GDPR/AVG en de impact op Digital Analytics
Op 25 mei 2018 wordt de huidige privacywet Wet Bescherming Persoonsgegevens (WbP) vervangen door de GDPR (General Data Protection Regulation), wat voor alle Europese landen geldt. De Nederlandse variant, de Algemene Verordening Gegevensbescherming (AVG) is al in 2016 ingevoerd en wordt vanaf 25 mei 2018 streng gehandhaafd door de Autoriteit Persoonsgegevens. In de eerste blogpost van de serie GDPR/AVG is al beschreven wat dit in grote lijnen inhoudt voor de organisatie en waar je als digital marketeer op moet letten. In dit deel ga ik in wat de GDPR/AVG specifiek betekent voor Digital Analytics.
Situatie vóór de GDPR
In 2015 is de ‘cookiewet’ versoepeld en geeft de gebruiker toestemming van het plaatsen van o.a. remarketingcookies door gebruik te maken van de website. Voorwaarde is dan wel dat dit vermeld wordt in een cookiebar en dat de privacyregeling aan bepaalde voorwaarden voldoet. Een van deze voorwaarden was het vermelden waar men cookies kon verwijderen en welke cookies geplaatst werden, waarbij beschreven moest worden waarvoor de cookies geplaatst werden, door wie en wanneer deze weer automatisch verwijderd werden. Er was dus geen absolute noodzaak dat de bezoeker expliciet toestemming moest geven. Puur door bijvoorbeeld te navigeren naar een volgende pagina gaf je als bezoeker al toestemming tot het plaatsen van de cookies in je browser.
De ePrivacy Verordening
In de meeste gevallen is een gevolg van de GDPR/AVG dat de gebruiker expliciete toestemming moet geven. Naast de GDPR/AVG komt er een extra wetgeving, genaamd de ePrivacy Verordening. Deze vervangt de huidige ‘cookiewet’ en geeft aan hoe de GDPR/AVG geïnterpreteerd moet worden, zodat er meer duidelijkheid is hoe de opt-in verzameld moet worden. Deze ePrivacy Verordening zou gelijk met de GDPR van start gaan, maar is door het Europees Parlement uitgesteld. Wanneer deze nu wel van kracht wordt, is voorlopig nog niet duidelijk. Het staat buiten kijf dat de GDPR op 25 mei 2018 van kracht is en vanaf dat moment impact heeft op hoe en wat je mag verzamelen.
Situatie vanaf 25 mei 2018, rekening houdend met de GDPR
Onder de GDPR/AVG moet expliciete toestemming zijn voor het verzamelen van persoonsgegevens. Wat onder persoonsgegevens valt is met de GDPR/AVG aangescherpt. Naast de gegevens die identificeerbaar naar een persoon zijn (NAW gegevens, maar ook IP-adres, locatiegegevens met GPS), vallen hier namelijk ook de pseudo-anonieme gegevens onder. Deze zijn weliswaar niet herleidbaar naar een natuurlijk persoon zonder aanvullende informatie, maar zijn wel individualiseerbaar. Voorbeelden hiervan zijn o.a. klant-ID, gebruikers-ID en hashed-email adres.
Indien er geen vorm van profilering wordt toegepast en je alléén cookies plaatst van je webanalyticspakket zoals Google Analytics, dan is de impact van de GDPR/AVG goed te overzien. Met profilering bedoel ik dat je geen vorm van remarketing of personalisatie op de website in zet of interesseprofielen van je bezoekers opbouwt.
De gebruiker, in dit geval de bezoeker van je website, hoeft geen toestemming te geven dat je analytische cookies plaatst om het bezoek te kunnen meten. Zolang met deze cookies geen persoonsgegevens of pseudo-anonieme gegevens worden verzameld, is er dus geen toestemming nodig. Belangrijk om te weten is dat je dan geen IP-adressen mag opslaan. Hierdoor is de locatiedata in analytics minder nauwkeurig en kun je dus ook geen IP-adressen meer filteren om het gedrag op je website van een bepaalde locatie, bijv. je eigen kantoor, uit te sluiten.
