GDPR: de gevolgen voor digital advertising

23 oktober 2017, 06:00

Dat de nieuwe privacywetgeving en later de ePrivacy-regulatie impact zullen hebben op veel bedrijven moge duidelijk zijn. Ook de impact op advertising mag niet onderschat worden. Een aantal blogposts voorspelt grote veranderingen binnen programmatic advertising en voor advertentie reuzen als Google en Facebook. Het klakkeloos plaatsen van trackingcookies en het delen van e-mailadressen met Google en Facebook, voor een custom audience of customer match-lijsten zal onder de wetgeving vanaf 25 mei 2018 verboden worden zonder toestemming van de gebruiker. Wij zetten graag de impact voor de verschillende typen advertising in Google, Bing en Facebook op een rij.

Dit artikel heb ik geschreven in samenwerking met mijn collega Nick Oltvoort, senior digital advertising marketeer bij Adwise – Your Digital Brain.

Een cookie met een volgnummer (zonder dat je weet wie deze persoon is of hoe hiermee contact opneemt) valt onder pseudo-anonieme data en hiermee ook binnen de AVG/GDPR-scope, aangezien je hiermee een persoon/webbezoeker individualiseerbaar maakt. De wetgeving zegt over cookies het volgende in richtlijn 30:

Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

In richtlijn 26 wordt benadrukt dat wanneer je een persoon individualiseerbaar maakt dit binnen de scope valt:

To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly.

Het laatste voorstel voor de ePrivacy-wetgeving (januari 2017) gaat nog een stap verder, want er wordt nog eens aangestipt dat alle technieken waarmee ongevraagd informatie over een gebruiker vastgelegd kunnen worden niet zijn toegestaand zonder toestemming. Het mag niet met of op het apparaat van de gebruiker, niet op afstand van het apparaat van de gebruiker en niet onafhankelijk van het apparaat van de gebruiker. Dit blijkt uit een opsomming van richtlijn 20:

  1. Furthermore, the so-called spyware, web bugs, hidden identifiers, tracking cookies and other similar unwanted tracking tools can enter end-user’s terminal equipment without their knowledge in order to gain access to information, to store hidden information and to trace the activities.
  2. Information related to the end user’s device may also be collected remotely for the purpose of identification and tracking, using techniques such as the so-called ‘device fingerprinting’, often without the knowledge of the end-user, and may seriously intrude upon the privacy of these end-users.
  3. Techniques that surreptitiously monitor the actions of end-users, for example by tracking their activities online or the location of their terminal equipment, or subvert the operation of the end-users’ terminal equipment pose a serious threat to the privacy of end-users.”

Therefore, any such interference with the end-user’s terminal equipment should be allowed only with the end-user’s consent and for specific and transparent purposes.

Je moet toestemming hebben via een opt-in van de gebruiker voordat je dergelijke technieken mag gebruiken. Advertentiefuncties als RLSA (remarketing lists for search ads) en remarketing zijn cookie-based, waardoor je automatisch hiervoor ook een opt-in nodig hebt. Deze opt-in moet ondubbelzinnig zijn en er mag geen twijfel bestaan dat er toestemming is gegeven. Hierbij mag er geen vooraf aangevinkt vakje gebruikt worden of met een enkele knop toestemming voor alle doeleinde gegeven worden.

De wetgeving zegt hierover het volgende in richtlijn 32:

Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject’s acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject’s consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

En daarbij moet de gebruiker deze toestemming ook net zo gemakkelijk weer kunnen intrekken als dat deze is gegeven (artikel 7.3).

Serie over GDPR/AVG

Dit is het vierde deel in een serie over de impact van GDPR/AVG.

Wie moet om toestemming vragen?

De meeste blogposts die tot nu toe zijn verschenen gaan in op de gevallen gevallen waarin er toestemming gevraagd moet worden en gaan er daarbij vanuit dat dit iets is wat de lezer wellicht moet regelen. In het geval van online advertising zijn er echter gevallen te bedenken waarbij je als adverteerder gebruikmaakt van gebruikersdata waarvoor toestemming moet worden verkregen, maar waarbij je als adverteerder zelf níet degene bent die om toestemming moet vragen.

Vaak maken adverteerders gebruik van data die verzameld zijn door advertentieplatformen zelf, zoals Google en Facebook. Deze advertentieplatformen kunnen persoonlijke data niet zomaar meer inzetten zonder toestemming van de gebruiker. Hierbij geldt doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld en mogen niet voor andere zaken gebruikt worden. Dus volgens de AVG/GDPR mogen zij niet een algemene toestemming vragen die aan alle doeleinden wordt gekoppeld.

Voor de gebruiker kan dit best verwarrend zijn, want die krijgt wellicht een banner van jouw bedrijf te zien en klopt vervolgens bij jou aan met het verzoek om niet gevolgd te worden, terwijl deze gebruiker hiervoor eigenlijk bij Google of Facebook moet zijn. En ook voor jou als adverteerder is het lastig om door de bomen het bos te zien. We hebben daarom voor de belangrijkste advertentieplatformen op een rijtje gezet wie degene is die verantwoordelijk is voor de toestemming.

