GDPR: de gevolgen voor digital advertising

GDPR: de gevolgen voor digital advertising

Dat de nieuwe privacywetgeving en later de ePrivacy-regulatie impact zullen hebben op veel bedrijven moge duidelijk zijn. Ook de impact op advertising mag niet onderschat worden. Een aantal blogposts voorspelt grote veranderingen binnen programmatic advertising en voor advertentie reuzen als Google en Facebook. Het klakkeloos plaatsen van trackingcookies en het delen van e-mailadressen met Google en Facebook, voor een custom audience of customer match-lijsten zal onder de wetgeving vanaf 25 mei 2018 verboden worden zonder toestemming van de gebruiker. Wij zetten graag de impact voor de verschillende typen advertising in Google, Bing en Facebook op een rij.

Dit artikel heb ik geschreven in samenwerking met mijn collega Nick Oltvoort, senior digital advertising marketeer bij Adwise - Your Digital Brain.

Een cookie met een volgnummer (zonder dat je weet wie deze persoon is of hoe hiermee contact opneemt) valt onder pseudo-anonieme data en hiermee ook binnen de AVG/GDPR-scope, aangezien je hiermee een persoon/webbezoeker individualiseerbaar maakt. De wetgeving zegt over cookies het volgende in richtlijn 30:

Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

In richtlijn 26 wordt benadrukt dat wanneer je een persoon individualiseerbaar maakt dit binnen de scope valt:

To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly.

Het laatste voorstel voor de ePrivacy-wetgeving (januari 2017) gaat nog een stap verder, want er wordt nog eens aangestipt dat alle technieken waarmee ongevraagd informatie over een gebruiker vastgelegd kunnen worden niet zijn toegestaand zonder toestemming. Het mag niet met of op het apparaat van de gebruiker, niet op afstand van het apparaat van de gebruiker en niet onafhankelijk van het apparaat van de gebruiker. Dit blijkt uit een opsomming van richtlijn 20:

  1. Furthermore, the so-called spyware, web bugs, hidden identifiers, tracking cookies and other similar unwanted tracking tools can enter end-user's terminal equipment without their knowledge in order to gain access to information, to store hidden information and to trace the activities.
  2. Information related to the end user’s device may also be collected remotely for the purpose of identification and tracking, using techniques such as the so-called ‘device fingerprinting’, often without the knowledge of the end-user, and may seriously intrude upon the privacy of these end-users.
  3. Techniques that surreptitiously monitor the actions of end-users, for example by tracking their activities online or the location of their terminal equipment, or subvert the operation of the end-users’ terminal equipment pose a serious threat to the privacy of end-users.”

Therefore, any such interference with the end-user's terminal equipment should be allowed only with the end-user's consent and for specific and transparent purposes.

Je moet toestemming hebben via een opt-in van de gebruiker voordat je dergelijke technieken mag gebruiken. Advertentiefuncties als RLSA (remarketing lists for search ads) en remarketing zijn cookie-based, waardoor je automatisch hiervoor ook een opt-in nodig hebt. Deze opt-in moet ondubbelzinnig zijn en er mag geen twijfel bestaan dat er toestemming is gegeven. Hierbij mag er geen vooraf aangevinkt vakje gebruikt worden of met een enkele knop toestemming voor alle doeleinde gegeven worden.

De wetgeving zegt hierover het volgende in richtlijn 32:

Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

En daarbij moet de gebruiker deze toestemming ook net zo gemakkelijk weer kunnen intrekken als dat deze is gegeven (artikel 7.3).

Serie over GDPR/AVG

Dit is het vierde deel in een serie over de impact van GDPR/AVG.

Wie moet om toestemming vragen?

