Wat is de impact van de AVG op online marketeers?

Als online marketeer ben je een groot gedeelte van je tijd in de weer met het analyseren van relevante data in lopende campagnes. Mocht deze data niet uit jouw Google Analytics, AdWords of Search Console omgeving komen, dan vast wel uit bijvoorbeeld Dotmailer, Adcrowd of Facebook. Nu weet iedereen inmiddels wel dat de nieuwe privacywet AVG (Algemene Verordering Gegevensbescherming) actief is sinds 25 mei 2018. Welke gevolgen de AVG met zich meebrengt binnen de tooling die jij gebruikt lichten we graag eens uit.

“Persoonsgegevens? Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon in de zin van de wet.”

De nieuwe wetgeving draait met name om het genereren van meer specifieke toestemming van de eindgebruiker, indien je ook daadwerkelijk met naar een individuele persoon herleidbare data wilt werken. Deze specifieke toestemming is bijvoorbeeld essentieel om succesvolle online advertenties op te zetten. Binnen deze gebruikersdata onderscheiden we:

  • Anonieme data: gegevens waarmee een persoon niet te identificeren is. Deze gegevens vallen dan ook buiten de scope van AVG.
  • Persoonsgegevens: alle informatie over een geïdentificeerd of identificeerbaar persoon. Bijvoorbeeld NAW-gegevens, e-mailadres, IP-adres, geboortedatum, huidige locatie, maar ook device-ID’s.
  • Pseudoanonieme data: persoonsgegevens dusdanig verwerkt dat de data niet langer herleid kan worden zonder gebruik van aanvullende informatie, maar wel een persoon identificeerbaar maakt. Bijvoorbeeld versleuteld e-mailadres, gebruikers-ID of een klantnummer dat alleen via een goed beveiligde interne database gelinkt is aan overige data.

In tegenstelling tot anonieme data mogen persoonsgegevens en pseudoanonieme data alleen:

  • Gebruikt worden met als doel om jouw online bezoekers te karakteriseren wanneer dit expliciet benoemd is. De consequenties die hieraan vasthangen moeten dan ook bekend zijn bij de gebruiker. Daarnaast dien je de mogelijkheid tot een opt-out functionaliteit te moeten bieden.
  • Gebruikt worden voor gespecificeerde, expliciete en rechtmatige doeleinden én niets anders dan dat. Concreet betekent dit dat je enkel persoonsgegevens en pseudoanonieme data mag gebruiken bij een expliciete opt-in, nadat duidelijk is aangegeven welke data wordt verzameld en voor welke doelen je deze vervolgens gebruikt.

Tot slot heeft de gebruiker altijd het recht om de gegevens in te zien en/of deze te verwijderen.

Tot aan de 25e bestaat er altijd nog een grijs gebied van wat wel of niet mag én wilde je als online marketeer niet altijd roomser dan de paus zijn. Wetende dat de wetgeving toch echt jouw werkzaamheden en online omgeving gaat raken én je de AVG-randzaken voor 25 mei 2018 geregeld moet hebben, helpen we je graag op weg met de inrichting hiervan. De wetgeving raakt dan ook veel van jouw tooling, denk aan bijvoorbeeld:

  • Tracking: Analysetools als Google Analytics en bijvoorbeeld Hotjar. IP-adressen van gebruikers moeten bijvoorbeeld anoniem blijven zonder expliciete toestemming. En heeft jouw bezoeker daarnaast geconverteerd? En wil je weten welk conversiepad hij heeft afgelegd, met welk device? Dit zijn allemaal pseudo-anonieme data en vergt dus expliciete toestemming.
  • Google Adwords advertenties: Hanteer jij doelgroeplijsten in jouw Adwords advertenties en gebruik jij deze onder andere in jouw re-marketingcampagnes? Of maak je gebruik van similar audiences? Zorg ervoor dat jouw gebruikers echt goed op de hoogte zijn van het feit dat je dit doet. Weten ze daarnaast ook waarom je deze gegevens opslaat? En wat krijgt de klant er feitelijk voor terug? Als online marketeer moet jij dus goed letten op de data die je nodig hebt voor het verbeteren van je SEA-campagnes.
  • Social media-advertenties: Naast jouw Google Adwords campagnes heeft het inrichten van bijvoorbeeld een Facebook-campagne ook impact. Wil je bijvoorbeeld een look-a-like doelgroep maken op basis maken het uploaden van een lijst van e-mailadressen? Of re-marketing in jouw campagnes hanteren? Hiervoor dient vanaf de 25e een expliciete toestemming in gebruik te zijn. Daarnaast moet je in jouw privacystatement vermelden dat je gegevens deelt met derden.
  • Partners: zorg ervoor dat je alle partijen waarmee je samenwerkt vastlegt. Denk hierbij ook aan verwerkingsovereenkomsten met Google, MailChimp en bijvoorbeeld die oh zo geliefde projectmanagement tooling.

