AVG/GDPR: het effect op Customer Experience Optimization (CXO)

Over iets langer dan één maand is het zo ver. De AVG/GDPR wet wordt dan gehandhaafd in Europa. Zoals Wolter in zijn blogartikel al aangaf, raakt de GDPR vrijwel alle vakgebieden binnen digital marketing. De productmanagers van SEO, SEA, Content Marketing, Display Advertising, Social Advertising en Digital Analytics hebben ook kun visie gedeeld over de impact van GDPR op de verschillende onderdelen binnen digital marketing. In dit deel van deze blogreeks ga ik in op de impact van GDPR/AVG voor Customer Experience Optimization (CXO).

Keep Calm and Prepare for GDPR-AVG

“AVG staat voor Algemene Verordening Gegevensbescherming. De AVG is een directe afgeleide van de Europese verordening genaamd GDPR: General Data Protection Regulation. Met AVG en GDPR wordt dus naar dezelfde wetgeving verwezen. De AVG, die per 25 mei 2018 gehandhaafd wordt, vervangt de huidige Wet bescherming persoonsgegevens (Wbp).”

Toestemming nodig?

GDPR brengt nieuwe regels met zich mee als het gaat om het verzamelen van persoonlijke data. In de volgende paragraaf wordt dieper ingegaan over wat allemaal onder persoonlijke data valt. In de meeste gevallen heb je toestemming (consent) van de bezoeker nodig om persoonlijke data te mogen gebruiken

De manier waarop je deze consent mag verkrijgen verandert ook. Met GDPR moet consent aan de volgende eisen voldoen:

  • Het mag niet dubbelzinnig zijn;
  • Opt-in/Opt=out mogelijkheden;
  • Het bevat eenvoudig taalgebruik;
  • Het bevat een duidelijke uitleg van wat er met de data gebeurt;
  • Het bevat de doelmatigheid van de data;
  • Het bevat de bewaartermijn van de data;
  • Het vermeldt profilering die plaatsvindt;
  • Het vermeldt de (rechts)personen waarmee data wordt gedeeld (“Verwerkers”);
  • Het toont het recht tot inzage, wijziging, verwijdering of overdracht van gegevens;
  • Het toont de mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens.

Nu is de vraag: Hoeveel data ga ik verliezen, omdat mijn bezoekers geen toestemming geven voor het verwerken van persoonsgegevens? Dit is waar veel bedrijven tegenaan gaan lopen en is ook zeker een dreiging voor het verzamelen van gegevens voor digital marketing.

Naast consent, is het in zeldzame gevallen zo dat je geen toestemming nodig hebt van je bezoeker, omdat je te maken hebt met een zogeheten Legidimate Interest. Hierbij is het voldoende om in je Privacy Statement te vermelden dat de data wordt gebruikt en hoeft hier geen toestemming voor worden gegeven. Helemaal met de gedachte in het achterhoofd dat een groot deel van je bezoekers geen toestemming zal geven en je dus een groot deel van je data verliest, zou je denken dat dit de oplossing is. Echter kun je Legidimate Interest pas toepassen als:

  • Het niet gaat om het verzamelen van persoonsgegevens (minimale tot geen privacy impact);
  • De data kan niet op een andere manier verwerkt worden;
  • Er een rechtvaardige overtuiging is voor de verwerking van de data.

Let op! Als je ervoor kiest om te vertrouwen op Legidimate Interest, neem je een extra verantwoordelijkheid voor het beschermen van de persoonsgegevens van je bezoekers.

Wat is persoonlijke data?

Dit is een vraag die we veel terug zien komen, want wat valt nou precies onder persoonlijke data? In deze paragraaf worden een aantal voorbeelden van persoonlijke data gegeven. De vraag die je jezelf altijd moet stellen is:  “Is deze data te herleiden naar een individu?” Ja? Dan gaat het om een persoonsgegeven. Heb je geen consent of legidimate interest voor het verwerken van deze data? Dan ben je in strijd met GDPR en kun je boetes krijgen die oplopen tot €20.000.000 of 4% van de wereldwijde jaaromzet.

Goed om te weten dus: wat zijn voorbeelden van persoonsgegevens?

  • NAW-gegevens
  • E-mail adres
  • Telefoonnummer
  • Geboortedatum
  • Paspoortnummer
  • Kenteken
  • Locatiegegevens
  • Credit card nummers
  • Gebruikersnaam (login naam)
  • IP-adres
  • User/Transaction ID’s
  • Psuedo anonieme gegevens: data die niet direct, maar alleen in combinatie met andere gegevens, te herleiden is naar een individu (User/Transaction ID’s, Hashed IP-adressen);
  • Cookies met unieke identifiers.