De meeste blogposts die tot nu toe zijn verschenen gaan in op de gevallen gevallen waarin er toestemming gevraagd moet worden en gaan er daarbij vanuit dat dit iets is wat de lezer wellicht moet regelen. In het geval van online advertising zijn er echter gevallen te bedenken waarbij je als adverteerder gebruikmaakt van gebruikersdata waarvoor toestemming moet worden verkregen, maar waarbij je als adverteerder zelf níet degene bent die om toestemming moet vragen.

Vaak maken adverteerders gebruik van data die verzameld zijn door advertentieplatformen zelf, zoals Google en Facebook. Deze advertentieplatformen kunnen persoonlijke data niet zomaar meer inzetten zonder toestemming van de gebruiker. Hierbij geldt doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld en mogen niet voor andere zaken gebruikt worden. Dus volgens de AVG/GDPR mogen zij niet een algemene toestemming vragen die aan alle doeleinden wordt gekoppeld.

Voor de gebruiker kan dit best verwarrend zijn, want die krijgt wellicht een banner van jouw bedrijf te zien en klopt vervolgens bij jou aan met het verzoek om niet gevolgd te worden, terwijl deze gebruiker hiervoor eigenlijk bij Google of Facebook moet zijn. En ook voor jou als adverteerder is het lastig om door de bomen het bos te zien. We hebben daarom voor de belangrijkste advertentieplatformen op een rijtje gezet wie degene is die verantwoordelijk is voor de toestemming.

Google AdWords en Microsoft BingAds

Google AdWords en Microsoft BingAds zijn samen goed voor grofweg 20 procent van alle mediabestedingen in Nederland - waarbij het grootste deel naar Google gaat uiteraard. Het zijn beide advertentieplatformen van belang en voor veel bedrijven een onmisbare bron van websitebezoekers.

AdWords en BingAds hebben beide diverse functies waarbij je als adverteerder te maken krijgt met AVG/GDPR. Hieronder is dat verder uitgewerkt. Beide platformen hebben veel overeenkomsten, vandaar dat we ze samen behandelen.

Campagnes in het zoeknetwerk

De ‘klassieke’ vorm van AdWords en BingAds zijn advertenties in het zoeknetwerk, waarbij de adverteerder kan bieden op zoekwoorden om daarmee een advertentie te tonen bij de zoekresultaten van de gebruiker op Google of Bing. AVG/GDPR is hier niet direct op van toepassing, maar het zoeknetwerk wordt tegenwoordig vaak gebruikt in combinatie met gebruikersgegevens waarbij AVG/GDPR wél van toepassing is.

Demographics for Search Ads (DFSA) en andere gebruikersgegevens

Binnen campagnes in het zoeknetwerk kan gebruikgemaakt worden van demografische en gebruikersgegevens die Google heeft verzameld om campagnes verder te optimaliseren. Google is dan ook de partij die hier toestemming voor moet hebben gekregen van de gebruikers.

Campagnes in het displaynetwerk

Bij het serveren van banners in het displaynetwerk van Google of Bing kan onder andere gebruikgemaakt worden van in-market audiences en affinity audiences. Ook hier gaat het om data die Google heeft verkregen en waarvoor Google dan ook toestemming zou moeten hebben verkregen.

Remarketing en RLSA

Bij remarketing en remarketing lists for search ads (RLSA) toon je advertenties aan mensen die eerder je website hebben bezocht. Hierbij wordt het spannender, omdat je als adverteerder gebruikmaakt van een doelgroep die je zelf digitaal opbouwt. Dit zijn dan ook gegevens waarvoor officieel door de adverteerder toestemming gevraagd moet worden.

Similar audiences

Een grijs gebied zijn de zogenaamde ‘vergelijkbare doelgroepen’, oftewel similar audiences. Op basis van een door jou zelf verzamelde doelgroep gaat Google op zoek naar gebruikers met vergelijkbare karakteristieken. Deze similar audience bestaat dus uit gebruikers waar je zelf niet eerder contact mee hebt gehad en dus ook geen toestemming aan hebt kunnen vragen.

