Wat betekent AVG voor online marketing?

Wat betekent AVG voor online marketing? Door Maarten op 05 juni 2018

Vorige week was het dan eindelijk zover. De Algemene Verordening Gegevensbescherming (AVG) trad per 25 mei officieel in werking, de Nederlandse variant van de Europese General Data Protection Regulation (GDPR). Het is de verwachting dat er vanaf nu een stuk strenger wordt toegezien op hoe je als organisatie persoonsgegevens verzamelt, verwerkt en gebruikt. Alle marketingactiviteiten worden hierdoor organisatiebreed geraakt, laten we in dit blog het perspectief nemen van ons vakgebied, online marketing.

AVG als vervanger van de Wet bescherming persoonsgegevens

Er is veel over de AVG gezegd en geschreven, waarschijnlijk ook gevoed door de recente verhalen rond Facebook en andere bedrijven waarvan de privacy van persoonsgegevens flink onder vuur is komen te liggen. Maar waarom is deze AVG nodig? We hadden toch de Wbp, Wet Bescherming Persoonsgegevens, waarom voldoet deze dan niet meer in de huidige context van datagebruik- en verwerking? Kort gezegd is de AVG ontstaan vanuit de centrale gedachte dat in heel Europa nu slechts één manier van dataverwerking mogelijk is én legt het meer druk bij organisaties om aan te tonen hoe ze omgaan met persoonsgegevens.

Meer controle bij de gebruiker

Nog belangrijker dan de verantwoording die organisaties af moeten leggen is dat de AVG meer controle aan het individu geeft om zijn/haar gegevens te mogen gebruiken. Met de uitbreiding van de privacyrechten van de gebruiker heb je specifieker toestemming nodig om persoonsgegevens te mogen gebruiken. AVG richt zich op twee soorten gegevens:

  • Persoonsgegevens: direct herleidbare data in de vorm van NAW-gegevens, mailadressen, geboortedata en IP-adressen.
  • Pseudo anonieme data: niet direct herleidbare data tot een tastbaar persoon, maar met aanvullende informatie is deze data wel ‘individualiseerbaar’. Met een beveiligde code of klantnummer bestaat de mogelijkheid deze data uit de vergaarbak te halen en te personaliseren.

Anonieme data zijn gegevens waarvan het niet mogelijk is deze te herleiden naar een tastbaar persoon, deze vallen dan ook buiten de AVG.

Verzamelen van data en tracking

De nieuwe AVG richtlijnen zijn van grote invloed op de manier waarop je genoemde persoonsgegevens mag verzamelen. Met een expliciete opt-in en opt-out mogelijkheid is het toegestaan data te verkrijgen, mits je duidelijk aangeeft voor welke doeleinden deze data worden gebruikt (voor elk afzonderlijk doel heb je ook weer afzonderlijke toestemming nodig), welke data je specifiek gebruikt en dat de gebruiker het recht heeft de verleende toestemming op elk moment weer in te trekken (waarbij het terugdraaien net zo makkelijk dient te zijn als toestemming verlenen). Een essentieel element in dit proces is dat de gebruiker een actieve handeling heeft verricht om expliciete toestemming te verlenen, vooraf ingevulde checkboxes zullen niet meer geaccepteerd worden. Deze opt-in en opt-out mogelijkheden zie je voornamelijk terug bij inschrijving voor nieuwsbrieven en het achterlaten van NAW-gegevens bij offerte- en besteltrajecten.

Tracking

Kijken we naar dataverzameling waar online marketeers dagelijks gebruik van maken zijn cookies en verschillende trackingtechnieken onmisbaar. Door het pseudo anonieme karakter van de data, want individueel verkregen door locatie, device en conversiegegevens, zal het voor online marketeers nog belangrijker worden om uit te leggen waarom tracking wordt ingezet en waarvoor de data worden gebruikt. We merken dat veel sites nu nog wat moeite hebben hier op een duidelijke manier toestemming voor te vragen, vandaar dat er nog een cookiewall gebruikt wordt of impliciete opt-in, waarbij je gebruik gaat met de voorwaarden als je verder doorklikt.

Privacy en cookies

De AVG bevat heldere richtlijnen, echter nog geen praktische implementatievoorschriften voor het opt-in verzamelen van data. Bepalingen over het gebruik van metadata en cookieregels zullen duidelijker worden wanneer de nieuwste versie van de ePrivacy Regulation wordt gepubliceerd. De verwachting is dat je jouw browser kan voorzien van een aantal privacy-opties die door de bezoeker van de site kunnen worden ingesteld. Uiteraard dien je volstrekt transparant weer te geven welke privacy de gebruiker kan verwachten met elke afzonderlijke instelling.

