AVG voor marketeers
Wat online marketeers moeten weten over gegevensbescherming
Wat online marketeers moeten weten over gegevensbescherming
Table of Contents
ToggleWat is de impact van de AVG (Algemene Verordening Gegevensbescherming) op online marketing? Op deze pagina vindt u uitgebreide informatie over de impact van de AVG (Nederlandse verschijning van de Europese GDPR wet).
Als marketeer in het MKB heeft u een grote verantwoordelijkheid wanneer het gaat om de gegevensbescherming van uw klanten en gebruikers. In principe is uw verantwoordelijkheid groter naarmate uw organisatie kleiner is. Algemene Verordening Gegevensbescherming voor marketeers
De AVG (Algemene Verordening Gegevensbescherming) heeft impact op in ieder geval de onderstaande online marketing deelgebieden
Heeft u een website, administratie of database (ook logfiles van uw website) waarin één of meerdere van onderstaande gegevens worden verwerkt dat verwerkte u zogenaamde PII’s (Personally Identifiable Information):
U kunt hier uitgebreide informatie vinden over elk van de betreffende onderdelen.
U kunt in grote mate zelf een DPIA uitvoeren. De richtlijnen van NOREA bieden een ruime basis.
De minimale technische eisen van de Algemene Verordening Gegevensbescherming zijn:
De minimale organisatorische maatregelen die u moet nemen zijn:
Welke eisen stelt de AVG aan CRM systemen, software en pakketten? Voor veel organisaties is hun CRM pakket of klantenregistratiesysteem de belangrijkste software waarvan ze gebruik maken. Vaak wordt gehele contact
Een paar bruikbare blogs op het gebied van CRM en GDPR/AVG zijn:
De nieuwe regels van de AVG gelden niet alleen voor nieuwe records in uw database maar ook alle oude. U moet dus van al uw oude e-mailadressen weten hoe u de opt-in heeft verkregen, dat kunnen bewijzen en ook moet u weten welk e-mailadres aan welke partij is doorgegeven.
U mag alleen mensen mailen die daadwerkelijk toestemming (opt-in) hebben gegeven voor het ontvangen van jouw nieuwsbrieven. Hieronder nog even, om het geheugen op te frissen, een aantal belangrijke regels (die grotendeels niets nieuws zijn):
De regels gelden voor opt-in gelden voor het versturen van commerciële mailings. Transactionele e-mails naar aanleiding van een order (orderbevestiging, factuur, et cetera.) zijn uitgesloten en mag u altijd versturen, mits u hier dan weer geen commerciële content in plaatst. U kunt hierbij denken aan coupons of andere vormen van korting.
Voor wat betreft Tag management en tag management tools (waarvan Google Tag Manager (GTM) verreweg de meest gebruikte is) zijn er een aantal belangrijke elementen die uw aandacht verdienen:
Voor wat betreft organisatie van Google Tag Manager adviseren wij u een autorisatie protocol op te zetten. In dit protocol zou moeten staan:
Tja, het is een stuk meer bureaucratie dan u nu waarschijnlijk gewend bent – u was van plan om lean, scrum en agile te werken? Dat kan nog steeds – alleen niet met de data van uw gebruikers en klanten. Daar moet een stevige paper trail van worden opgebouwd.
Hoe zit het met de AVG en Webanalytics?
Google Analytics Bewerkersovereenkomst kunt u hier vinden. Indien u veel werkt met custom dimensions en het tracken van events op formulier is de kans groot dat u PII data doorstuurt naar Google Analytics. U kunt een script gebruiken om eventuele PII data die u doorstuurt naar Google Analytics daar te verwijderen en te vervangen door een andere waarde.
Heeft de AVG impact op content marketing? Het antwoord is ‘Ja’ zodra u gegevens opslaat over de gebruikers/consumeerders van uw content.
Hoe zit het met de AVG en Marketing automation? Marketing automation is op basis van digitaal opgevangen of geregistreerde signalen klanten automatisch van content voorzien. Vaak gebeurt dit door e-mail maar soms ook door SMS, in-app messages of browser push messages.
U kunt eigenlijk alleen met uw prospect communiceren als u een PII (Persoonlijk Identificeerbare Informatie) heeft en daarom heeft u altijd hiervoor expliciete toestemming nodig van uw prospect of klant.
Hoe zit het met de AVG en Data integratie of data uitwisseling? Veel marketeers en Growth Hackers maken gebruik van dergelijkse tools om snel allerlei fantastische tools en online marketing software met elkaar te verbinden.