Anderzijds is deze doelgroep gebaseerd op een doelgroep die bestaat uit gebruikers waarmee je wél in contact bent geweest. Toch geldt in dit geval dat Google de partij is die toestemming moet vragen bij de gebruiker.

Customer match

Binnen het zoeknetwerk, YouTube en Gmail bestaat de mogelijkheid advertenties te targeten op basis van e-mailadressen. Dit is een functie binnen AdWords waarbij het het duidelijkst is dat toestemming nodig is. Zeker als je gebruikmaakt van e-mailadressen die niet gehasht zijn, want in dat geval maak je gebruik van persoonsgegevens die je ook nog eens deelt met een derde partij (Google).

We raden aan om de e-mailadressen te hashen en zodoende omzet in pseudo-anonieme data. Desondanks is toestemming van de gebruiker noodzakelijk.

Gmail Sponsored Promotions

Oorspronkelijk gebruikte Google de content van e-mails van consumenten om advertenties te personaliseren. Hiervoor zou duidelijk een opt-in nodig zijn, maar Google heeft hierin recent al een wijziging doorgevoerd. Vanaf 28 september gebruikt het de content van e-mails niet meer, waardoor domeintargeting ook niet meer mogelijk is.

Wij verwachten dat zolang er geen gebruikgemaakt wordt van remarketing of customer-match-doelgroepen binnen GSP, de standaard targeting buiten de scope valt of de verantwoordelijkheid voor toestemming van de gebruiker in ieder geval bij Google ligt.

Shopping

De prijsvergelijker van Google is de laatste tijd al veelvuldig in het nieuws vanwege de boete die de EU heeft opgelegd vanwege machtsmisbruik. Gelukkig staat dit los van alles rondom AVG/GDPR.

Hoewel de targeting in een Shopping-campagne wordt bepaald door een productfeed in plaats van zoekwoorden, heeft een shoppingcampagne op het gebied van AVG/GDPR het meeste weg van een campagne in het zoeknetwerk. Oftewel, net als in het zoeknetwerk is AVG/GDPR hierop niet direct van toepassing, maar wordt ook Shopping tegenwoordig vaak gebruikt in combinatie met gebruikersgegevens waarop AVG/GDPR wél van toepassing is. Denk hierbij bijvoorbeeld aan RLSA voor Shopping.

Videocampagnes

Campagnes op YouTube, zoals in-stream en discovery ads gebruiken uiteindelijk dezelfde targetingvormen als andere campagnetypen die hierboven zijn beschreven. Zo kun je gebruikmaken van doelgroepen die door Google zijn gedefinieerd, zoals in-market audiences en affinity audiences. In dat geval zal Google de toestemming van de gebruiker moeten hebben verkregen. Als je YouTube-campagnes zijn getarget op een doelgroep die je zelf opbouwt, zoals bij remarketing, zul je zelf toestemming moeten vragen aan de gebruiker.

Universal app campaigns

Dit campagnetype kan advertenties tonen binnen Google Zoeken, Google Play, YouTube en het Display Netwerk. Qua targeting kun je hieraan weinig zelf instellen en als er toestemming verkregen moet worden bij gebruikers, zal dit aan de kant van Google zijn. Google maakt hierbij zelf gebruik van ‘machine learning’. Hierop komen we later terug.

Conversietracking in AdWords en BingAds

Goede conversietracking is essentieel voor het beheer van advertentiecampagnes. Het is dan ook belangrijk dat dit goed blijft werken, ook na invoering van AVG/GDPR. Er is een aantal verschillende manieren om conversies te meten binnen Adwords en BingAds. Hieronder de belangrijkste.

AdWords-conversiecode

Conversietracking met behulp van de conversiecode maakt gebruik van een cookie om te bepalen of een specifieke gebruiker na het klikken op een advertentie uiteindelijk op een pagina komt waar deze code is verwerkt. Hiermee kan een individuele gebruiker geïdentificeerd worden en deze functie valt daarom onder AVG/GDPR. We verwachten dat je hiervoor als adverteerder toestemming moet vragen.

