Wat betekent de GDPR/AVG voor digital analytics?

Wat betekent de GDPR/AVG voor digital analytics?

Op 25 mei 2018 wordt de huidige privacywet Wet bescherming persoonsgegevens (Wbp) vervangen door de GDPR (General Data Protection Regulation). Deze wet geldt voor alle Europese landen. De Nederlandse variant, de Algemene Verordening Gegevensbescherming (AVG), is al in 2016 ingevoerd en wordt vanaf 25 mei 2018 streng gehandhaafd door de Autoriteit Persoonsgegevens. In ons eerste artikel van de serie GDPR/AVG is al beschreven wat dit in grote lijnen inhoudt voor de organisatie en waar je als digital marketer op moet letten. In dit deel ga ik in wat de GDPR/AVG specifiek betekent voor digital analytics.

Situatie voor de GDPR

In 2015 is de ‘cookiewet’ versoepeld en geeft de gebruiker toestemming voor het plaatsen van onder andere remarketingcookies door gebruik te maken van de website. Je moet dit dan wel vermelden in een cookiebar en de privacyregeling moet aan bepaalde voorwaarden voldoen. Een van deze voorwaarden was vermelden waar mensen cookies konden verwijderen en welke cookies geplaatst werden. Hierbij moest je beschrijven waarvoor de cookies geplaatst werden, door wie en wanneer deze weer automatisch verwijderd werden.

Er was dus geen absolute noodzaak dat de bezoeker expliciet toestemming moest geven. Puur door bijvoorbeeld te navigeren naar een volgende pagina, gaf je als bezoeker al toestemming tot het plaatsen van de cookies in je browser.

De ePrivacy Verordening

In de meeste gevallen is een gevolg van de GDPR/AVG dat de gebruiker expliciete toestemming moet geven. Naast de GDPR/AVG komt er een extra wetgeving, genaamd de ePrivacy Verordening. Deze vervangt de huidige ‘cookiewet’ en geeft aan hoe de GDPR/AVG geïnterpreteerd moet worden, zodat er meer duidelijkheid is hoe de opt-ins verzameld worden. Deze ePrivacy Verordening zou gelijk met de GDPR van start gaan, maar is door het Europees Parlement uitgesteld. Wanneer deze nu wel van kracht wordt, is voorlopig nog niet duidelijk. Het staat buiten kijf dat de GDPR op 25 mei 2018 van kracht is. Vanaf dat moment heeft het impact op hoe en wat je mag verzamelen.

Situatie vanaf 25 mei 2018

Onder de GDPR/AVG moet er expliciete toestemming zijn voor het verzamelen van persoonsgegevens. Wat onder persoonsgegevens valt, is met de GDPR/AVG aangescherpt. Naast de gegevens die identificeerbaar zijn naar een persoon (NAW-gegevens, maar ook IP-adres, locatiegegevens met GPS), vallen hier namelijk ook de pseudo-anonieme gegevens onder. Deze zijn weliswaar niet herleidbaar naar een natuurlijk persoon zonder aanvullende informatie, maar zijn wel te individualiseren. Voorbeelden hiervan zijn onder andere klant-ID, gebruikers-ID en hashed e-mailadres.

Als er geen vorm van profilering wordt toegepast en je alléén cookies plaatst van je webanalytics-pakket (zoals Google Analytics), dan is de impact van de GDPR/AVG goed te overzien. Met profilering bedoel ik dat je geen vorm van remarketing of personalisatie op de website inzet of interesseprofielen van je bezoekers opbouwt.

De gebruiker (in dit geval de bezoeker van je website) hoeft geen toestemming te geven dat je analytische cookies plaatst om het bezoek te kunnen meten. Zolang je met deze cookies geen persoonsgegevens of pseudo-anonieme gegevens verzamelt, is er geen toestemming nodig. Belangrijk om te weten is dat je dan geen IP-adressen mag opslaan. Hierdoor is de locatiedata in analytics minder nauwkeurig en kun je dus ook geen IP-adressen meer filteren om het gedrag op je website van een bepaalde locatie (bijvoorbeeld je eigen kantoor) uit te sluiten.