Waarom HTTPS het allerbeste is voor je website

Er is de afgelopen tijd veel te doen geweest over beveiliging en privacy op het internet. Ik schreef eerder al over de belangrijkste trends op het gebied van online privacy, en over hoe je bezoekers kan beïnvloeden om jouw website te vertrouwen. Deze keer ga ik wat dieper in op HTTPS-beveiliging (ook wel bekend als “SSL”, of “het groene slotje in de browser”). Waar dit voorheen nog voorbehouden was aan webshops en grote bedrijven ben ik van mening dat tegenwoordig elke website goed beveiligd moet zijn. En dat vindt Google ook: websites met HTTPS scoren sinds kort hoger in de zoekresultaten. Des te meer reden om er mee aan de slag te gaan!

Wat is HTTPS?

HTTPS is de beveiligde tegenhanger van HTTP, het protocol dat gebruikt wordt om internetpagina’s op te vragen. HTTPS maakt gebruik van TLS (of eigenlijk: TLS/SSL), en dat is weer een encryptie protocol om internet verkeer te versleutelen. Het doel van de technologie is om communicatie tussen bezoekers en de websites die ze bezoeken volledig te versleutelen zodat er niemand mee kan kijken. Dergelijke beveiliging is vooral belangrijk voor toepassingen als online bankieren en het invoeren van gevoelige gegevens (denk aan je adresgegevens invullen bij een bestelling, of inloggen bij de Belastingdienst).

Je kunt zelf gemakkelijk zien of de website waar je op zit beveiligd is. Wanneer dit het geval is krijg je in de browser een slotje te zien:

Er is ook nog een uitgebreidere beveiligingsvariant waarbij ook de bedrijfsnaam in de adresbalk komt te staan. Dit heet “Extended Validation”. Hierbij wordt ook de verbinding versleuteld. Maar als extra beveiliging is ook door een onafhankelijke instantie vastgesteld dat de website waar je op zit ook daadwerkelijk van dat bedrijf is.

Waarom heeft mijn website HTTPS nodig?

Tot voor kort was het antwoord: niet, tenzij je met gevoelige gegevens werkt (persoonsgegevens, creditcard informatie, etcetera). Deze visie is echter achterhaald, onder andere door de onthullingen van Edward Snowden. Inlichtingendiensten blijken immers op grote schaal gegevens van internetgebruikers te onderscheppen en op te slaan. Door overal HTTPS te gebruiken kunnen inlichtingendiensten niet of nauwelijks meer zien wat er precies gecommuniceerd wordt (lees: wat een bezoeker op de website heeft ingevuld of opgevraagd).

Bij Comaxx hebben we daarom de stelling: HTTPS is standaard, tenzij er een hele goede reden is om het niet te gebruiken (en die redenen zijn zeldzaam). We merken dat HTTPS-beveiliging een bijkomend voordeel biedt: het vertrouwen van bezoekers in je bedrijf neemt toe. Het standaard beveiligen van de website geeft aan dat je als organisatie veiligheid en privacy belangrijk vindt.

Maar als deze argumenten nog niet genoeg zijn om je te overtuigen komen we bij het volgende:

Heeft HTTPS invloed op mijn Google-positie?

Het korte antwoord: ja. Sinds augustus 2014 krijg je van Google pluspunten wanneer de website met HTTPS beveiligd is. Zelfs als je tot hier nog niet overtuigd was lijkt me dit een goede reden om het toch in te zetten!

Hoe voorzie ik mijn website van HTTPS?

Het toevoegen van HTTPS-beveiliging is vrij simpel, het proces bestaat uit drie stappen:

  1. Allereerst moet er een zogeheten SSL-certificaat aangeschaft worden
  2. Vervolgens moet het certificaat geïnstalleerd worden op de webserver(s)
  3. Ten slotte moet de website gebruik gaan maken van HTTPS in plaats van  HTTP (in sommige gevallen moet de webbouwer hier nog enkele aanpassingen voor doen)

Houd rekening met SEO

Het activeren van HTTPS betekent dat je website vanaf dat moment op twee url’s benaderbaar is: http://www.domein.nl en https://www.domein.nl. Google ziet deze twee url’s als wezenlijk verschillend. Gevolg: je pagina’s zijn bereikbaar via twee verschillende url’s, waardoor je risico loopt op duplicate-content minpunten. Zorg er dus voor dat je altijd een goede redirect instelt die alle http:// links doorstuurt naar https://.

En voorkom dat je likes, tweets en +1’s verliest

Ook als je op je website social sharing knoppen hebt staan is het verstandig om een aanpassing te doen. Ook social media zien de HTTP en HTTPS url’s als verschillend. Als je voorheen altijd HTTP links hebt gebruikt heb je waarschijnlijk de nodige likes, tweets en +1’s vergaard. Schakel je de site over naar HTTPS, dan zul je merken dat je Like button opeens naar 0 terugspringt. Er zijn immers nog geen likes voor de HTTPS versie van de pagina. Ook dit is op te lossen, door alle pagina’s vóór de HTTPS migratie te voorzien van een og:url tag met daarin de HTTP link naar de pagina.