AdWords-conversies importeren vanuit Google Analytics

Als je doelen hebt ingesteld of transacties meet in Google Analytics, kun je instellen dat deze gekoppeld worden aan AdWords. Je kunt daardoor zien welke campagnes e.d. hebben gezorgd voor behaalde doelen of transacties. In een eerdere blogpost in deze serie over AVG/GDPR hebben we al toegelicht dat voor het meten van bezoekersgegevens met Google Analytics toestemming nodig is. Dit geldt dus ook voor deze vorm van conversietracking.

BingAds UET tag

De ‘Universal Event Tracking’-tag van BingAds werkt net iets anders dan de AdWords-conversiecode. Waar de conversiecode van AdWords in principe alleen op de ‘bedankpagina’ komt te staan, is het de bedoeling dat de UET-tag op alle pagina’s wordt ingeladen. Daarbij kan dezelfde tag worden gebruikt voor zowel het aanmaken van RLSA en remarketingdoelgroepen. Voor beide gevallen zul je toestemming nodig hebben.

Facebook

Het advertentieplatform van Facebook biedt veel targetingopties. Je kunt je doelgroep onder andere targeten op basis van leeftijd, locatie, geslacht, interesses, enzovoort. Dat is dan naast de doelgroepen die je zelf binnen Facebook kunt opbouwen op basis van de Facebook-pixel of bijvoorbeeld een klantenbestand. En daar komt dan ook nog bij dat de meeste targetingopties te combineren zijn.

Targetingopties van Facebook

Hieronder vatten we alle vormen van targeting samen die voortkomen uit informatie die Facebook over gebruikers heeft. Dit zijn bijvoorbeeld leeftijd, locatie, geslacht, interesses, enzovoort. Het is in dit geval Facebook dat toestemming van de gebruiker nodig heeft om deze targetingopties te mogen blijven aanbieden aan adverteerders.

Targeting op een klantenbestand of websiteverkeer

Bij targeting op een klantbestand of websiteverkeer gaat het om gegevens die je zelf verzamelt over gebruikers, zoals e-mailadressen en bezoekers van je website. Net als bij remarketing en customer match bij AdWords en BingAds geldt ook hier dat de adverteerder in dit geval zelf verantwoordelijk is voor de toestemming.

Lookalike audiences

Zoals Google similar audiences heeft, heeft Facebook lookalike audiences. Deze vergelijkbare doelgroepen zijn een grijs gebied, omdat ze worden opgebouwd door gegevens die de adverteerder zelf heeft verzameld te combineren met gegevens van Facebook. Omdat het echter gaat om gebruikers waar je zelf geen contact mee hebt gehad, is Facebook de partij die toestemming moet vragen.

Targeting op betrokkenheid

Facebook biedt de mogelijkheid om gebruikers te benaderen op basis van interactie met bijvoorbeeld je pagina of berichten op Facebook. Denk hierbij aan gebruikers die een bericht van je pagina hebben geliket of hebben gereageerd op je event. Hierbij zal Facebook toestemming moeten vragen aan de gebruiker om deze gegevens te mogen aanbieden als targetingoptie voor haar adverteerders.

Conversietracking in Facebook

Dezelfde pixel die je kunt gebruiken om remarketingdoelgroepen mee op te bouwen, kan ook worden gebruikt om conversies mee te meten. De situatie is niet anders dan bij remarketing, dus ook hier zul je zelf toestemming moeten hebben van de gebruiker om deze conversies te mogen vastleggen.

Biedstrategieën, advertentieroulatie en ‘machine learning’

De advertentienetwerken van Google, Microsoft, Facebook, enzovoort worden steeds slimmer. Op basis van allerlei signalen kan het systeem (deels) zelf bepalen welke advertentie moet worden vertoond aan welke gebruiker voor een optimaal resultaat.