Google AdWords en Microsoft BingAds

Google AdWords en Microsoft BingAds zijn samen goed voor grofweg 20 procent van alle mediabestedingen in Nederland – waarbij het grootste deel naar Google gaat uiteraard. Het zijn beide advertentieplatformen van belang en voor veel bedrijven een onmisbare bron van websitebezoekers.

AdWords en BingAds hebben beide diverse functies waarbij je als adverteerder te maken krijgt met AVG/GDPR. Hieronder is dat verder uitgewerkt. Beide platformen hebben veel overeenkomsten, vandaar dat we ze samen behandelen.

Campagnes in het zoeknetwerk

De ‘klassieke’ vorm van AdWords en BingAds zijn advertenties in het zoeknetwerk, waarbij de adverteerder kan bieden op zoekwoorden om daarmee een advertentie te tonen bij de zoekresultaten van de gebruiker op Google of Bing. AVG/GDPR is hier niet direct op van toepassing, maar het zoeknetwerk wordt tegenwoordig vaak gebruikt in combinatie met gebruikersgegevens waarbij AVG/GDPR wél van toepassing is.

Demographics for Search Ads (DFSA) en andere gebruikersgegevens

Binnen campagnes in het zoeknetwerk kan gebruikgemaakt worden van demografische en gebruikersgegevens die Google heeft verzameld om campagnes verder te optimaliseren. Google is dan ook de partij die hier toestemming voor moet hebben gekregen van de gebruikers.

Campagnes in het displaynetwerk

Bij het serveren van banners in het displaynetwerk van Google of Bing kan onder andere gebruikgemaakt worden van in-market audiences en affinity audiences. Ook hier gaat het om data die Google heeft verkregen en waarvoor Google dan ook toestemming zou moeten hebben verkregen.

Remarketing en RLSA

Bij remarketing en remarketing lists for search ads (RLSA) toon je advertenties aan mensen die eerder je website hebben bezocht. Hierbij wordt het spannender, omdat je als adverteerder gebruikmaakt van een doelgroep die je zelf digitaal opbouwt. Dit zijn dan ook gegevens waarvoor officieel door de adverteerder toestemming gevraagd moet worden.

Similar audiences

Een grijs gebied zijn de zogenaamde ‘vergelijkbare doelgroepen’, oftewel similar audiences. Op basis van een door jou zelf verzamelde doelgroep gaat Google op zoek naar gebruikers met vergelijkbare karakteristieken. Deze similar audience bestaat dus uit gebruikers waar je zelf niet eerder contact mee hebt gehad en dus ook geen toestemming aan hebt kunnen vragen.

Anderzijds is deze doelgroep gebaseerd op een doelgroep die bestaat uit gebruikers waarmee je wél in contact bent geweest. Je zult daarom deze gebruikers toestemming moeten vragen voor het delen van hun gegevens met Google.

Customer match

Binnen het zoeknetwerk, YouTube en Gmail bestaat de mogelijkheid advertenties te targeten op basis van e-mailadressen. Dit is een functie binnen AdWords waarbij het het duidelijkst is dat toestemming nodig is. Zeker als je gebruikmaakt van e-mailadressen die niet gehasht zijn, want in dat geval maak je gebruik van persoonsgegevens die je ook nog eens deelt met een derde partij (Google).

We raden aan om de e-mailadressen te hashen en zodoende omzet in pseudo-anonieme data. Desondanks is toestemming van de gebruiker noodzakelijk.

Gmail Sponsored Promotions

Oorspronkelijk gebruikte Google de content van e-mails van consumenten om advertenties te personaliseren. Hiervoor zou duidelijk een opt-in nodig zijn, maar Google heeft hierin recent al een wijziging doorgevoerd. Vanaf 28 september gebruikt het de content van e-mails niet meer, waardoor domeintargeting ook niet meer mogelijk is.

Wij verwachten dat zolang er geen gebruikgemaakt wordt van remarketing of customer-match-doelgroepen binnen GSP, de standaard targeting buiten de scope valt of de verantwoordelijkheid voor toestemming van de gebruiker in ieder geval bij Google ligt.

Shopping

De prijsvergelijker van Google is de laatste tijd al veelvuldig in het nieuws vanwege de boete die de EU heeft opgelegd vanwege machtsmisbruik. Gelukkig staat dit los van alles rondom AVG/GDPR.

Hoewel de targeting in een Shopping-campagne wordt bepaald door een productfeed in plaats van zoekwoorden, heeft een shoppingcampagne op het gebied van AVG/GDPR het meeste weg van een campagne in het zoeknetwerk. Oftewel, net als in het zoeknetwerk is AVG/GDPR hierop niet direct van toepassing, maar wordt ook Shopping tegenwoordig vaak gebruikt in combinatie met gebruikersgegevens waarop AVG/GDPR wél van toepassing is. Denk hierbij bijvoorbeeld aan RLSA voor Shopping.

Videocampagnes

Campagnes op YouTube, zoals in-stream en discovery ads gebruiken uiteindelijk dezelfde targetingvormen als andere campagnetypen die hierboven zijn beschreven. Zo kun je gebruikmaken van doelgroepen die door Google zijn gedefinieerd, zoals in-market audiences en affinity audiences. In dat geval zal Google de toestemming van de gebruiker moeten hebben verkregen. Als je YouTube-campagnes zijn getarget op een doelgroep die je zelf opbouwt, zoals bij remarketing, zul je zelf toestemming moeten vragen aan de gebruiker.