Voorbeeld hiervan zijn:
In bovenstaande voorbeelden zijn alle betrokken partijen Verwerker of Subverwerker en vallen dus onder de AVG.
Het aantrekkelijke van social login is dat de gebruiker zich geen zorgen hoeft te maken over de opslag van zijn gegevens; want dat gebeurt niet (officieel). Zijn identiteit is alleen bij de uitgever van zijn identiteit bekend. Als u behalve het aanroepen van de oauth service (bijvoorbeeld Facebook login) geen gegevens opslaat dat hoeft u geen speciale maatregelen te nemen v.w.b. AVG compliance (GDPR compliance).
Veel organisaties gebruiken echter services die op basis van de social login functionaliteit extra data bieden en importeren deze in hun eigen database (CRM of klantregistratiesysteem). Dit is volstrekt niet compliant met de AVG en gebruikers dienen hiervoor toestemming te geven vooraf.
Hoe zit het met de AVG en website personalisatie? Web personalisatie is een techniek waarbij op basis van cookies of fingerprinting een deel van de visueel zichtbare content wordt aangepast op zo’n wijze de gebruiker, vermoedelijk, een beter gebruikerservaring (UX) ervaart.
Koopt u leads van een leadgeneratie bedrijf dan moeten u zich verzekeren (contractueel) dat het bedrijf aan de AVG voldoet. U kunt dit zelf verifiëren door ondermeer af te spreken dat de leads alleen worden gegenereerd via één of meerdere specifieke websites (die u kent en die bij name zijn genoemd in het contract), of dat het formulier en de follow-up (vaak per e-mail) aan bepaalde eisen voldoen; zoals een dubbele opt-in bijvoorbeeld.
Ook moet u afspraken maken over wie welke gegevens opslaat en de gebruiker (zoals consumenten als bedrijven) dient dat ook vooraf te weten en toestemming voor te geven. Dit kan middels een specifieke opt-in op het formulier.
Die toestemmingen moeten ook vastgelegd worden; een paper-trail. Daarnaast moeten uw contractuele afspraken overeenkomen met hetgeen feitelijk gebeurt.
Koopt u adressenlijsten dan is het zaak dat de prospect expliciet heeft aangegeven er mee in te stemmen dat zijn adres aan u doorgegeven wordt.
Hoe zit het met de AVG en programmatic advertising? Programmatic advertising is een uiterst complex eco-systeem wat erg lijkt, zo zeggen sommigen, op de complexiteit en verwevenheid van de financiële markten.
In dit ecosysteem worden binnen enkele miliseconden bepaald of de bezoeker van een website of app bekend is, waar die eerder is geweest, welk device hij gebruik, welk besturingssysteem hij gebruikt en nog veel meer details. Allemaal informatie die al dan niet verbonden met andere informatie (her)leidbaar is tot PII. En om die reden wat ons betreft onder de PII valt.
De meest bekende verschijningsvorm van programmatic adverteren is retargeting (of ook wel remarketing). Hierbij wordt alle data door diverse partijen behandeld voordat er tot een ‘veilingbod’ op de betreffende ‘ adview’ word gedaan… dit in de tijd dat het browservenster van de gebruiker aan het laden is.
Om als adverteerder aan de AVG te voldoen moet u ten eerste toestemming vragen aan uw websitebezoekers of u hen gegevens aan bepaalde partijen mag doorgeven (zoals uw DSP, DMP of partijen zoals Google en Facebook). Het spreekt voor zich dat u Verwerkersovereenkomsten moet hebben met die betreffende partijen.
Echter uzelf zult zelden in contact treden met het complexe ecosysteem: dat doet doorgaans uw DSP voor u. Uw DSP, als u dat niet zelf doet, is dan vaak uw reclamebureau of online marketing bureau. Met al die partijen zult u bewerkersovereenkomsten moeten hebben.
Als u een uitgever (publisher) bent van websites zult u hetzelfde moeten doen als een adverteerder: toestemming vragen van de gebruiker om de informatie te mogen doorgeven aan allerlei partijen waarmee u zaken doet.
Recent (maart 2018) heeft IAB Europe een GDPR Consent tool uitgegeven: http://advertisingconsent.eu .
Usability tools zijn software tools waarmee al dan niet expliciet gegevens worden verzameld over de gebruiker om te evalueren hoe deze de website of app gebruikt. Er is een heel spectrum aan usability tools. Zo zijn er bijvoorbeeld tools die aan sessie recording doen. Daarbij wordt daadwerkelijk een video gemaakt van alles wat de gebruiker ziet en doet, inclusief de data die wordt ingetypt (zoals telefoonnummer).