Zo biedt Google bijvoorbeeld binnen AdWords de optie ‘verbeterde CPC’, waarbij het bod kan worden aangepast op basis van gegevens die Google heeft over een gebruiker en die invloed kunnen hebben op de effectiviteit van een bepaalde advertentie op dat moment. Met dergelijke technieken maakt Google onder water dus gebruik van gebruikersdata. Als adverteerder hoef je hier zelf geen toestemming voor te hebben van de gebruiker, maar Google zou dit wel moeten hebben.

RTB / Programmatic

Een groot gedeelte van programmatic advertising maakt gebruik van device-ids en met name cookies. Dat betekent dat dit valt onder de pseudo-anonieme data en dus binnen de scope van GDPR.

Binnen programmatic advertising zijn er veel partijen die deze data verwerken - denk aan de aanbod- en vraagkant (SSP's, DSP's), tussenpartijen (ad exchanges) en datamanagementplatformen (DMP's). De nieuwe wetgeving gaat hierop een behoorlijke impact hebben. Vooral datapartijen die geen toestemming kunnen krijgen via de website van de publisher of adverteerder, opereren dus is een lastig gebied.

Placement targeting & contextual targeting

Als real-time bidding wordt gebruikt om plaatsingen te targeten zonder dat er gebruikgemaakt wordt van gebruikersdata, zal dit geen problemen opleveren. Ook bij contextual targeting wordt de inhoud van een webpagina gescand op gebruikte zoekwoorden en worden hiermee dus geen gebruikersdata ingezet. Deze targetingopties zullen mogelijk in de toekomst weer meer gebruikt gaan worden.

DMP’s & third-party data

Datamanagementplatformen zijn steeds populairder geworden en via een dergelijk platform kan je vanuit verschillende bronnen data inladen en beheren. Dit kan gaan om data uit aangemaakte tags/pixels, eigen crm-data als e-mailadressen en aankoopgeschiedenis, maar ook third-party audiences, verkregen van partijen als Mark & Mini en Experian. Kijk dus goed uit welke bron je data komt, al deze toepassingen zullen onder de GDPR vallen en er zal zowel een opt-in als opt-out vereist zijn.

Opt-in geven & cookiewall

Hoe gaan we als marketeers en adverteerders die toestemming (opt-in) verkrijgen? De consument zal niet snel toestemming geven om achtervolgd te worden met banners. Ook een cookiewall (verplicht accepteren voor toegang) mag volgens de huidige wetgeving niet.

Daarbij gaat de voorkeur binnen het voorstel van de e-privacywetgeving ernaar uit dat deze instellingen op een centrale plaats worden beheerd, bijvoorbeeld in de browserinstellingen. Het e-privacyvoorstel zegt hier het volgende over:

By centralising the consent in software such as internet browsers and prompting users to choose their privacy settings and expanding the exceptions to the cookie consent rule, a significant proportion of businesses would be able to do away with cookie banners and notices, thus leading to potentially significant cost savings and simplification.

Dit betekent een versimpeling van de implementatie voor websites. Maar hierna wordt wel gelijk het grootste nadeel voor adverteerders benoemd:

However, it may become more difficult for online targeted advertisers to obtain consent if a large proportion of users opt for "reject third party cookies" settings. At the same time, centralising consent does not deprive website operators from the possibility to obtain consent by means of individual requests to end-users and thus maintain their current business model.

Het is nog lastig te voorspellen hoe dit zich gaat ontwikkelen, maar voorlopig zal een vorm van een cookie-melding/pop-upbox om toestemming te krijgen nog de meest praktische oplossing zijn.

In het huidige cookiebeleid van veel websites ga je met een druk op de knop akkoord met functionele, analytische en trackingcookies en hier wordt vaak een vage en algemene tekst voor gebruikt, zoals:

Wij gebruiken cookies om u een optimale gebruikerservaring te bieden.