Universal app campaigns

Dit campagnetype kan advertenties tonen binnen Google Zoeken, Google Play, YouTube en het Display Netwerk. Qua targeting kun je hieraan weinig zelf instellen en als er toestemming verkregen moet worden bij gebruikers, zal dit aan de kant van Google zijn. Google maakt hierbij zelf gebruik van ‘machine learning’. Hierop komen we later terug.

Conversietracking in AdWords en BingAds

Goede conversietracking is essentieel voor het beheer van advertentiecampagnes. Het is dan ook belangrijk dat dit goed blijft werken, ook na invoering van AVG/GDPR. Er is een aantal verschillende manieren om conversies te meten binnen Adwords en BingAds. Hieronder de belangrijkste.

AdWords-conversiecode

Dit is een lastige. Enerzijds komen er geen persoonsgegevens te pas bij het meten van conversies. Puur het verzamelen van geaggregeerde statistieken is geen probleem onder de AVG/GDPR. Anderzijds verschilt de AdWords-conversiecode nauwelijks van de AdWords-remarketingcode en heeft standaard functionaliteit voor het opbouwen van doelgroepen. En dat is een feature waarvoor wél toestemming gevraagd moet worden.

AdWords-conversies importeren vanuit Google Analytics

Als je doelen hebt ingesteld of transacties meet in Google Analytics, kun je instellen dat deze gekoppeld worden aan AdWords. Je kunt daardoor zien welke campagnes e.d. hebben gezorgd voor behaalde doelen of transacties. In een eerdere blogpost in deze serie over AVG/GDPR hebben we al toegelicht dat voor het meten van bezoekersgegevens met Google Analytics toestemming nodig is. Dit geldt dus ook voor deze vorm van conversietracking.

BingAds UET tag

De ‘Universal Event Tracking’-tag van BingAds werkt net iets anders dan de AdWords-conversiecode. Waar de conversiecode van AdWords in principe alleen op de ‘bedankpagina’ komt te staan, is het de bedoeling dat de UET-tag op alle pagina’s wordt ingeladen. Daarbij kan dezelfde tag worden gebruikt voor zowel het aanmaken van RLSA en remarketingdoelgroepen. Voor beide gevallen zul je toestemming nodig hebben.

Facebook

Het advertentieplatform van Facebook biedt veel targetingopties. Je kunt je doelgroep onder andere targeten op basis van leeftijd, locatie, geslacht, interesses, enzovoort. Dat is dan naast de doelgroepen die je zelf binnen Facebook kunt opbouwen op basis van de Facebook-pixel of bijvoorbeeld een klantenbestand. En daar komt dan ook nog bij dat de meeste targetingopties te combineren zijn.

Targetingopties van Facebook

Hieronder vatten we alle vormen van targeting samen die voortkomen uit informatie die Facebook over gebruikers heeft. Dit zijn bijvoorbeeld leeftijd, locatie, geslacht, interesses, enzovoort. Het is in dit geval Facebook dat toestemming van de gebruiker nodig heeft om deze targetingopties te mogen blijven aanbieden aan adverteerders.

Targeting op een klantenbestand of websiteverkeer

Bij targeting op een klantbestand of websiteverkeer gaat het om gegevens die je zelf verzamelt over gebruikers, zoals e-mailadressen en bezoekers van je website. Net als bij remarketing en customer match bij AdWords en BingAds geldt ook hier dat de adverteerder in dit geval zelf verantwoordelijk is voor de toestemming.

Lookalike audiences

Zoals Google similar audiences heeft, heeft Facebook lookalike audiences. Deze vergelijkbare doelgroepen zijn een grijs gebied, omdat ze worden opgebouwd door gegevens die de adverteerder zelf heeft verzameld te combineren met gegevens van Facebook. Omdat het gaat om gebruikers waar je zelf geen contact mee hebt gehad, is Facebook de partij die toestemming moet vragen aan die gebruikers. Je zult echter zelf ook toestemming moeten vragen voor het delen van gegevens met Facebook.

Targeting op betrokkenheid

Facebook biedt de mogelijkheid om gebruikers te benaderen op basis van interactie met bijvoorbeeld je pagina of berichten op Facebook. Denk hierbij aan gebruikers die een bericht van je pagina hebben geliket of hebben gereageerd op je event. Hierbij zal Facebook toestemming moeten vragen aan de gebruiker om deze gegevens te mogen aanbieden als targetingoptie voor haar adverteerders.

Conversietracking in Facebook

Dezelfde pixel die je kunt gebruiken om remarketingdoelgroepen mee op te bouwen, kan ook worden gebruikt om conversies mee te meten. De situatie is niet anders dan bij remarketing, dus ook hier zul je zelf toestemming moeten hebben van de gebruiker om deze conversies te mogen vastleggen.

Biedstrategieën, advertentieroulatie en ‘machine learning’

De advertentienetwerken van Google, Microsoft, Facebook, enzovoort worden steeds slimmer. Op basis van allerlei signalen kan het systeem (deels) zelf bepalen welke advertentie moet worden vertoond aan welke gebruiker voor een optimaal resultaat.