Alle bovengenoemde gegevens zijn te herleiden naar een indivdu, dus je hebt Consent of Legidimate Interest nodig.

AVG-GDPR en CXO

In de wereld van Customer Experience Optimization focussen we ons op – de naam zegt het al – het optimaliseren van de gebruikerservaring. Om dit te kunnen doen, moeten we deze gebruiker leren kennen. Dit doen we op basis van een grondige data-analyse. Vervolgens gebruiken we deze data om gericht actie te ondernemen met o.a. aanpassingen op de website, A/B testing en/of personalisatiecampagnes. Bij elke stap in dit proces komen persoonsgegevens kijken en dit maakt dat GDPR wel degelijk impact heeft op CXO-werkzaamheden.

Data-analyse

Zoals benoemd, begint het optimalisatieproces altijd met een grondige data-analyse. Deze data vormt de basis en hier wordt een A/B-testproces of personalisatiecampagne dan ook op ontworpen, gestuurd en beoordeeld. Tijdens de data-analyse worden verschillende bronnen gebruikt, waaronder Google Analytics en Hotjar. Voor beide databronnen moet actie worden ondernomen om GDPR-proof te worden.

Google Analytics

AVG/GDPR heeft uiteraard invloed op de manier van dataverzameling van bezoekers. Vanuit CXO verzamelen we data voornamelijk uit Google Analytics. Met data uit Google Analytics komen we te weten wat bezoekers doen op de website en brengen we de websiteprestaties in kaart.

Het belangrijkste om te weten is het volgende:

“De gebruiker, in dit geval de bezoeker van je website, hoeft geen toestemming te geven dat je analytische cookies plaatst om het bezoek te kunnen meten. Zolang met deze cookies geen persoonsgegevens of pseudo-anonieme gegevens worden verzameld, is er dus geen toestemming nodig. Belangrijk om te weten is dat je dan geen IP-adressen mag opslaan. Hierdoor is de locatiedata in analytics minder nauwkeurig en kun je dus ook geen IP-adressen meer filteren om het gedrag op je website van een bepaalde locatie, bijv. je eigen kantoor, uit te sluiten.” 

Felipe beschrijft in zijn bijdrage aan deze blogreeks wat precies de impact is op Digital Analytics. Hierin vind je ook direct een concreet actieplan voor iedereen die gebruik maakt van Digital Analytics.

Hotjar

Met Hotjar vullen we de kwantitatieve data-analyse uit Google Analytics aan. Met behulp van heatmaps, user recordings en user feedback komen we te weten hoe bezoekers over de website bewegen. Erg nuttig voor ons, maar uiteraard wel iets om bij stil te staan als het gaat om AVG/GDPR.

Hotjar geeft op haar website aan te streven naar volledige GDPR compliancy vanaf 25 mei:

“Hotjar began to dedicate internal resources to the GDPR in June 2017, almost a full year before the deadline. We did this because we value our customers (and their customers) rights to privacy. Compliance with and to international law and regulations are very important to us.”

In de tussentijd zijn er al een aantal acties die je kunt ondernemen om het gebruik van Hotjar GDPR-proof te maken:

  1. Communiceer dat je Hotjar gebruikt en verwerk dit in je voorwaarden en Privacy Policy
  2. Sluit een Data Processing Agreement met Hotjar.
  3. Persoonlijk identificeerbare data verwijderen uit Hotjar

Vooral dit laatste punt vergt aandacht. Met Hotjar kunnen we user recordings bekijken die, zonder actie te ondernemen, niet GDPR-proof zijn. Met behulp van user recordings kruipen we in de huid van de bezoeker en komen we veel te weten over de motivatie, frustratie en concentratie. Deze Hotjar functie is voor ons dan ook onmisbaar in het optimalisatieproces.

Hotjar user recordings

Echter zijn dergelijke recordings volgens legal experts erg risicovol. We kunnen namelijk niet alleen muisbewegingen volgen, maar ook persoonlijk identificeerbare data zien zodra bezoekers bijvoorbeeld een formulier invullen op de website. Maar hoe zorgen we er dan voor dat data uit dergelijke user recordings worden verborgen? Gebruik hiervoor onderstaand stappenplan:

Stap 1: Record geen keystroke data

Bij het aanmelden van een website in Hotjar, wordt bij Site Settings gevraagd naar de URL. Ook wordt hieronder met behulp van een checkbox gevraagd of keystroke data zichtbaar moet zijn in recordings. Met keystroke data worden alle persoonlijk identificeerbare data die bezoekers in invoervelden kunnen invullen bedoeld. Het is dus heel belangrijk om deze checkbox niet aan te vinken.

Hotjar keystroke data
Let op: deze checkbox NIET aanvinken!