Neemt overigens niet weg dat er met de komst van de AVG al wel richtlijnen zijn opgesteld waar jouw cookiemelding nu al aan dient te voldoen:

  • De cookiemelding geeft aan dat er cookies geplaatst worden. Deze melding moet ook een link naar de privacy policy bevatten, zodat je volledig bent in de informatieverschaffing naar de gebruiker van jouw site.
  • Cookieopties staan niet aangevinkt en worden pas geplaatst nadat expliciet toestemming is verleend voor plaatsing.
  • Toestemming of wijzigingen in toestemming voor cookies moeten worden opgeslagen en bewaard.

Pas wanneer de ePrivacy Regulation van kracht is zal deze de cookiewet vervangen, tot die tijd doe je er dan ook goed aan bovenstaande regels en de meldingen hierover in de AVG nauwkeurig op te volgen.

Profilering van gebruikers

Een verdergaande vorm van datagebruik is het verzamelen en analyseren van data om bezoekersprofielen op te bouwen, ook wel profiling genoemd. Profiling staat aan de basis van veel vormen van online advertising, personalisatietools en toekomstige toepassingen als machine learning en artifical intelligence. Door gebruikers in een bepaald profiel te plaatsen worden ze bijvoorbeeld waardevol om via retargeting opnieuw te benaderen en te voorzien van gepersonaliseerde on-site content. De AVG voorziet ook in deze vorm van datagebruik:

  • Benoem welke vorm van profiling wordt toegepast en wat dit voor gevolg heeft voor de gebruiker. Daarbij moet direct de mogelijkheid worden geboden tot een opt-out.
  • Omschrijf duidelijk welke tools worden gebruikt, welke cookies daarbij geplaatst worden en hoe je deze cookies als gebruiker ook weer kunt verwijderen.
  • Uit de omschrijving moet duidelijk naar voren komen hoe de verkregen data beveiligd worden.

Opslaan van data en rechten van de gebruiker

Binnen de AVG is de expliciete communicatie voor toestemming van de gebruiker de eerste stap, transparantie in hoe de gegevens worden verwerkt en gebruikt een tweede stap en tenslotte dien je als organisatie duidelijk aan te geven hoe deze data worden opgeslagen en bewaard. Belangrijkste bepaling is dat persoonsgegevens niet langer bewaard worden als het niet strikt noodzakelijk is en verwijderd worden als een gebruiker hier om vraagt. Aangezien je waarschijnlijk met verschillende soorten data te maken hebt is het raadzaam een kader op te stellen met daarin de soort data, houdbaarheidstermijn en gebruiksmogelijkheden ervan hebt verwerkt.

Gebruikersrechten

We hebben tot nu toe, logischerwijs, de AVG belicht vanuit de organisatiekant. Maar waar kan je als gebruiker vanuit gaan? Wanneer je goedkeuring geeft aan het registreren van jouw gegevens of aan het tracken van jouw surfgedrag, mag je als gebruiker verwachten dat je ook de nodige rechten kunt ontlenen aan de verleende toestemming. De rechten van de gebruiker zijn in de AVG aangescherpt en verder verduidelijkt, waardoor de gebruiker meer inzicht en controle krijgt over wat er met de opgeslagen persoonsgegevens gebeurt, met recht op:

  • Toegang en inzicht tot de opgeslagen eigen persoonsgegevens.
  • Inzicht in waar data is opgeslagen en voor wie deze informatie toegankelijk is.
  • Aanpassing van verkeerde gegevens.
  • Vergetelheid, wat inhoudt dat persoonsgegevens verwijderd moeten worden als iemand daar om vraagt.
  • Beveiliging gegevens.

AVG, de gevolgen voor online marketeers

Algemeen gesproken zal het voor online marketeers een grotere uitdaging worden om de volledige customer journey inzichtelijk en meetbaar te krijgen. Gebruikers zullen zich met de komst van de AVG meer bewust zijn van hun rechten als individu en daarom ook kritischer kijken naar wat er met hun persoonsgegevens gebeurt. Als online marketeer is het daarom essentieel helder te hebben welke informatie je wilt verzamelen, waar je het voor wilt gebruiken en dit zo transparant mogelijk richting de gebruiker te communiceren.

Doe je dit niet dan zal de Autoriteit Persoonsgegevens er streng op toezien dat je dit wel volgens de richtlijnen gaat doen. Met de mogelijkheid dat je een boete krijgt die kan oplopen tot 4% van de jaaromzet. Je loopt als organisatie ook een groter risico doordat gebruikers met de AVG nu ook zelf de mogelijkheid hebben om vermeende privacyovertredingen bij de Autoriteit Persoonsgegevens aan te geven. De verwachting is daarnaast, doordat het een vanuit de Europese Commissie gestuurd project is, dat er strenger op naleving van de AVG (GDPR in Europees verband) wordt toegezien.

In volgende blogs zullen we wat meer inzoomen op de gevolgen van de AVG voor specifieke onderdelen binnen de online marketingmix. Mocht je meer willen weten over deze ingrijpende privacywetgeving neem contact op met Immense via 020-7372421, we vertellen je er graag meer over!