Zo biedt Google bijvoorbeeld binnen AdWords de optie ‘verbeterde CPC’, waarbij het bod kan worden aangepast op basis van gegevens die Google heeft over een gebruiker en die invloed kunnen hebben op de effectiviteit van een bepaalde advertentie op dat moment. Met dergelijke technieken maakt Google onder water dus gebruik van gebruikersdata. Als adverteerder hoef je hier zelf geen toestemming voor te hebben van de gebruiker, maar Google zou dit wel moeten hebben.

RTB / Programmatic

Een groot gedeelte van programmatic advertising maakt gebruik van device-ids en met name cookies. Dat betekent dat dit valt onder de pseudo-anonieme data en dus binnen de scope van GDPR.

Binnen programmatic advertising zijn er veel partijen die deze data verwerken – denk aan de aanbod- en vraagkant (SSP’s, DSP’s), tussenpartijen (ad exchanges) en datamanagementplatformen (DMP’s). De nieuwe wetgeving gaat hierop een behoorlijke impact hebben. Vooral datapartijen die geen toestemming kunnen krijgen via de website van de publisher of adverteerder, opereren dus is een lastig gebied.

Placement targeting & contextual targeting

Als real-time bidding wordt gebruikt om plaatsingen te targeten zonder dat er gebruikgemaakt wordt van gebruikersdata, zal dit geen problemen opleveren. Ook bij contextual targeting wordt de inhoud van een webpagina gescand op gebruikte zoekwoorden en worden hiermee dus geen gebruikersdata ingezet. Deze targetingopties zullen mogelijk in de toekomst weer meer gebruikt gaan worden.

DMP’s & third-party data

Datamanagementplatformen zijn steeds populairder geworden en via een dergelijk platform kan je vanuit verschillende bronnen data inladen en beheren. Dit kan gaan om data uit aangemaakte tags/pixels, eigen crm-data als e-mailadressen en aankoopgeschiedenis, maar ook third-party audiences, verkregen van partijen als Mark & Mini en Experian. Kijk dus goed uit welke bron je data komt, al deze toepassingen zullen onder de GDPR vallen en er zal zowel een opt-in als opt-out vereist zijn.

Opt-in geven & cookiewall

Hoe gaan we als marketeers en adverteerders die toestemming (opt-in) verkrijgen? De consument zal niet snel toestemming geven om achtervolgd te worden met banners. Ook een cookiewall (verplicht accepteren voor toegang) mag volgens de huidige wetgeving niet.

Daarbij gaat de voorkeur binnen het voorstel van de e-privacywetgeving ernaar uit dat deze instellingen op een centrale plaats worden beheerd, bijvoorbeeld in de browserinstellingen. Het e-privacyvoorstel zegt hier het volgende over:

By centralising the consent in software such as internet browsers and prompting users to choose their privacy settings and expanding the exceptions to the cookie consent rule, a significant proportion of businesses would be able to do away with cookie banners and notices, thus leading to potentially significant cost savings and simplification.

Dit betekent een versimpeling van de implementatie voor websites. Maar hierna wordt wel gelijk het grootste nadeel voor adverteerders benoemd:

However, it may become more difficult for online targeted advertisers to obtain consent if a large proportion of users opt for “reject third party cookies” settings. At the same time, centralising consent does not deprive website operators from the possibility to obtain consent by means of individual requests to end-users and thus maintain their current business model.

Het is nog lastig te voorspellen hoe dit zich gaat ontwikkelen, maar voorlopig zal een vorm van een cookie-melding/pop-upbox om toestemming te krijgen nog de meest praktische oplossing zijn.

In het huidige cookiebeleid van veel websites ga je met een druk op de knop akkoord met functionele, analytische en trackingcookies en hier wordt vaak een vage en algemene tekst voor gebruikt, zoals:

Wij gebruiken cookies om u een optimale gebruikerservaring te bieden.

Dit zal volgens de officiële wetgeving niet meer volstaan. Het is echter ook niet te doen om voor alle trackingcookies en toepassingen een voor een toestemming te geven. De consument zal geen idee hebben wat dit allemaal betekent en dus vaak ook geen toestemming geven.

Het wordt afwachten wat de grote spelers gaan doen en wat de jurisprudentie hierover gaat worden. Om het werkbaar te houden is het voorlopig een optie om een soft opt-in te gebruiken, dit is het meest gebruiksvriendelijk om te implementeren. Let hierbij op het volgende:

  1. Geef de gebruiker de mogelijkheid een keuze te maken voordat de cookies worden geplaatst bij een eerste bezoek.
  2. Geef voldoende informatie over welke cookies worden geplaatst en wat het doel hiervan is.
  3. Wanneer er een duidelijke cookiemelding is gegeven en gebruikers besluiten door te browsen of akkoord te geven, zou deze bevestigende actie mogelijk genoeg kunnen zijn voor toestemming.
  4. Geef altijd een optie voor een opt-out door een control center aan te bieden waarin gebruikers de huidige instellingen kunnen bekijken en kunnen wijzigen.