Dit zal volgens de officiële wetgeving niet meer volstaan. Het is echter ook niet te doen om voor alle trackingcookies en toepassingen een voor een toestemming te geven. De consument zal geen idee hebben wat dit allemaal betekent en dus vaak ook geen toestemming geven.

Het wordt afwachten wat de grote spelers gaan doen en wat de jurisprudentie hierover gaat worden. Om het werkbaar te houden is het voorlopig een optie om een soft opt-in te gebruiken, dit is het meest gebruiksvriendelijk om te implementeren. Let hierbij op het volgende:

  1. Geef de gebruiker de mogelijkheid een keuze te maken voordat de cookies worden geplaatst bij een eerste bezoek.
  2. Geef voldoende informatie over welke cookies worden geplaatst en wat het doel hiervan is.
  3. Wanneer er een duidelijke cookiemelding is gegeven en gebruikers besluiten door te browsen of akkoord te geven, zou deze bevestigende actie mogelijk genoeg kunnen zijn voor toestemming.
  4. Geef altijd een optie voor een opt-out door een control center aan te bieden waarin gebruikers de huidige instellingen kunnen bekijken en kunnen wijzigen.

Er bestaat niet één perfecte oplossing om aan alle richtlijnen te voldoen. Iedere situatie is anders en de wetgeving is op dit moment nog op meerdere manieren te interpreteren. De e-privacy-regulatie is nog aan veel verandering onderhevig en is nog niet definitief.

Handhaving

Handhaving in Nederland wordt uitgevoerd door de Autoriteit Persoonsgegevens. De GDPR heeft natuurlijk niet alleen invloed op digitale marketing, maar op alle bedrijven die persoonsgegevens beheren en verwerken. De AP heeft al aangegeven dat ze de capaciteit zullen gaan verdubbelen, maar ook dat ze vooral grote zaken zullen gaan oppakken waarbij het om grote groepen mensen gaat of gevoelige onderwerpen. Hierbij geven ze ook aan dat ze theoretisch met alles aan de slag kunnen, maar hiervoor simpelweg niet de capaciteit hebben.

Bewerkingsovereenkomst

Bedrijven zijn verplicht om een bewerkersovereenkomst aan te gaan met derde partijen die hun data verwerken. Hierin moet vermeld staan welke data worden verwerkt, wat het doel hiervan is en welke verplichtingen en rechten gelden. Ga je dus eigen gebruikersdata in Google, Facebook of een DMP gebruiken, dan zou je met deze partijen ook een bewerkersovereenkomst moeten afsluiten.

Recht om vergeten te worden

Een belangrijk recht binnen de GDPR is dat gegevens door de gebruiker kunnen worden opgevraagd en dat er een verzoek kan worden gedaan om deze gegevens te verwijderen. Het probleem hierbij is dat het technisch gezien vaak niet mogelijk is een individueel persoon/cookie te verwijderen of deze data overdraagbaar te maken via bijvoorbeeld de advertentieplatformen AdWords en Facebook. Deze advertentieplatformen zullen dus in de toekomst aanpassingen voor moeten doorvoeren.                      

Laat als bedrijf zien dat je ermee bezig bent

Ons advies: laat zien dat je hier als bedrijf mee bezig bent en dat je de wetgeving serieus neemt. Documenteer de stappen die je zet om aan deze wetgeving te voldoen. Wij volgen als bureau de ontwikkelingen op de voet en zijn bezig met de ontwikkelingen, waarbij de wet wordt nageleefd en we manieren hanteren om op gebied van user experience de best practices door te voeren om opt-ins te verkrijgen.