Stap 2: Blokkeer data die de bezoeker niet zelf invoert

Met de eerste stap zorgen we ervoor dat we geen gegevens verzamelen die bezoekers zelf invoeren. Er zijn echter ook gegevens die op andere manieren worden verzameld, zonder dat de bezoeker dit bewust doet. Bijvoorbeeld wanneer de browser gegevens automatisch invult. Deze gegevens vallen niet onder keystroke data in Hotjar en deze data moeten we op een andere manier blokkeren. Om dit te doen, moet het data-hj-suppress attribuut worden toegevoegd aan de verschillende invoervelden die je wil blokkeren (invoerveldem die persoonlijk identificeerbare data bevatten). Dit kan veel werk opleveren, waardoor een tweede oplossing mogelijk is. Hiervoor moet onderstaande code worden toegevoegd aan de website (via GTM of hardcoded). Let op! Deze code moet boven de Hotjar snippet worden geplaatst op elke pagina waar Hotjar draait:


//note: this is a jQuery example, recode to vanilla JS 
//if jQuery is not available on your website. 
$(‘input[type=”text”]’).attr(‘data-hj-masked’,”); 
… rest of the Hotjar tracking code …


Stap 3: Blokkeer persoonsgegevens buiten invoervelden

Deze laatste stap is erg belangrijk, maar wordt vaak vergeten. Je hebt bij stap 1 en 2 gezorgd dat invoervelden waar persoonlijk identificeerbare data (al dan niet door de bezoeker) wordt ingevoerd, wordt geblokkeerd en niet wordt getoond in recordings en heatmaps. De bezoeker is de funnel door en krijgt vervolgens een pagina te zien waarin alle ingevoerde gegevens nog eens mooi worden opgesomd. Deze pagina krijg jij ook te zien in je recording…Voeg dus ook aan de gegevens op deze bevestigings-/overzichtspagina het data-hj-suppress attribuut toe om te zorgen dat ook deze data niet zichtbaar is in je heatmaps en recordings.

Benieuwd hoe het toevoegen van het data-hj-suppress attribuut er uit komt te zien in de website code? In dit artikel geeft Hotjar tips om te checken of het attribuut werkt.

A/B testing

Als de data is verzameld met behulp van Google Analytics en Hotjar en we een actieplan hebben opgesteld, gaan we aan de slag met het A/B testprogramma. Hiervoor maken we bij Traffic Builders gebruik van de volgende tools:

Je wil natuurlijk niet een groot deel van je testgroep verliezen, doordat ze toestemming moeten geven voor het gebruik van een A/B testing tool. Om te zorgen dat je A/B testing tool met Legidimate Interest in plaats van Consent mogelijk is, dient de tool te voldoen aan de volgende eisen:

  • Geen persoonsgegevens verzamelt en bewaart van je bezoeker: IP adressen, user ID’s, locatiegegevens, etc. Het belangrijkste hierbij is dat de data niet herleidbaar is naar een individu;
  • Geen unieke identifier hebt in de cookies die worden gebruikt voor de tool. Een unieke identifier kan een cookie laten gelden als persoonlijk identificeerbare data

Kortom: de enige manier om 100% van je testverkeer te behouden, is om te zorgen dat je A/B testing tool GDPR compliant is en dus geen persoonsgegevens opslaat van je bezoeker. Dennis van der Heijden, CEO van Convert,  zegt hier het volgende over:

“Convert wordt volledig herschreven. Dit houdt in dat we geen persoonsgegevens meer opslaan in de tool en dat onze cookies geen unieke identifiers meer bevatten. Kortom: we slaan geen records op van individuele bezoekers of pageviews. Hierdoor kun je Legidimate Interest toepassen als je Convert gebruikt en kun je 100% van je verkeer behouden.”

In dit artikel wordt dieper ingegaan op de verschillende raakvlakken van GDPR met A/B testing tools en wordt een checklist gegeven om na te gaan of je GDPR complient bent op dit gebied.

Conclusie

In dit artikel ben ik dieper ingegaan op de impact van AVG/GDPR op CXO-werkzaamheden. Conclusie: de impact is erg groot en we moeten alle tools die we gebruiken voor CXO zó inrichten, dat er geen persoonlijk identificeerbare data in wordt verzameld en opgeslagen. En dit geldt alleen nog maar voor CXO. GDPR heeft impact op álle gebieden van digital marketing (SEO, SEA, Content Marketing, Display Advertising, Social Advertising en Digital Analytics). Met nog maar twee maanden te gaan, is het van groot belang dat alle risicogebieden in kaart worden gebracht. Wil je een volledig beeld van hoe jouw organisatie ervoor staat, zodat je klaar bent voor deze impactvolle wetgeving? Traffic Builders biedt verschillende mogelijkheden: van quickscan tot volledige implementatie.

Bronnen