Er bestaat niet één perfecte oplossing om aan alle richtlijnen te voldoen. Iedere situatie is anders en de wetgeving is op dit moment nog op meerdere manieren te interpreteren. De e-privacy-regulatie is nog aan veel verandering onderhevig en is nog niet definitief.

Handhaving

Handhaving in Nederland wordt uitgevoerd door de Autoriteit Persoonsgegevens. De GDPR heeft natuurlijk niet alleen invloed op digitale marketing, maar op alle bedrijven die persoonsgegevens beheren en verwerken. De AP heeft al aangegeven dat ze de capaciteit zullen gaan verdubbelen, maar ook dat ze vooral grote zaken zullen gaan oppakken waarbij het om grote groepen mensen gaat of gevoelige onderwerpen. Hierbij geven ze ook aan dat ze theoretisch met alles aan de slag kunnen, maar hiervoor simpelweg niet de capaciteit hebben.

Bewerkingsovereenkomst

Bedrijven zijn verplicht om een bewerkersovereenkomst aan te gaan met derde partijen die hun data verwerken. Hierin moet vermeld staan welke data worden verwerkt, wat het doel hiervan is en welke verplichtingen en rechten gelden. Ga je dus eigen gebruikersdata in Google, Facebook of een DMP gebruiken, dan zou je met deze partijen ook een bewerkersovereenkomst moeten afsluiten.

Recht om vergeten te worden

Een belangrijk recht binnen de GDPR is dat gegevens door de gebruiker kunnen worden opgevraagd en dat er een verzoek kan worden gedaan om deze gegevens te verwijderen. Het probleem hierbij is dat het technisch gezien vaak niet mogelijk is een individueel persoon/cookie te verwijderen of deze data overdraagbaar te maken via bijvoorbeeld de advertentieplatformen AdWords en Facebook. Deze advertentieplatformen zullen dus in de toekomst aanpassingen voor moeten doorvoeren.

Laat als bedrijf zien dat je ermee bezig bent

Ons advies: laat zien dat je hier als bedrijf mee bezig bent en dat je de wetgeving serieus neemt. Documenteer de stappen die je zet om aan deze wetgeving te voldoen. Wij volgen als bureau de ontwikkelingen op de voet en zijn bezig met de ontwikkelingen, waarbij de wet wordt nageleefd en we manieren hanteren om op gebied van user experience de best practices door te voeren om opt-ins te verkrijgen.

Dit artikel is in maart 2018 op verzoek van de auteur aangepast door de redactie van Marketingfacts om zorgvuldiger te zijn over similar audiences, lookalike audiences en AdWords-conversiecodes.

Wouter Nieuwerth
Online Advertising Specialist bij Adwise | Your Digital Brain

Als Digital Advertising Marketeer zorg ik voor de implementatie, optimalisatie en rapportage van online advertising (Google AdWords, Bing & Yahoo!, Facebook advertising, RTB) campagnes van opdrachtgevers. Mijn passie ligt daarbij vooral bij de 'technische' kant van online marketing en ik kan me helemaal ingraven in het analyseren van data.

Categorie
Tags
gdpr,

28 Reacties

    Anne

    Ik begrijp dat dit een marketing forum is en geen juridisch platform. Maar de GDPR is volgens mij vrij expliciet over toestemming en ik ben dan ook erg benieuwd waar je vandaan haalt dat een soft opt-in mogelijk genoeg moet zijn voor toestemming? Welke legale loophole maakt dit mogelijk? Argumenten als “het is anders niet te doen” of “consumenten zullen anders geen toestemming geven” of “de AP gaat toch niet handhaven” tellen niet.


    24 oktober 2017 om 10:04
    WouterNieuwerth

    Hoi Anne,

    We bedoelen hier niet dat een soft opt-in voldoende is om volledig te voldoen aan de eisen van de AVG/GDPR. Er bestaat niet één perfecte oplossing om aan alle richtlijnen te voldoen. Enerzijds moet je overal toestemming voor vragen, maar anderzijds mag je geen belemmeringen opleggen om de website te kunnen bezoeken. Dat kan tegenstrijdig worden.

    Niet dat we aanraden om de wet te overtreden, maar er is op het moment (ondanks de expliciete regels over toestemming) nog erg veel onduidelijk over hoe de regels in de praktijk geïnterpreteerd gaan worden. Dit geldt zeker zolang de e-privacywetgeving nog niet is afgerond.

    Argumenten als ‘het is anders niet te doen’ hebben inderdaad weinig waarde als het om juridische zaken gaat. Een pop-up met een lijst selectievakjes die iedere gebruiker stuk voor stuk moet aanklikken is echter vooral ‘niet te doen’ voor de consument.

    Waar het ons om gaat is dat we met z’n allen op zoek moeten naar een situatie die zo goed mogelijk voldoet aan de regels én gebruiksvriendelijk is voor de consument. Om tot die oplossing te komen raden we aan om niet ‘cold-turkey’ in één keer volledig overstag te gaan, maar om (liefst nu al) te testen wat werkt voor iedereen (de wetgever, de consument en voor jou als bedrijf).