Credits afbeelding: Negative Space, licentie: CC0 (Publiek domein)

Geplaatst in

Delen

0
6


Er zijn 8 reacties op dit artikel

  • Ik begrijp dat dit een marketing forum is en geen juridisch platform. Maar de GDPR is volgens mij vrij expliciet over toestemming en ik ben dan ook erg benieuwd waar je vandaan haalt dat een soft opt-in mogelijk genoeg moet zijn voor toestemming? Welke legale loophole maakt dit mogelijk? Argumenten als “het is anders niet te doen” of “consumenten zullen anders geen toestemming geven” of “de AP gaat toch niet handhaven” tellen niet.

    geplaatst op
  • Hoi Anne,

    We bedoelen hier niet dat een soft opt-in voldoende is om volledig te voldoen aan de eisen van de AVG/GDPR. Er bestaat niet één perfecte oplossing om aan alle richtlijnen te voldoen. Enerzijds moet je overal toestemming voor vragen, maar anderzijds mag je geen belemmeringen opleggen om de website te kunnen bezoeken. Dat kan tegenstrijdig worden.

    Niet dat we aanraden om de wet te overtreden, maar er is op het moment (ondanks de expliciete regels over toestemming) nog erg veel onduidelijk over hoe de regels in de praktijk geïnterpreteerd gaan worden. Dit geldt zeker zolang de e-privacywetgeving nog niet is afgerond.

    Argumenten als 'het is anders niet te doen' hebben inderdaad weinig waarde als het om juridische zaken gaat. Een pop-up met een lijst selectievakjes die iedere gebruiker stuk voor stuk moet aanklikken is echter vooral 'niet te doen' voor de consument.

    Waar het ons om gaat is dat we met z'n allen op zoek moeten naar een situatie die zo goed mogelijk voldoet aan de regels én gebruiksvriendelijk is voor de consument. Om tot die oplossing te komen raden we aan om niet 'cold-turkey' in één keer volledig overstag te gaan, maar om (liefst nu al) te testen wat werkt voor iedereen (de wetgever, de consument en voor jou als bedrijf).

    geplaatst op
  • Dank voor je toelichting. Is het niet zo dat er in e-privacy alleen een ban op tracking walls is opgenomen? Met andere woorden er mogen wel andere belemmeringen worden opgelegd om de website te bezoeken. Bijvoorbeeld een pay wall o.i.d. indien de tracking niet wordt geaccepteerd?

    geplaatst op
  • Hoi Anne,

    Zelfs al zou je een pay wall toevoegen, dan zou je alsnog geen tracking mogen doen zonder toestemming van de gebruiker. Ook betalende gebruikers zouden alsnog toestemming moeten geven, dus eigenlijk staat dit dan ook los van de blog hierboven.

    geplaatst op
  • Uiteraard kunnen deze betalende gebruikers dan niet meer worden getrackt, maar dat kunnen gebruikers die geen toestemming geven ook niet. De drempel om hier voor te kiezen wordt dan wel een heel stuk hoger en zal uiteindelijk tot meer opt-ins voor tracking leiden.
    Dit alles natuurlijk alleen als er geen andere vriendelijkere manier is om legaal toestemming te krijgen.

    geplaatst op
  • Hoi Anne,

    Heb jij een idee hoe het zit met mensen die nu al in je database staan? Zij hebben nooit toestemming gegeven voor het gebruik van hun gegevens voor bijvoorbeeld een campagne op facebook obv look a like database. Volgens de nieuwe wet moeten we hier eerst toestemming voor vragen. Moet je dit met terugwerkende kracht doen voor de mensen die nu al in je database staan?

    geplaatst op
  • Ik bedoel 'Hoi Wouter,' ipv 'Hoi Anne,'. Even niet goed opgelet ;-).

    geplaatst op
  • Hoi Britt,

    Goede vraag! Voor zover wij nu kunnen nagaan zijn er geen uitzonderingen voor 'oude data', wat betekent dat de wet ook met terugwerkende kracht van toepassing is op gebruikers die je nu in je database hebt staan. Als je nu gebruikmaakt van lijsten met gebruikers die daar (nog) geen expliciete toestemming voor hebben gegeven zul je die toestemming alsnog moeten vragen.

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.