Voor velen in de media- en reclamewereld, met name in de Verenigde Staten, is persoonlijk identificeerbare informatie (PII) lange tijd verboden terrein geweest voor verzameling en tracering. Er wordt veel moeite gedaan om een grens te trekken tussen PII en niet-PII, en zelfs om PII zodanig te maskeren of te pseudonimiseren dat deze niet meer identificeerbaar is (en dus bruikbaar is voor marketing). In de VS verschuift de grens echter en in Europa, met de GDPR die op 25 mei 2018 van kracht wordt, bestaat hij misschien helemaal niet meer.

Wat is PII?

Het ministerie van Defensie (DoDD 5400.11, 29 oktober 2014) definieert PII als:

“Informatie die wordt gebruikt om de identiteit van een individu te onderscheiden of te traceren, zoals naam, sofi-nummer, geboortedatum en geboorteplaats, meisjesnaam van de moeder, biometrische gegevens, huistelefoonnummers, andere demografische, personeels-, medische en financiële informatie. PII omvat alle informatie die gekoppeld is aan of in verband kan worden gebracht met een gespecificeerde persoon, alleen of in combinatie met andere persoonlijke of identificerende informatie. In het kader van deze publicatie omvat de term PII ook persoonlijke informatie en informatie in identificeerbare vorm.”

Op basis van deze definitie maken de meeste overheidsinstanties in de VS onderscheid tussen niet-gevoelige PII en gevoelige PII (informatie die bij openbaarmaking schade kan berokkenen aan het individu). Dit is bedoeld om openbaar beschikbare informatie te onderscheiden van potentieel schadelijker informatie, zoals burgerschapsstatus, geloofsovertuiging of seksuele geaardheid (DHS-gids). Of PII gevoelig is of niet, hangt vaak af van de context en de interpretatie. Marketeers en uitgevers zijn zeer voorzichtig met het vermijden van het gebruik van PII en richten zich in plaats daarvan op non-PII om advertenties relevanter te maken voor consumenten.

Non-PII

Volgens de Mobile Marketing Association is Non-PII “Informatie die kan overeenkomen met een bepaalde persoon, account of profiel, maar niet voldoende is om de persoon op wie deze informatie betrekking heeft te identificeren, contacteren of lokaliseren. Niet-gekwalificeerde lead.” Voorbeelden hiervan zijn:

• Device ID’s
• IP Adressen
• Cookies
• Browser Type
• Plug-in Details
• Taalvoorkeur
• Tijdzones

Door deze informatie te analyseren, zijn databedrijven in staat om gedetailleerde profielen van consumenten te maken om interesse en aankoopintentie te voorspellen. Dit stelt marketeers in staat het juiste publiek te bereiken met relevante advertenties op de juiste plaats en op het juiste moment.

Uitbreiding van PII

De laatste tijd zijn voorvechters van privacy begonnen de grens tussen PII en niet-PII te verschuiven om de bescherming van meer informatie te bevorderen. Zo heeft Jessica Rich, directeur van de FTC, aangegeven dat persistente identificatiegegevens waarschijnlijk als PII moeten worden beschouwd. “Wij beschouwen gegevens als “persoonlijk identificeerbaar” en dus als beschermd tegen privacyrisico’s als ze redelijkerwijs aan een bepaalde persoon, computer of apparaat kunnen worden gekoppeld. In veel gevallen voldoen persistente identifiers zoals apparaatidentifiers, MAC-adressen, statische IP-adressen of cookies aan deze test”. Voorbeelden van de FTC zijn:

• Klantnummer in een cookie
• IP-adres
• Processor- of apparaatserienummer
• Unieke apparaat-ID

Deze aanvullende persistente identificatoren breiden aanzienlijk uit wat van oudsher PII is en geven aan dat de FTC minder bereid is moderne traceringsmethoden te negeren.

Alles is persoonsgegeven onder GDPR!

In de context van de EU-privacyverordening GDPR doet het onderscheid tussen PII en niet-PII er niet toe. In feite kan worden betoogd dat bijna alles onder GDPR als Persoonsgegevens moet worden beschermd. In plaats van de “redelijke koppeling”-test van de FTC, maakt GDPR onderscheid tussen pseudonieme en anonieme gegevens. In het algemeen worden pseudonieme gegevens beschermd als Persoonsgegevens en Anonieme gegevens niet. De drempel om anoniem te zijn is echter een uitdaging om te overwinnen en toch waarde voor marketeers te behouden. In feite wordt van de voor de verwerking verantwoordelijken en van de verwerkers van gegevens verlangd dat zij “de op het ogenblik van de verwerking beschikbare technologie en de technologische ontwikkelingen” in aanmerking nemen om te bepalen of een betrokkene (lees: persoon) kan worden onderscheiden door pseudonieme of ongelijksoortige gegevens te combineren. Volgens deze definitie hebben Persoonsgegevens zo’n grote reikwijdte dat voor de verwerking verantwoordelijken en verwerkers kunnen aannemen dat de meeste van hun gegevens Persoonsgegevens zijn, en van daaruit terugwerken.

Wat nu?

Met de GDPR die in mei 2018 van kracht wordt, moeten we erkennen dat de gemeenschappelijke Amerikaanse nomenclatuur van PII en Non-PII niet langer van toepassing is op een aanzienlijk deel van de internationale gemeenschap. GDPR dwingt bedrijven over de hele wereld die met Europese gegevens werken om hun gegevensbeleid te heroverwegen en aan te passen. Hoewel de VS GDPR misschien nooit in de geschreven vorm zullen aannemen, kunnen we het ons niet veroorloven om de verschuiving naar privacybewustzijn en de hoge lat voor de bescherming van persoonsgegevens in Europa te negeren.

Wilt u meer weten over GDPR? Bekijk de rest van onze serie:

• SpotX’s GDPR Task Force
• Wat is GDPR? Wat u moet weten over Ad Tech en de Algemene Verordening Gegevensbescherming
• GDPR: Top 7 dingen die uitgevers moeten doen om zichzelf te beschermen
• Hoe in de VS gevestigde bedrijven moeten nadenken over GDPR
• Waarom Amerikaanse bedrijven zich zorgen moeten maken over PII, non-PII en Persoonsgegevens
• Wat is ‘Privacy by Design and Default’ en hoe kan het mij helpen moeilijke keuzes te maken in een post-GDPR-wereld?
• Hoe GDPR de greep van Google en Facebook op wereldwijde reclamedollars zal verstevigen – Is dat niet ironisch?
• Vlog: Senior Product Manager, Jessica Berman spreekt over GDPR