    24 oktober 2017 om 11:43
    Anne

    Dank voor je toelichting. Is het niet zo dat er in e-privacy alleen een ban op tracking walls is opgenomen? Met andere woorden er mogen wel andere belemmeringen worden opgelegd om de website te bezoeken. Bijvoorbeeld een pay wall o.i.d. indien de tracking niet wordt geaccepteerd?


    26 oktober 2017 om 07:48
    WouterNieuwerth

    Hoi Anne,

    Zelfs al zou je een pay wall toevoegen, dan zou je alsnog geen tracking mogen doen zonder toestemming van de gebruiker. Ook betalende gebruikers zouden alsnog toestemming moeten geven, dus eigenlijk staat dit dan ook los van de blog hierboven.


    26 oktober 2017 om 15:18
    Anne

    Uiteraard kunnen deze betalende gebruikers dan niet meer worden getrackt, maar dat kunnen gebruikers die geen toestemming geven ook niet. De drempel om hier voor te kiezen wordt dan wel een heel stuk hoger en zal uiteindelijk tot meer opt-ins voor tracking leiden.

    Dit alles natuurlijk alleen als er geen andere vriendelijkere manier is om legaal toestemming te krijgen.


    27 oktober 2017 om 07:07
    Britt

    Hoi Anne,

    Heb jij een idee hoe het zit met mensen die nu al in je database staan? Zij hebben nooit toestemming gegeven voor het gebruik van hun gegevens voor bijvoorbeeld een campagne op facebook obv look a like database. Volgens de nieuwe wet moeten we hier eerst toestemming voor vragen. Moet je dit met terugwerkende kracht doen voor de mensen die nu al in je database staan?


    13 november 2017 om 14:44
    Britt

    Ik bedoel ‘Hoi Wouter,’ ipv ‘Hoi Anne,’. Even niet goed opgelet ;-).


    13 november 2017 om 14:45
    WouterNieuwerth

    Hoi Britt,

    Goede vraag! Voor zover wij nu kunnen nagaan zijn er geen uitzonderingen voor ‘oude data’, wat betekent dat de wet ook met terugwerkende kracht van toepassing is op gebruikers die je nu in je database hebt staan. Als je nu gebruikmaakt van lijsten met gebruikers die daar (nog) geen expliciete toestemming voor hebben gegeven zul je die toestemming alsnog moeten vragen.


    13 november 2017 om 16:19
    Rosie

    Dag Wouter,

    Is het voldoende om voor conversietracking in het algemeen toestemming te vragen of dient er per platform toestemming gevraagd te worden. Dus conversietracking Facebook Ads, conversietracking AdWords etc.

    Dank voor je reactie!


    14 maart 2018 om 11:01
    WouterNieuwerth

    Hoi Rosie,

    Ook een goede vraag. Zoals het er nu naar uit ziet volstaat het om toestemming te vragen per ‘functie’, dus bijvoorbeeld conversietracking in het algemeen of remarketing. Waarschijnlijk heeft 99% van de bezoekers geen idee waar je het over hebt als je toestemming gaat vragen voor Criteo of Adwords, want ze kennen die platformen niet. Waarschijnlijk volstaat het om bijvoorbeeld te vragen om toestemming voor ‘het plaatsen van cookies om onze marketingactiviteiten te verbeteren’, enzovoort. Maar jurisprudentie op dit vlak is er voor zover ik weet nog niet, dus helemaal 100% zeker hoe dit uit gaat pakken is het nog niet.


    14 maart 2018 om 15:41
    Gert

    Veel van de informatie die ik vind over Facebook, Google en ander Social Media gaat over de verplichtingen van die laatste, of hoe zij kunnen voldoen aan GDPR.

    Stel dat wij als bedrijf XXXXX nieuwe social media aanmaken (LinkedIn, Facebook, YouTube) en het beheer van onze bedrijfsaccounts uitbesteden aan bedrijf YYYYY, zijn we dan verplicht om dit te vermelden bij onze personeelsleden?

    Uiteraard willen we dat ze zoveel mogelijk met onze bedrijfspagina connecteren, en misschien willen ze dat niet als we zeggen dat we het beheer uitbesteed hebben.


    23 maart 2018 om 16:10
    WouterNieuwerth

    Hallo Gert,

    Als je het beheer van social media uitbesteedt aan bijvoorbeeld een bureau zou je (indien er persoonsgegevens bij betrokken zijn) een verwerkersovereenkomst af moeten sluiten met dit bureau. Daarnaast zou je in je privacy statement hier een item over op moeten nemen. Hoe dit exact verwoord moet worden (of bijvoorbeeld het bureau met naam en toenaam benoemd moet worden) kun je het beste met je jurist afstemmen.

    Heb ik je je vraag hiermee voldoende beantwoord?


    26 maart 2018 om 11:23
    Karlijn

    Hallo Wouter,

    Je geeft aan dat voor retargeting met Google Adwords een opt-in aan de websitebezoeker getoond moet worden.Hierover heb ik een praktische vraag. Stel dat je een Google Adwords Tag hebt geplaatst voor het bijhouden van alle websitebezoekers en Google gebruikt deze om een remarketing lijst te vullen. Deze website bezoekers krijgen vervolgens display advertenties van je bedrijf te zien. Zijn er al praktische oplossingen bekend om te waarborgen dat alleen mensen de die toestemming via een opt-in op de website hebben gegeven de advertentie te zien krijgen?

