Customer profiling bij Toyota – legaal of niet?

Ging ik bij een eerdere blogpost in op de Kaizen-filosofie in webanalytics bij Toyota, deze post is geheel gewijd aan customer profiling, oftewel het maken van online klantenprofielen.

Tracie Caroopen (web trends) gaf tijdens het Webanalytics Congres 2009 een presentatie waarin ze uiteenzette wat Toyota doet om de bezoekers van haar website te “leren kennen”. Toyota besteedt veel aandacht aan profielen en sociale media want: “Essentially, if you want to tie online and offline, you have to UNDERSTAND online behaviour”.

Om dit begrip te krijgen, legt Toyota bij elk sitebezoek de nodige informatie vast, waarbij het zoveel mogelijk op klantbasis gebeurt. Zodra iemand dus een formulier invult, kunnen de bezoeksgegevens aan een persoon worden gekoppeld. Maar, mvr. Caroopen suggereerde dat al voor die tijd gepersonaliseerd wordt gewerkt. Nu kennen we allemaal het gebruik van IP-adressen, maar in het verhaal werd de term “klantniveau” gebruikt.

Toyota bouwt profielen op site-gedrag. Niet enkel op basis van de bezochte pagina’s, maar ook op basis van de tijd die iemand daar doorbrengt, alsmede het soort pagina. Alle pagina’s zijn voorzien van een klasse, bijvoorbeeld “veiligheid”. Een bezoek aan deze pagina brengt dan per minuut 1 punt voor het profiel “veiligheid” op, met daarbij opgeteld een aantal punten voor het aantal bezochte pagina’s. Op basis van deze scores bepaalt de software vervolgens welke dynamische content getoond moet worden.

De score op de profielen wordt elk bezoek geupdate. Door deze up to date informatie kan Toyota gerichte Direct Marketing toepassen: bijvoorbeeld een uitnodiging voor een autoshow, of een uitnodiging voor een proefrit in een bepaalde auto.

Juridische implicaties van deze klantprofielen

Hoewel dit niet in de presentatie gezegd werd, suggereert de opmerking van “profielen op klantniveau” dat gegevens in eerste instantie aan het IP-adres worden gehangen, maar dat wanneer een adres bekend wordt, het adres leidend wordt.

Dan is er nog deze uitspraak uit 2001:
“De Registratiekamer is van mening dat een volledig IP-adres in veel gevallen als persoonsgegeven moet worden beschouwd. Hierdoor vallen verwerkingen van IP-adressen over het algemeen onder de reikwijdte van de privacywetgeving. De verschijningsvorm van het IP-adres is hier echter bepalend voor.”

In oktober vorig jaar kwam daar nog een uitspraak over. Hierin stelt het College Bescherming Persoonsgegevens dat: “Het Juridisch kader voor verantwoordelijken van websites in Nederland wordt bepaald door de Wet Bescherming Persoonsgegevens (Wbp). Ingevolge deze wet moeten persoonsgegevens online op dezelfde zorgvuldige wijze worden verwerkt als offline. Iemand die persoonsgegevens op internet verzamelt en verwerkt, dient te voldoen aan de verplichtingen die de wet oplegt. Deze zijn: het behoorlijk en zorgvuldig te werk gaan, transparantie, doelbinding, het hebben van een rechtvaardigheidsgrond, kwaliteit en evenredigheid, voldoen aan de informatieplicht, beveiliging en beperking van doorgifte naar landen buiten de EU.”

Is de werkwijze van Toyota nu behoorlijk, zorgvuldig, transparant, doelgebonden, gerechtvaardigd, kwalitatief evenredig? Wordt voldaan aan de informatieplicht, en is het allemaal veilig?

De doelgebondenheid is evident: men verzamelt gegevens, zodat men hier marketing mee kan bedrijven. Ook de rechtvaardiging hiervan is goed te verdedigen. Aangezien de profielen ten doele hebben de bezoeker relevante informatie te bieden is het kwalitatief en evenredig te noemen. Maar… is voldaan aan de informatieplicht?

Ik bezoek de disclaimer van de site van Toyota, en lees hier het volgende:

Gebruik van cookies
Toyota gebruikt de cookie-technologie om het door u gevolgde traject naar de Toyota-site in kaart te brengen. Zo kan de onderneming de verrichtingen van de gebruikers op de site registreren en kan zij de Toyota-site evalueren en verbeteren, zodat deze beter aansluit bij uw wensen. Toyota gebruikt deze technologie niet om inlichtingen over individuele gebruikers te verzamelen, zodat er geen specifieke informatie over u wordt bijgehouden of gebruikt. Het is mogelijk uw browser zo in te stellen dat hij geen cookies aanvaardt of u waarschuwt wanneer er cookies worden verzonden.
Persoonlijke gegevens/berichten van de gebruikers
Alle persoonlijke gegevens die u Toyota via de Toyota-site toevertrouwt, zullen uitsluitend door de onderneming worden gebruikt om haar dienstverlening te optimaliseren. Toyota stelt alles in het werk om de verzameling, verzending en opslag van persoonlijke gegevens te beveiligen, in overeenstemming met de aard van dergelijke informatie. Toyota zal uw persoonlijke gegevens niet gebruiken om ongevraagd berichten of informatie toe te sturen en evenmin zal Toyota uw gegevens uitwisselen of aan derden verkopen zonder uw toestemming.

Let op het cursief/vette stuk: Toyota belooft geen inlichtingen over individuele gebruikers te verzamelen, en al helemaal niet ongevraagd informatie te sturen. Maar zei Tracy Caroopen niet juist dat Toyota wél op klantniveau gegevens verzameld, en hierdoor in staat is om gerichte mailings te versturen?

Nu is er inderdaad een stuk “myToyota”, waarin je je eigen gegevens kunt bijhouden. Maar dit geldt niet voor de hele site. Nu ik zojuist op de site ben geweest, heeft men mijn IP adres en site-gedrag in kaart gebracht. In de disclaimer staat dat ze hier niets mee doen, maar dat doet Toyota dus juist wél.

Juridisch lijkt me dit niet in de haak. Het gaat hier niet om een simpele inbreuk op de informatieplicht. Er wordt hier onjuiste informatie verstrekt.

Reacties (11)

Reacties zijn gesloten.