klare og skriftlige svar på disse 6 spørgsmål:

  1. Kan I give mig en komplet liste over alle tredjeparter, som vores brugerdata bliver delt med?
  2. Kan I give mig en komplet liste over alle tredjeparter, der tjener på mit mediebudget?
  3. Kan I for hver enkelt tredjepart redegøre for, hvorfor eller hvorfor ikke, vi bør indgå en databehandleraftale med vedkommende?
  4. Kan I beskrive hvert eneste mulige scenarie, hvor annoncør og/eller bureau og/eller tredjepart er ejer af data og ikke blot behandler?
  5. Kan I for hver enkelt databehandling redegøre for, hvorfor det indsamlede samtykke tillader dette?
  6. Kan I for hver enkelt databehandling redegøre for, hvorfor der er en legitim interesse i denne, som berettiger behandlingen?

Alle mediebureauer har en databeskyttelsesrådgiver, der kan svare på disse spørgsmål. Som annoncør bør man have en løbende dialog med denne, så man kan være på forkant med ændringer i forsyningskæden.

Hvem ejer data?

Enhver aftale med et mediebureau bør bygge på det grundlæggende princip, at annoncørens data er ejet af annoncøren selv. Mediebureauet skal derfor indhente annoncørens informerede samtykke før dennes data bliver behandlet til brug i egne kampagner eller videresolgt eller brugt til at berige data for mediebureauets øvrige kunder.

Det kan virke selvklart, men virkeligheden bag mange  mediebureaukontrakter i dag er, at annoncøren kun har ringe indblik i mediebureauets brug af annoncørdata herunder om den i anonymiseret  form indgår i en datapulje, der senere mod en pris bliver brugt til at målrette annoncørens eller konkurrenters kampagner.

Dansk Annoncørforening anbefaler derfor, at man gennemgår sin eksisterende mediebureaukontrakt nøje og i en dialog med mediebureauet får et fuldt og forståeligt overblik over alle datastrømme, herunder især hvornår og hvordan annoncørens data i den ene eller anden form forlader annoncørens kontrol og ejerskab.

Hvem er ansvarlig og hvem er behandler?

Som det ligger i ordet, hviler ansvaret – og dermed risikoen – hos den dataansvarlige. Derfor vil en annoncørs samarbejdspartnere ofte forsøge at undgå at påtage sig dette ansvar. Selv i situationer, hvor annoncøren har meget lidt kontrol med eller indsigt i, hvordan vedkommendes data bliver brugt og delt, vil nogle leverandører holde fast i, at de blot er databehandlere og ikke ansvarlige.

Men reglerne er sådan, at en leverandør er dataansvarlig, hvis vedkommende bestemmer over formålet med indsamlingen og behandlingen af data samt over de væsentligste behandlingsskridt, herunder indsamling, sletning, videregivelse og brug af eventuelle underdatabehandlere.

Dataansvaret vil kun ligge hos annoncøren, hvis det er denne, der giver detaljerede instrukser om, hvordan data skal behandles og deles i alle led af forsyningskæden. Medmindre annoncøren har insourcet hele den digitale markedsføring, vil disse detaljerede instrukser komme fra mediebureauet, som altså derfor er dataansvarlig og ikke blot databehandler. Som annoncør bør man sikre sig, at dette er fastsat i kontrakten med mediebureauet.

Enkelte steder har man forsøgt sig med fælles dataansvar, der bliver delt mellem annoncør og mediebureau. Det er kun lovligt, hvis begge parter har ret til at bruge oplysningerne til egne formål. Indgår man som annoncør en aftale om fælles dataansvar med mediebureau eller teknologileverandører,  giver man således i praksis sine data væk til fri afbenyttelse.

Annoncørens eget ansvar

Måden data bliver indsamlet og brugt af nogle spillere har været med til at nedbryde forbrugernes tillid til onlinemarkedsføring til skade for alle annoncører. Derfor støtter vi WFA’s manifest om datatransparens med de forpligtelser dette også har til annoncørerne:

Stærk datastyring

Annoncører bør tilstræbe at implementere robuste og dynamiske politikker og processer, der afspejler den altid foranderlige facon data bliver brugt. Disse skal sikre, at forbrugerdata bliver indsamlet på en transparent og etisk forsvarlig måde og at de bliver lagret sikkert med de rette garantier og kontrolmekanismer herunder auditering.

Minimering af data

Annoncører bør have en dataminimeringstilgang når det gælder indsamling, brug og lagring af data, så disse kun indeholder, hvad der er nødvendigt for at give en annonceoplevelse af høj kvalitet.

Forbrugerkontrol over data

Annoncører bør skabe brugeroplevelser, der giver forbrugeren transparens og kontrol over, hvordan deres data bliver delt og brugt i onlinemarkedsføring. Denne forbrugerkontrol bør leve op til 7 principper:

  1. Gør det visuelt.
  2. Hold det kort og simpelt.
  3. Gør det så intuitivt som muligt.
  4. Lad være med at irritere.
  5. Gør det muligt at ændre mening.
  6. Gør det let.
  7. Fortæl hvad der vil ske.

Aktiv håndtering af dataforsyningskæden

Som annoncør bør man forlange ansvarlighed og transparens i hele dataforsyningskæden, så man altid har et klart billede af, hvilke data der bliver indsamlet og hvordan disse bliver brugt af partnere undervejs.

Alle disse partnere bør leve op til de samme høje standarder, man sætter for sig selv, når det gælder om at give forbrugeren fuld kontrol over hvor, hvornår og hvordan deres data bliver delt, letforståelig information om, hvad deres data bliver brugt til og en enkel måde at sige nej til dette.

Medietransparens på dagsordenen

Dette whitepaper er det andet i rækken af whitepapers, der skal hjælpe danske annoncører med at blive bedre digitale markedsførere og mediekøbere.