Waar moet je aan voldoen als je analytische cookies plaatst zonder toestemming?

Voor het plaatsen van analytische cookies zonder toestemming moet je wel aan de volgende voorwaarden voldoen:

1. Sluit een bewerkersovereenkomst met Google

Dit vind je onder het account in de beheeromgeving van Google Analytics.

2. Maak IP-adressen anoniem

Dit kun je doen door een extra stukje code toe te voegen in je trackingcode van Google Analytics. Meer informatie lees je op de pagina anonimiseren van IP-adressen in Analytics. Een andere – en veel makkelijkere – manier om dit te doen is via Google Tag Manager. In de ‘Google Analytics Variabele’ onder ‘Meer instellingen’ kun je ‘anonymizeIp‘ op ‘true‘ zetten.Velden die moeten worden ingevuld

3. Gebruik SSL voor Google Analytics-cookies

Gebruik SSL voor de Google Analytics-cookies, zodat de gegevens versleuteld verstuurd worden. Meet je de website door met Google Tag Manager? Dan kun je deze instelling ook aangeven in de Google Analytics Variabele.

4. Deel geen gegevens met Google

Zet onder ‘Account’ de vinkjes uit voor het delen van gegevens met Google. Als je deze vinkjes laat staan, dan ga je ermee akkoord dat Google de gegevens van je bezoekers gaat gebruiken voor eigen doeleinden, bijvoorbeeld voor het verbeteren van hun eigen producten en diensten (waar op zich niets mis mee is…). Hierdoor is Google naast een bewerker ook een verantwoordelijke. Je moet dan namens Google toestemming vragen aan je bezoekers voor het verwerken van persoonsgegevens met Analytics-cookies.

5. Verzamel geen gegevens voor advertentiefuncties

Zet op Property-niveau van je Analytics-account (onder ‘Trackinginfo – Gegevensverzameling’) ‘Gegevens verzamelen voor advertentiefuncties’ uit. Dit moet je doen bij zowel ‘Remarketing’ als bij ‘Rapportagefuncties voor advertenties’.

6. Informeer bezoekers dat je gebruik maakt van Google Analytics

In de privacyverklaring moet in ieder geval terug komen dat:

  • je een bewerkersovereenkomst met Google hebt afgesloten.
  • de gegevens versleuteld en anoniem verwerkt worden.
  • je ‘gegevens delen’ met Google hebt uitgezet.
  • de Google Analytics-cookies niet worden gebruikt in combinatie met andere diensten van Google, zoals DoubleClick en AdWords.
  • welke Google Analytics-cookies geplaatst worden, met welk doel en wanneer deze verwijderd worden. Gebruik je andere tools en advertentieplatformen? Dan zal ook van deze de cookies op dezelfde manier het doel, tijdsduur en verantwoordelijke beschreven moeten worden.

Tip: bewaar een schermafdruk met daarop datum/tijd van het moment dat je bovenstaande aanpassingen hebt doorgevoerd. Hiermee kun je namelijk altijd aantonen wanneer je deze privacyvriendelijke maatregelen hebt toegepast.

Cross device meten met User-ID

Als bezoekers kunnen inloggen op je website of zich op een andere manier kenbaar kunnen maken wie ze zijn, heb je de mogelijkheid om gedrag over meerdere sessies en devices (zoals laptop, tablet en smartphone) te koppelen. Dit mag uiteraard alleen met voorafgaande toestemming van de gebruiker (bijvoorbeeld op het moment dat hij/zij een account op de website aanmaakt). Het moet dan ook duidelijk beschreven zijn in de privacy-statement. Heb je deze toestemming niet? Zorg er dan voor dat de ‘Functie voor User ID’s inschakelen’ uit staat.

Wees transparant!

Wat moet er in je privacystatement staan?

Benoem bovenstaande aanpassingen in je privacyverklaring, zodat de bezoeker van je website weet welke maatregelen je getroffen hebt. Je moet dus vermelden welke cookies je plaatst, wat het doel hiervan is en wanneer deze verwijderd worden. Ook als je cross device gaat meten, moet dat in je privacystatement staan.