    Dank voor je reactie!

    Karlijn


    27 maart 2018 om 08:39
    WouterNieuwerth

    Hoi Karlijn,

    In principe is het de bedoeling dat er alleen gebruikers op je remarketinglijst komen te staan die toestemming hebben gegeven. De remarketingtag van Adwords zou daarom pas ingeladen mogen worden als de gebruiker toestemming heeft gegeven. Je voorkomt dus dat advertenties worden vertoond aan gebruikers die geen toestemming hebben gegeven door ervoor te zorgen dat ze niet op de remarketinglijst komen te staan.

    Er zijn verschillende tools waarmee je kunt beïnvloeden of een remarketingtag wordt ingeladen of niet. Wij maken bijvoorbeeld vaak gebruik van Google Tag Manager, waarmee we kunnen instellen dat de remarketingtag alleen ingeladen mag worden als de gebruiker akkoord is.


    27 maart 2018 om 10:00
    Karlijn

    Beste Wouter,

    bedankt voor je antwoord! Weet jij of er een stappenplan/ handleiding beschikbaar is hoe je dat binnen Google Tag Manager kunt inrichten? Is dat een technisch verhaal waarbij je een webbouwer moet betrekken?

    Groet,

    Karlijn


    28 maart 2018 om 13:53
    WouterNieuwerth

    Hoi Karlijn,

    Voor zover ik weet is er geen standaard stappenplan of handleiding beschikbaar voor het instellen van Tag Manager om aan de AVG te voldoen. Welke aanpassingen en instellingen er precies nodig zijn binnen Tag Manager is ook voor een groot deel afhankelijk van de situatie, dus is het lastig om daar een ‘one size fits all’ stappenplan voor op te stellen. Als je wil kun je altijd contact met ons opnemen, zodat we je een antwoord kunnen geven dat aansluit bij jouw situatie.


    29 maart 2018 om 07:34
    Merel

    Hallo Wouter,

    Ik heb ook een vraag. Is er duidelijkheid over het gebruiken van een incentive voor het aanvinken van je opt-ins? Denk hierbij aan het bieden van korting wanneer een gebruiker alle opt-ins aanklikt of een deel hiervan.

    Met vriendelijke groeten,

    Merel


    13 mei 2018 om 15:21
    WouterNieuwerth

    Hoi Merel,

    Voor zover wij weten mag dit, al is dit wel een beetje grijs gebied waar je je dan in begeeft. Je mag iemand wel belonen als hij/zij wel akkoord gaat, maar je mag niet iemand straffen (bijvoorbeeld door diensten te weigeren) omdat hij/zij niet akkoord gaat. Het gaat erom dat iemand een vrije keuze kan maken en het vooral de vraag hoe vrij die keuze is als je alleen een beloning geeft voor het aanvinken van je opt-ins.

    Wouter / Adwise.


    14 mei 2018 om 07:54
    Ramon

    Wij vragen straks toestemming voor 3 soorten cookies: functioneel, analytisch en commerciele. Mag je wel alles standaard aanvinken? Let op: het is dan standaard aangevinkt maar de gebruiker moet nog wel op “Akkoord” klikken. Of mag je alleen de eerste twee (functioneel en analytisch) standaard aanvinken?


    14 mei 2018 om 14:15
    WouterNieuwerth

    Hoi Ramon,

    Dat klinkt als een nette oplossing al!

    Als je strikt de richtlijnen volgt is het niet toegestaan om vooraf aangevinkte hokjes te gebruiken, want in richtlijn 32 staat: “Silence, pre-ticked boxes or inactivity should not therefore constitute consent”. Er is echter niet bij beschreven hoe dit dan zit als de gebruiker nog wel akkoord geeft op die vooraf aangevinkte hokjes. Wat dat betreft is er bij “Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to the processing of personal data relating to him or her” nog ruimte voor interpretatie. Want wat is dan precies een “clear affirmative act”? Hoe dit na de 25e exact geïnterpreteerd gaat worden door de autoriteiten durf ik niet te voorspellen, maar we gaan het vast snel zien!

    Wouter / Adwise.


    15 mei 2018 om 07:24
    Navajo

    In het stuk geven jullie aan dat Adwords conversie tracking lastig is, maar jullie geven geen echt antwoord ;-). Stel dat het enige dat ik in AdWords wil zien, de webshop omzet is van de conversies horende bij een bepaalde advertentie of shopping feed. Dus geen remarketing of wat dan ook. 1) Kan dat nog steeds zonder om toestemming te vragen? 2) Zo nee, waarom eigenlijk niet? 3) Als het niet mag, kun je dit verbod dan omzeilen door de omzet value via je eigen systeem aan adwords te koppelen oid? (Wat al gebeurd bij bedrijven die merken dat cookie blokkers de adwords omzet data verkleuren.) Met vriendelijke groet, Navajo


    21 mei 2018 om 13:30
    WouterNieuwerth

    Hoi Navajo,

    Je hebt gelijk dat we wat conversietracking wat op de vlakte blijven in dit geval. Enerzijds is het verzamelen van anonieme, geaggregeerde statistieken, zoals een aantal conversies dat voortkomt uit een bepaalde campagne geen probleem. Hiervoor hoeft dan ook geen toestemming te worden gevraagd. Anderzijds maakt Adwords standaard ook een remarketinglijst aan van geconverteerde bezoekers via de Adwords conversiecode. Daarvoor moet zeker wél toestemming worden gevraagd. Kortom, ‘dus geen remarketing of wat dan ook’ gaat niet op, want die krijg je er ongevraagd bij. We hopen dat hier nog wel wat aan gedaan gaat worden (conversietracking is een essentieel onderdeel van Adwords), dus vandaar dat we nog geen duidelijk antwoord hebben gegeven.