Impliciete gegevensvergaring:
Expliciete gegevensvergaring:
Ook hier geldt: u en de tool verwerken gegeven van de gebruiker en daarom moet u expliciete permissie (actieve opt-in) hebben van de gebruiker. En u moet een duidelijke verwerkersovereenkomst hebben met de verwerker.
En die verwerker moet ook weer aan de AVG / GDPR eisen voldoen.
Voorbeelden van usability tools zijn:
Met betrekking tot de AVG hebben A/B testing tools te maken met de volgende facetten.
Voor het gebruik maken van een A/B testing tool heeft u toestemming van de gebruiker nodig. Dit staat haaks op het principe om aselect te testen. Echter wilt u alle risico’s vermijden dan heeft u inderdaad die toestemming nodig.
Dit komt omdat A/B testing tools zelf veel data verzamelen en in combinatie met andere tools (al dan niet via dataverbindingen zoals API’s of webhooks) dit tot een profiel van de gebruiker kan leiden.
Deze blogpost van A/B testing tool Convert geeft goede en diepe achtergrond informatie.
Andere veelgebruikte A/B testing tools zijn:
Affiliate marketing kenmerkt zich, doorgaans, doordat er vier partijen zijn betrokken bij de ‘transactie’ (sales, lead, click):
In de meeste gevallen worden de Gebruikers via een banner of link doorgestuurd naar de website van de Adverteerder. Daartussen zit een meetmechaniek dat het verkeer via de website van het Netwerk laat lopen (hier zijn varianten op) en door een meetpixel op de website van de adverteerder wordt gemeten welke bezoek aankomt (click) en al dan converteert (sale of lead).
Als het een geavanceerde webmaster is die op Gebruikers niveau waarop mensen converteren en wat ze wel/niet kopen dan is hier zeker sprake van PII. Het netwerk verzamelt ook Cookie-ID’s en zal van elk Cookie weten wat ze wel/niet kopen dus ook hier is sprake van PII.
Rakuten heeft er een goed overzicht van gemaakt.
Kortom, in de meeste gevallen moet alle betrokken zich houden aan de regels van de AVG en dus ook een opt-in vragen om gegevens door te geven aan bepaalde partijen.
Recent (maart 2018) heeft IAB Europe een GDPR Consent tool uitgegeven http://advertisingconsent.eu/
Met betrekking tot Facebook Custom Audiences en de AVG, en dan vooral het uploaden van lijsten van e-mailadressen en/of telefoonnummers, is het de vraag wat mag en wat ieders rol daarbij is.
Het is uw verantwoordelijkheid om specifieke toestemming te vragen voor het doorgeven van de gegevens van de betrokkene naar Facebook.
Facebook heeft twee petten op in het geval van Custom Audiences:
Het is uw eigen verantwoordelijkheid om e.e.a. te controleren. Ons advies is om in uw consent (gebruik website) expliciet toestemming te vragen om gegevens door te geven aan Facebook. En dit doet u al, waarschijnlijk, als u een ‘Like’ button op uw website heeft.
Recent zijn er twee uitspraken geweest ten nadele van Facebook die, wat ons betreft, duiden op een steeds zwaarder worden ‘regime’ waar het aankomt op Privacy :
Om gebruik te (blijven) maken van de mogelijkheden die Google Customer Match biedt is het noodzakelijk om een specifieke opt-in te verkrijgen van uw klanten/relaties/gebruikers.
U geeft immers gegevens door van gebruikers aan Google. Het principe en gebruik lijkt veel op die van Facebook Custom Audiences.
Linkedin Matched Audiences lijken ook erg op Facebook Custom Audiences en wij adviseren ze ook niet anders te benaderen
Google Adwords kent meerdere producten en zover één en ander afhankelijk is van data van uw website, of u krijgt data door van Google (zoals welke zoekwoorden iemand heeft gebruikt voor een uiteindelijke conversie) en koppelt die aan tot de individuele gebruiker herleidbare data (conversie-ID) dan is ook hier een Verwerkersovereenkomst nodig tussen u en Google. Alleen in dat laatste geval bent u de Verwerker.
Van Gmail Ads kunt u in het kader van de AVG met een gerust hart gebruik maken. Behalve als u middels eigen adressenbestanden uitsluitingslijsten upload (Customer Match). In alle andere gevallen kunt u gebruik maken van Gmail Ads.
Sommige organisatie maken gebruik, naast cookies, van fingerprinting voor het identificeren en tracken van gebruikers op websites en andere digitale devices.