Waar moet je aan voldoen als je analytische cookies plaatst zonder toestemming?
Voor het plaatsen van analytische cookies zonder toestemming moet je wel aan de volgende voorwaarden voldoen:
- Sluit een bewerkersovereenkomst met Google. Dit vind je onder het account in de beheeromgeving;
- Zoals gezegd, IP adressen anoniem maken. Dit kun je doen door een extra stukje code toe te voegen in je Google Analytics tracking code.
Meer informatie lees je op de pagina anonimiseren van IP-adressen in Analytics . Een andere, en veel makkelijkere, manier om dit te doen is via Google Tag Manager. In de Google Analytics variabele onder meer instellingen kun je anonymizeIp op true zetten;
- Gebruik SSL voor de Google Analytics-cookies, zodat de gegevens versleuteld verstuurd worden. Meet je de website door met Google Tag Manager, dan kun je deze instelling ook aangeven in de Google Analytics Variabele;
- Onder account de vinkjes uitzetten voor het delen van gegevens met Google. Als je deze vinkjes laat staan, dan ga je ermee akkoord dat Google de gegevens van je bezoekers gaat gebruiken voor eigen doeleinden, bijvoorbeeld voor het verbeteren van hun eigen producten en diensten (waar op zich niets mis mee is…). Hierdoor is Google naast een bewerker dan ook een verantwoordelijke en dien je namens Google toestemming te vragen aan je bezoekers voor het verwerken van persoonsgegevens met Analytics-cookies;
- Op property-niveau van je analytics account, onder trackinginfo – gegevensverzameling, moet je ‘Gegevens verzamelen voor advertentiefuncties’ uit zetten. Dit moet je doen bij zowel Remarketing als bij Rapportagefuncties voor advertenties;
- Informeren van de bezoeker dat je gebruik maakt van Google Analytics. In de privacy-statement moet in ieder geval terug komen dat:
- je een bewerkersovereenkomst met Google hebt afgesloten;
- de gegevens versleuteld en anoniem verwerkt worden;
- je ‘gegevens delen’ met Google hebt uitgezet;
- de Google Analytics cookies niet worden gebruikt in combinatie met andere diensten van Google, zoals DoubleClick en AdWords;
- welke Google Analytics cookies geplaatst worden, met welk doel en wanneer deze verwijderd worden. Gebruik je andere tools en advertentieplatformen, dan zal ook van deze de cookies op dezelfde manier het doel, tijdsduur en verantwoordelijke beschreven moeten worden.
Tip: bewaar een schermafdruk met daarop datum/tijd van het moment dat je bovenstaande aanpassingen hebt doorgevoerd. Hiermee kun je namelijk altijd aantonen wanneer je deze privacy-vriendelijke maatregelen hebt toegepast.
Cross device meten met User-ID
Als bezoekers kunnen inloggen op je website of zich op een andere manier kenbaar kunnen maken wie ze zijn, heb je de mogelijkheid om gedrag over meerdere sessies en devices zoals laptop, tablet en smartphone, te koppelen. Dit mag uiteraard alleen met voorafgaande toestemming van de gebruiker (bijv. op het moment dat een account op de website wordt aangemaakt) en dient dan ook duidelijk beschreven te staan in de privacy-statement. Heb je deze toestemming niet, dan moet je er voor zorgen dat de ‘Functie voor User ID’s inschakelen’ uit staat.
Wat moet er staan in je Privacy Statement?
Zorg er voor dat je bovenstaande aanpassingen benoemt in je privacy statement, zodat de bezoeker van je website weet welke maatregelen je getroffen hebt. Het benoemen van welke cookies je plaatst, wat het doel hiervan is en wanneer deze verwijderd worden, dien je te vermelden. Ook als je cross device gaat meten moet genoemd worden in de Privacy Statement.
Als je verder remarketing toepast, profielen opbouwt en de mogelijkheid biedt van het delen van content op social media platformen, moet ook benoemd worden welke dit zijn en met welk doel dit gebeurd. Oftewel, wees transparant!
