Artificial Intelligence (AI) belooft de hospitalitybranche een revolutie voor loyaltyprogramma’s: hypergepersonaliseerde aanbiedingen, verbeterde klantbinding en maximale omzet. AI kan data analyseren en patronen herkennen op een schaal die menselijk onmogelijk is. Maar hoe zorg je ervoor dat deze technologie voldoet aan toepasselijke regelgeving zoals de AI Act en de AVG? Hoe balanceer je innovatie met juridische compliance? In dit artikel geven we een aantal praktische handvatten voor een compliant en toekomstbestendig gebruik van deze technologie.
1. Dataverzameling
Vanuit een marketing perspectief is data nog steeds goud. In de regel wordt dan ook getracht zoveel mogelijk persoonsgegevens over klanten te verzamelen; denk aan naw-gegevens, koopgedrag, klantcommunicatie, social media interactions; gegevens verkregen van derden, gegevens die de klant zelf verstrekt heeft, bijvoorbeeld middels een survey etc. Allemaal zeer waardevolle gegevens voor een gepersonaliseerde digitale marketingcampagne.
Het daadwerkelijk verzamelen van persoonsgegevens is in de praktijk echter nog niet zo eenvoudig. Een aantrekkelijk loyaltyprogramma wil een (potentiële) klant nog wel eens overtuigen om een account aan te maken en daarbij een lijst met persoonsgegevens in te vullen (20 punten als je ook de optionele velden invult). Vervolgens wordt de klant member. Het idee dat je als klant bij een exclusieve ‘club’ hoort, doet het vaak goed, evenals het vooruitzicht van een gratis hotelovernachting bij het sparen van genoeg punten.
Suppliers beloven de hospitalitybranche diverse tools in dit verband, waarmee klanten allereerst worden ingedeeld in segmenten (bijvoorbeeld ‘new customers’, ‘best customers’ en ‘intermittent customers’, maar vaak nog een stuk specifieker), vervolgens wordt er AI losgelaten op deze segmenten en wordt er (per segment) een voorspelling gegenereerd wat betreft klantgedrag. Daar worden dan hypergepersonaliseerde aanbiedingen op gebaseerd.
Hoe breng je een dergelijke werkwijze in lijn met relevante regelgeving zoals de AI Act en de AVG? Hieronder een (niet-uitputtend) lijstje met een aantal belangrijke compliance overwegingen.
2. Grondslag
Als je de deelname aan een loyaltyprogramma op toestemming baseert, let er dan op dat er vaak verschillende verwerkingsactiviteiten voor verschillende doeleinden plaatsvinden. Voor ieder doeleinde moet apart toestemming worden gevraagd.
Onderscheid eerst de verschillende verwerkingsactiviteiten (en de bijbehorende doeleinden), bijvoorbeeld:
- Deelname aan het loyaltyprogramma.
- Het indelen van klanten in segmenten.
- Het versturen van gepersonaliseerde direct marketing berichten.
Een veelgehoorde opmerking van marketingafdelingen is: hoe meer toestemmingshokjes er moeten worden aangevinkt, hoe eerder de (potentiële) klant afhaakt. Kijk per doeleinde goed of er eventueel een andere grondslag kan worden gebruikt zoals gerechtvaardigd belang. Het versturen van gepersonaliseerde marketing berichten moet sowieso op toestemming worden gebaseerd. Let daarbij op dat het toestemmingshokje geen ‘mandatory field’ is, het mag geen voorwaarde voor deelname aan het loyaltyprogramma zijn.[1]
3. Transparantie
Art. 13 van de AVG is van toepassing op de persoonsgegevens die direct bij de klant worden verzameld. Zorg voor een begrijpelijke toelichting over het loyaltyprogramma in het (online) privacy statement, waarbij de verschillende verwerkingsactiviteiten, doelen en grondslagen worden vermeld. Voor zover de inhoud van reclame teksten middels AI wordt gegenereerd en dit kwalificeert als generatieve AI geldt voor de aanbieder van het AI-systeem een markeringsverplichting.[2]
4. Data protection by design
Het gevaar van het loslaten van AI op klantgegevens, is dat klanten dit vaak niet verwachten. Voorkomen moet worden dat eventuele gepersonaliseerde aanbiedingen en de daaraan gerelateerde prijzen per klant zodanig uiteenlopen dat dit discriminerend werkt of dat een bericht zodanig gepersonaliseerd is dat dit te indringend wordt. Persoonsgegevens mogen niet worden verwerkt op een manier die nadelig, onwettig discriminerend, onverwacht of misleidend is voor de betrokkene.[3]
5. Data minimalisatie
Gebruik alleen gegevens van loyalty members voor direct marketing doeleinden die in lijn zijn met hun verwachting, zoals hun purchase history. Vermijd web-scraping.
6. Geautomatiseerde besluitvorming
Op het moment dat middels een geautomatiseerd besluit een voorspelling over klantgedrag wordt gegenereerd en op grond hiervan een gepersonaliseerde advertentie wordt getoond, zal in de meeste gevallen geen sprake zijn van een besluit dat iemand ‘in aanmerkelijke mate treft’, zoals bedoeld in art. 22 AVG.
Het kan echter voorkomen dat het besluit personen wel in aanmerkelijke mate treft, afhankelijk van de specifieke kenmerken van het geval, waaronder:
- Het indringende karakter van een eventueel profileringsproces.
- De verwachtingen en wensen van de betrokken personen.
- Het gebruik van kennis over de kwetsbaarheden van de benaderde betrokkenen.[4]
Kortom, zorg dat er niet te veel gegevens over klanten worden verzameld, houd rekening met de verwachtingen van klanten en vermijd het gebruik van bijzondere persoonsgegevens dan wel kennis over kwetsbaarheden van betrokkenen.
Wil je meer weten over dit onderwerp? Neem contact op met Elise Troll, advocaat counsel bij Kennedy Van der Laan. Elise adviseert bedrijven en organisaties op het gebied van privacy compliance, ze staat diverse nationale en internationale cliënten bij in vraagstukken over de AVG en ze procedeert in civiele zaken op het gebied van privacy.
[1] Art. 4 (11) AVG.
[2] Art. 50 (2) AI Verordening.
[3] EDPB Richtsnoeren 4/2019 inzake artikel 25 ‘Data Protection by Design and by Default’, 20 Oktober 2020, par. 69.
[4] EDPB Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, 6 februari 2018, p. 26.
Blijf op de hoogte!
Twee keer per week het actuele en relevante hotelnieuws in uw mailbox? Registreer hier voor onze gratis digitale nieuwsbrief en blijf op de hoogte.