Fingerprinting is een technologie waarbij er geen cookies worden gedropt op de lokale computer maar er een uniek profiel wordt gegenereerd op basis van beschikbare data. Hierbij moet u denken aan IP-adres, schermgrootte, browser, geïnstalleerde plugins/extensions, etc etc.
Veel organisaties matchen deze gegevens dan op enig moment met gebruikers-gegevens zoals e-mailadres en kunnen daarmee mensen identificeren. In hun database bewaren ze zowel geïdentificeerde als ongeïdentificeerde gebruikers (profielen). Echter vaak zijn voor beide typen profielen geen toestemming gegeven (om die gegevens te bewaren).
Daarnaast worden vaak de gegevens erg lang bewaard wat niet in overeenstemming is met de AVG. De bewaartermijn van niet-actieve gebruikers is een punt van zorg. De wet zegt dat de bewaartermijn niet langer mag zijn dan het doel van de verwerking. Wij adviseren om altijd expliciete toestemming te vragen en de gegevens van niet-actieve gebruikers maximaal 2 jaar te bewaren.
Maakt u gebruik van een Data Management Platform (hierna DMP – soms ook bekend onder een andere naam zoals datalake) dan is de AVG zeker op u en uw dataleveranciers en (her-)verwerkers van toepassing.
Belangrijkste vraag bij het analyseren van de eisen van uw DMP is: wie heeft op welk moment verifieerbaar een opt-in verkregen en hoe kan ik dat controleren? Zeker als u gebruik maakt van dataproviders (zie hieronder).
Dataproviders zijn bedrijven die data over hun klanten verkopen, verhuren of uitlenen aan andere organisaties al dan niet tegen betaling. Soms rechtstreeks en soms via een databroker.
Voorbeelden van dataproviders zijn:
Een databroker is een bedrijf die verschillende databronnen matched en beschikbaar en soms verpakt beschikbaar maakt voor bedrijven die daar hun advertentie targeting en rendement mee willen verbeteren.
Indien u hiervan gebruik maakt is het van belang om te weten of u, zonder medeweten van de consument (of adres van een individu bij een bedrijf), de gegevens in handen (in uw eigen database of in bijvoorbeeld Excel sheets) ontvangt. Dat geld ook voor partijen (postverzendingen in het geval van DM (Direct Mail), of DSPs (Demand Side Platform) in het geval van digital advertising) die u inhuurt.
In de hierboven genoemde voorbeelden zijn de dataproviders de Verwerker en de databroker én uw organisatie of organisatie die namens u handelingen verrichten met de data HerVerwerkers. Allen dienen ondubbelzinnige toestemming van de consument te hebben voor het verwerken van de data.
Er is in de Engelse literatuur over dee GDPR (welke veel groter is dat de Nederlandse over de AVG) discussie c.q. onduidelijkheid of databrokers en dataproviders niet onder het ‘legitimate interest’ beginsel vallen.
Hoe zit het met de AVG (GDPR) en WordPress Plugins?
WordPress is verreweg het meest gebruikte CMS (Content Management Systeem) ter wereld. Het is gebruikersvriendelijk, er zijn tienduizenden ontwikkelaars bij betrokken en er zijn (tien-)duizenden plugins beschikbaar.
Sommige organisatie laten een WordPress website maken en vaak kiezen de ontwikkelaars ervoor om een aantal functionaliteiten niet zelf te bouwen maar middels een WordPress Plugin beschikbaar te maken. Echter door het gemak waarmee de plugins te installeren zijn is het ook zo gemakkelijk om te vergeten welke data verstrekt wordt – al dan niet bewust en expliciet- aan de bouwer van de plugin.
Wat zijn uw minimale verantwoordelijkheden nu ten aanzien van WordPress en de AVG?
Hoe zit het met de AVG (GDPR) en API’s? API is een afkorting van Application Programming Interface. Een bibliotheek met veel API’s is Programmable Web – voor als u voorbeelden van een API zoekt. Veel ontwikkelaars
E-commercemanagers.com heeft als missie om bedrijven en organisaties succesvoller te laten zijn in het digitaal geautomatiseerde tijdperk.
Wij geloven dat analyse en inzicht in de oorzaken van vraagstukken cruciaal zijn vervolgens oplossingen te implementeren die efficient, effectief en schaalbaar zijn.
Data, automatisering en personalisatie hebben daar in de meeste gevallen een belangrijke rol in.
Wij werken op een agile wijze met scrum technieken en proberen snel tot de kern te komen.
Schrijf u nu in voor de maandelijkse nieuwsbrief:
E-commercemanagers.com
⛾ Goudenregen 12
8141 XA HEINO
☎ 038-2340222
✉ info [at] e-commercemanagers.com