In Google Analytics heb je de mogelijkheid om de rapporten over demografische en interessecategorieën in te schakelen. Hiermee krijg je gegevens van je bezoekers over leeftijd, geslacht en interesse, zodat je een beter beeld krijgt van je bezoekers. Deze gegevens bepaalt Google aan de hand van het Google account en de type websites die de bezoeker verder heeft bekeken. Als gebruiker van een Google account heeft de bezoeker hier wel/niet toestemming voor gegeven. Als je deze rapporten inschakelt (te vinden onder property-instellingen), dien je dit ook in je Privacy Statement te vermelden.
Welke elementen verder terug moeten komen in de Privacy Statement staat voor een groot deel al beschreven in het eerste deel van deze serie.
Cookiebar, waar moet deze aan voldoen?
Op het moment dat er andere cookies geplaatst worden, bijv. van social media platformen, tools voor personalisatie op de website, etc. dien je expliciete toestemming te vragen. Ook als je in Google Analytics segmenten aanmaakt op basis van gedrag op de website en deze vervolgens gebruikt om een doelgroep lijst aan te maken, dien je expliciete toestemming te vragen aan de bezoeker om dit te mogen doen. Dit is bijvoorbeeld het geval als je een segment maakt van bezoekers die wel een product in een winkelwagen hebben gestopt en wellicht deels het bestelproces zijn ingegaan, maar niet een bestelling hebben gedaan. Vaak wil je deze groep gaan remarketen om ze weer terug naar je website te krijgen.
Expliciete toestemming wil zeggen dat de bezoeker van je website bewust een handeling moet doen om deze toestemming te geven, bijvoorbeeld door te klikken op een button met akkoord. Het moet dan wel duidelijk zijn waar hij mee akkoord gaat. In de tekst van de cookiebar dient al aangegeven te worden welke type cookies geplaatst worden en dient er een verwijzing te zijn naar de privacy-statement en naar de cookie-settings. Hier moet de mogelijkheid zijn dat de bezoeker zelf de keuze heeft welke type cookies geplaatst mogen worden en welke niet.
Een goed voorbeeld hiervan vind je op de site van de Nederlandse Publieke Omroep: https://cookiesv2.publiekeomroep.nl/data/sites/npo.nl/
Ook op https://www.i-scoop.eu/gdpr/eu-eprivacy-regulation/ zie je een goed voorbeeld hoe je de cookiebar toepast en daarin de mogelijkheid geeft om bepaalde type cookies aan of uit te zetten.
Op cookieconsent.insites.com/demos/ vind je overigens diverse mogelijkheden van cookiebars.
Voor welke cookies nu wel of geen toestemming?
Zoals hierboven aangegeven is het niet nodig toestemming te vragen voor het plaatsen van Google Analytics cookies, zolang er verder geen persoonsgegevens hiermee worden opgeslagen en de gegevens die via deze cookies geaggregeerd worden verzameld ten behoeve van statistische analyses. Ook echt noodzakelijke functionele cookies die echt nodig zijn voor de werking van de website, kunnen zonder toestemming geplaatst worden.
Er dient wel expliciete toestemming gegeven te worden door de gebruiker voor cookies die nodig zijn voor inhoud optimalisatie, gepersonaliseerde content, remarketing, opbouwen van profielen en voor het delen van content op social media platformen. Meer informatie hierover in de volgende blogposts van deze serie over GDPR/AVG.
Google en de GDPR
Wil je meer informatie over Google en GDPR? Lees dan Google Cloud en de GDPR hoe Google compliant is aan de GDPR en wat Google doet op het gebied van databescherming .
Voorbereid op de AVG/GDPR met Traffic Builders
Wil je zeker weten dat jouw organisatie klaar is voor de GDPR/AVG in de context van digital marketing en analytics? Informeer dan vrijblijvend naar hoe we ook jou kunnen helpen. Van quickscan tot volledige implementatie; onze specialisten helpen je graag voorbereid te zijn op wat nu al de belangrijkste wetgeving voor digital marketing belooft te worden. Neem contact met ons op.