    Heel zwart-wit bekeken moet je voor conversietracking via de Adwords conversiecode dus toestemming vragen. Voor zover ik weet is je truc om dit te omzeilen ook geen oplossing hiervoor.

    Wouter / Adwise.


    22 mei 2018 om 07:35
    Jeroen

    Hallo Wouter,

    dank voor je uitgebreide artikel en al je antwoorden op de vragen. Zeer nuttig.

    Klopt het dan, als aanvulling op de vraag van Navajo, dat wanneer wij geen conversietracking in onze code opnemen, adwords de enige partij is die nog om akkoord moet vragen aan de mensen waar zij de advertentie willen plaatsen? Dus wij gebruiken niets behalve Adwords, maar zonder code in onze website.

    Dan zouden wij toch helemaal geen cookiestatement nodig hebben?


    22 mei 2018 om 08:50
    WouterNieuwerth

    Ha Jeroen,

    Als je inderdaad geen gebruik maakt van enige vorm van tracking of verwerking van persoonsgegevens op je website, heb je inderdaad ook niet met de AVG te maken. Je hebt dan ook geen cookiestatement nodig als je niets met cookies of trackingcodes doet.

    Let er echter wel op dat de AVG breder is dan cookies en trackingcodes en ook breder dan alleen je online activiteiten. Als je bijvoorbeeld een formulier op je website hebt staan waar gebruikers bijvoorbeeld hun contactgegevens invullen heb je nog steeds een privacy policy nodig.

    Wouter / Adwise


    22 mei 2018 om 09:35
    Jeroen

    Dank Wouter,

    En de aanname dat Google Adwords dan om akkoord moet vragen bij de internettende (mooi woord) mensen en wij een adwords campagne mogen bestellen bij Google Adwords zonder onze bezoekers te waarschuwen klopt dus?

    Met vriendelijke groet Jeroen


    23 mei 2018 om 07:29
    WouterNieuwerth

    Hallo Jeroen,

    Ja, als je alleen gebruikmaakt van de data die Google biedt en je zélf geen data verzamelt en naar Adwords stuurt (zoals met een remarketing- of conversiecode) is Google inderdaad de partij die toestemming moet hebben gevraagd.

    Sterker nog, met Adwords bereik je hoogstwaarschijnlijk ook veel mensen waarmee je zelf nog nooit in contact bent geweest. Je hebt dus ook nooit de kans gehad om ze om toestemming te vragen. Dus stel dat je in Adwords gebruikmaakt van demografische targeting, dan maak je gebruik van gegevens die Google heeft verzameld en waar Google als het goed is netjes toestemming voor heeft gekregen.

    Wouter / Adwise


    23 mei 2018 om 07:42
    Rick

    Hi Wouter,

    Goed artikel!

    Wat betreft het gebruik maken van remarketinglijsten, is dit nog mogelijk via Google Analytics?

    De bezoeker zal apart toestemming moeten geven voor de remarketingtag op de website, deze zal dan dus ook apart ingeladen moeten worden, is dit mogelijk met het gebruik van remarketing via Google Analytics?

    Het maken van doelgroeplijsten via Google AdWords zijn beperkter in de opties dan wanneer je een lijst aanmaakt door middel van Google Analytics. Vandaar voorgaande vraag. Of biedt Google Tagmanager hier wellicht de juiste uitkomst voor, waarbij de remarketingtag van Analytics apart wordt ingeladen?

    Ik hoor het graag.

    Met vriendelijke groet,

    Rick


    30 mei 2018 om 09:17
    WouterNieuwerth

    Ha Rick,

    Ja, dat kan zeker nog via Google Analytics. Wat wij in dat geval meestal doen is (inderdaad) via Tag Manager instellen dat de optie ‘functies voor Display Advertising’ alleen op ‘Waar’ mag staan als de gebruiker akkoord heeft gegeven.

    Helaas kan deze instelling nog niet via een variabele in Tag Manager ingesteld worden, maar de eenvoudigste oplossing is om een kopie van je Analytics tag te maken, waarbij de één alleen wordt afgevuurd als er akkoord is gegeven en de ander alleen als er geen akkoord is gegeven. Let er wel op dat je niet per ongeluk dubbele data naar Analytics stuurt. En let er ook op dat de instelling ‘functies voor Display Advertising’ zowel in pageview Tags als event Tags van Analytics zit.

    Wouter / Adwise


    30 mei 2018 om 09:43

Marketingfacts. Elke dag vers. Mis niks!