Hoe moeten marketeers inspelen op privacy-uitspraak AP?

Hopelijk helpt dit om onze ‘marketing-auto’s’ weer op 120 kilometer per uur te krijgen

De Autoriteit Persoonsgegevens deed een ingrijpende uitspraak. Het gros van de Nederlandse websites moet namelijk per direct een einde maken aan de manier waarop er gegevens van gebruikers worden verzameld. Deze werkwijze zou namelijk in strijd zijn met de Europese privacywetgeving. Ook Google Analytics komt onder vuur te liggen en daar is in de afgelopen weken ook al een hoop over gezegd en geschreven. Hoe moeten marketeers op deze uitspraak inspelen?

Zo’n tachtig procent van de Europese websites en apps gebruikt het systeem van IAB Europe, een organisatie waar onder meer Meta, Google, DPG Media, RTL, Microsoft en TikTok lid van zijn. Bij dit systeem geeft de consumenten via een pop-up toestemming om het surfgedrag via een cookie te laten volgen. De Autoriteit Persoonsgegevens stelt dat dit in strijd is met de Europese privacywetgeving; uitgevers zouden direct een alternatief moeten zoeken.

De Autoriteit Persoonsgegevens is niet de eerste toezichthouder die uitspraak doet over deze werkwijze. De Belgische toezichthouder gaf IAB Europe vorige week al een boete van 250.000 euro en oordeelde dat het zijn systeem moest aanpassen. Wie een website van de leden van IAB bezoekt, krijgt via een pop-up de vraag om een cookie te plaatsen. De voorkeuren van de bezoeker worden op een centrale locatie, via een third party server (TCF), van de IAB bewaard. Dat is niet alleen onnodig, maar vooral in strijd met de Europese privacywet GDPR. Hierdoor worden namelijk ook gebruikers gevolgd die hier geen expliciete toestemming voor geven.

Google Analytics onder vuur in EU

Als oprichter en CEO van TraceDock ben ik blij met deze uitspraak en verwacht dat deze flink impact zal hebben. Er is lange tijd veel onduidelijkheid geweest over de manier waarop bedrijven informatie van gebruikers mogen verzamelen en het te voeren cookiebeleid. Er is nu eindelijk jurisprudentie en dus duidelijkheid. Bedrijven mogen geen third party server-data delen, zonder duidelijke toestemming van gebruikers. Google gaat overigens flink geraakt worden door deze uitspraak.

Google Analytics maakt in landen als België en Duitsland gebruik van de zogenoemde Consent Mode, waardoor het ook zonder toestemming informatie van gebruikers opslaat. Google beroept zich bij het gebruik van de Consent Mode op een ‘gerechtvaardigd belang’, maar dat wordt nu weersproken door de Autoriteit Persoonsgegevens. Google beschikt over de technische middelen om IP-adressen en andere informatie te verzamelen en te koppelen aan gebruikersprofielen. Het standpunt van gerechtvaardigd belang wordt hierdoor onhoudbaar door de uitspraak van de Autoriteit Persoonsgegevens.

Data wordt de komende tijd weer meer in silo’s verzameld

De Oostenrijkse rechter bevestigt overigens dat de (Consent Mode van) Google Analytics in strijd is met privacyrichtlijnen, aangezien de standaardinstelling van Google Analytics voorkomt dat privacy van gebruikers gerespecteerd wordt. Ook in Duitsland wordt Google op de vingers getikt door de rechter; die oordeelt dat het doorgeven van data (o.a. IP addressen) via Google Fonts zonder consent in strijd is met privacywetgeving. Er zijn nu dus drie uitspraken van Europese rechters die stellen dat de standaardinstellingen van Google-toepassingen in strijd is met de GDPR. Voor marketeers wordt het door deze uitspraken ook duidelijk dat ze geen profiel van gebruikers mogen creëren via verschillende websites, zonder daar consent voor te hebben. Dit heeft verregaande consequenties. Data wordt de komende tijd weer meer in silo’s verzameld en opgeslagen.

Alternatief: eigen data-collectie

Je kunt de manier hoe Google werkt vergelijken met een louche autoproducent. Vergelijk Google Analytics en Google Fonts met een auto die standaard 200 kilometer per uur rijdt. Als marketeer moet je in actie komen om de auto op 120 kilometer per uur, of langzamer, te krijgen. Dat is de omgekeerde wereld: we moeten er zelf voor zorgen dat we de GDPR volgen, want Google overtreedt deze als de default-optie gevolgd wordt. Vanuit Google is het begrijpelijk; het bedrijf wil zoveel mogelijk gebruikersdata verzamelen, want dat is het businessmodel van het bedrijf. Maar voor marketeers, die vaak niet opgeleid zijn om met consent-strings te werken, is het nog vaak een flinke stap.

Daarom hamer ik op het belang van first party data-collection. Wie zeker wil weten dat je de richtlijnen van de Autoriteit Persoonsgegevens respecteert, moet in actie komen. Marketeers moeten bij de analyse van online marketingcampagnes niet meer afhankelijk zijn van third party platforms als Google Analytics. Er is gelukkig een alternatief: het optuigen van een eigen datacollectiedienst, die analyse-data van de eigen site verzamelt. Wie consent van zijn gebruikers heeft, kan de verkregen data direct delen en verbinden met partijen als Google Analytics. Maar ook zonder consent valt de bezoekersdata te gebruiken voor analysedoeleinden. Zo is de ROI van campagnes altijd inzichtelijk.

Toch wil ik niet de indruk wekken dat het een peulenschil is om aan alle eisen van de GDPR te voldoen. Het eerlijke verhaal: het wordt nog een uitdaging om overal aan te voldoen, juist ook omdat het best technisch van aard is. Drie stappen die elke marketeer vandaag kan zetten, zijn de volgende.

1. Zorg dat je geen data deelt met 3rd party services, zoals Google Analytics, Google Fonts of Java Scripts.

2. Als je een cookiebanner hebt, zorg dan dat deze niet te zwaar nudget: het moet even makkelijk zijn om cookies wel als niet te accepteren.

3. Zorg dat als je geen consent hebt van gebruikers, je hun data alleen intern gebruikt. Hopelijk helpt dit om onze ‘marketing-auto’s’ weer op 120 kilometer per uur te krijgen.