Als je verder remarketing toepast, profielen opbouwt en de mogelijkheid biedt van het delen van content op socialmedia-platformen, dan moet je ook benoemen welke dit zijn en met welk doel dit gebeurt. Oftewel, wees transparant!

Demografische en interessecategorieën

In Google Analytics heb je de mogelijkheid om de rapporten over demografische en interessecategorieën in te schakelen. Hiermee krijg je gegevens van je bezoekers over leeftijd, geslacht en interesse, zodat je een beter beeld krijgt van je bezoekers. Deze gegevens bepaalt Google aan de hand van het Google-account en het type websites dat de bezoeker verder heeft bekeken. Als gebruiker van een Google-account heeft de bezoeker hier wel/niet toestemming voor gegeven. Als je deze rapporten inschakelt (te vinden onder property-instellingen), moet je dit ook in je privacyverklaring vermelden.

Welke elementen verder terug moeten komen in je privacyverklaring, staat voor een groot deel al beschreven in het eerste deel van deze serie.

Waar moet de cookiebar aan voldoen?

Op het moment dat er andere cookies worden geplaatst (bijvoorbeeld van socialmedia-platformen, tools voor personalisatie op de website, etc.), moet je expliciete toestemming  vragen. Je moet ook expliciete toestemming vragen als je in Google Analytics segmenten aanmaakt op basis van gedrag op de website en deze vervolgens gebruikt om een doelgroeplijst aan te maken. Dit is bijvoorbeeld het geval als je een segment maakt van bezoekers die wel een product in een winkelwagen hebben gestopt en wellicht deels het bestelproces zijn ingegaan, maar niet een bestelling hebben gedaan. Vaak wil je deze groep gaan remarketen om ze weer terug naar je website te krijgen.

Expliciete toestemming betekent dat de bezoeker van je website bewust een handeling moet doen om deze toestemming te geven, bijvoorbeeld door te klikken op een akkoord-knop. Het moet dan wel duidelijk zijn waar hij/zij mee akkoord gaat. In de tekst van de cookiebar moet je al aangeven welke type cookies geplaatst worden en moet je verwijzen naar de privacyverklaring en naar de cookie-settings. Hier moet je de mogelijkheid bieden dat de bezoeker zelf de keuze heeft welke type cookies geplaatst mogen worden en welke niet.

Voorbeelden van cookie-instellingen wijzigen

Op de site van de Nederlandse Publieke Omroep staat een mooi voorbeeld van hoe ze bezoekers de mogelijkheid geven om de cookie-instellingen aan te passen. Overigens is hun cookiebar nog niet GDPR-proof, aangezien ze er hier nog van uitgaan dat je toestemming geeft door de website te gebruiken. Dit is na 25 mei 2018 niet meer voldoende, bezoekers moeten toestemming geven door te klikken op bijvoorbeeld een akkoord-button.

cookies NPO

Ook op i-scoop vind je een goed voorbeeld om bepaalde type cookies aan of uit te zetten:

Op de website Cookieconsent van Insites vind je overigens diverse mogelijkheden van cookiebars voor implementaties op je eigen site.

Voor welke cookies nu wel of geen toestemming?

Het is niet nodig om toestemming te vragen voor het plaatsen van Google Analytics-cookies, zolang je er verder geen persoonsgegevens mee opslaat en de gegevens – die via deze cookies geaggregeerd worden – verzamelt voor statistische analyses. Ook noodzakelijke functionele cookies die echt nodig zijn voor de werking van je website, kunnen zonder toestemming geplaatst worden.

De gebruiker moet wel expliciete toestemming geven voor cookies die nodig zijn voor inhoudsoptimalisatie, gepersonaliseerde content, remarketing, het opbouwen van profielen en voor het delen van content op socialmedia-platformen. Meer informatie hierover lees je in de volgende artikelen van deze serie over GDPR/AVG.

Google en de GDPR

Wil je meer informatie over Google en GDPR? Lees dan in ‘Google Cloud en de GDPR’ hoe Google compliant is aan de GDPR en wat Google doet op het gebied van databescherming.

Blog