Wat is de impact van de AVG op online marketeers?

  • Wessel Vincent

Als online marketeer ben je een groot gedeelte van je tijd in de weer met het analyseren van relevante data in lopende campagnes. Mocht deze data niet uit jouw Google Analytics, AdWords of Search Console omgeving komen, dan vast wel uit bijvoorbeeld Dotmailer, Adcrowd of Facebook. Nu weet iedereen inmiddels wel dat de nieuwe privacywet AVG (Algemene Verordering Gegevensbescherming) actief is sinds 25 mei 2018. Welke gevolgen de AVG met zich meebrengt binnen de tooling die jij gebruikt lichten we graag eens uit.

“Persoonsgegevens? Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon in de zin van de wet.”

De nieuwe wetgeving draait met name om het genereren van meer specifieke toestemming van de eindgebruiker, indien je ook daadwerkelijk met naar een individuele persoon herleidbare data wilt werken. Deze specifieke toestemming is bijvoorbeeld essentieel om succesvolle online advertenties op te zetten. Binnen deze gebruikersdata onderscheiden we:

  • Anonieme data: gegevens waarmee een persoon niet te identificeren is. Deze gegevens vallen dan ook buiten de scope van AVG.
  • Persoonsgegevens: alle informatie over een geïdentificeerd of identificeerbaar persoon. Bijvoorbeeld NAW-gegevens, e-mailadres, IP-adres, geboortedatum, huidige locatie, maar ook device-ID’s.
  • Pseudoanonieme data: persoonsgegevens dusdanig verwerkt dat de data niet langer herleid kan worden zonder gebruik van aanvullende informatie, maar wel een persoon identificeerbaar maakt. Bijvoorbeeld versleuteld e-mailadres, gebruikers-ID of een klantnummer dat alleen via een goed beveiligde interne database gelinkt is aan overige data.

In tegenstelling tot anonieme data mogen persoonsgegevens en pseudoanonieme data alleen:

  • Gebruikt worden met als doel om jouw online bezoekers te karakteriseren wanneer dit expliciet benoemd is. De consequenties die hieraan vasthangen moeten dan ook bekend zijn bij de gebruiker. Daarnaast dien je de mogelijkheid tot een opt-out functionaliteit te moeten bieden.
  • Gebruikt worden voor gespecificeerde, expliciete en rechtmatige doeleinden én niets anders dan dat. Concreet betekent dit dat je enkel persoonsgegevens en pseudoanonieme data mag gebruiken bij een expliciete opt-in, nadat duidelijk is aangegeven welke data wordt verzameld en voor welke doelen je deze vervolgens gebruikt.

Tot slot heeft de gebruiker altijd het recht om de gegevens in te zien en/of deze te verwijderen.

Voorbeeld AVG compliancy - MailPlus
Het waarborgen van privacy-rechten van jouw betrokkenen (voorbeeld MailPlus).

Tot aan de 25e bestaat er altijd nog een grijs gebied van wat wel of niet mag én wilde je als online marketeer niet altijd roomser dan de paus zijn. Wetende dat de wetgeving toch echt jouw werkzaamheden en online omgeving gaat raken én je de AVG-randzaken voor 25 mei 2018 geregeld moet hebben, helpen we je graag op weg met de inrichting hiervan. De wetgeving raakt dan ook veel van jouw tooling, denk aan bijvoorbeeld:

  • Tracking: Analysetools als Google Analytics en bijvoorbeeld Hotjar. IP-adressen van gebruikers moeten bijvoorbeeld anoniem blijven zonder expliciete toestemming. En heeft jouw bezoeker daarnaast geconverteerd? En wil je weten welk conversiepad hij heeft afgelegd, met welk device? Dit zijn allemaal pseudo-anonieme data en vergt dus expliciete toestemming.
AVG voorbeeld - Google Tag Manager
Het anonimiseren van IP-adressen en het forceren van een SSL-certificaat in Google Tag Manager.
  • Google Adwords advertenties: Hanteer jij doelgroeplijsten in jouw Adwords advertenties en gebruik jij deze onder andere in jouw re-marketingcampagnes? Of maak je gebruik van similar audiences? Zorg ervoor dat jouw gebruikers echt goed op de hoogte zijn van het feit dat je dit doet. Weten ze daarnaast ook waarom je deze gegevens opslaat? En wat krijgt de klant er feitelijk voor terug? Als online marketeer moet jij dus goed letten op de data die je nodig hebt voor het verbeteren van je SEA-campagnes.
  • Social media-advertenties: Naast jouw Google Adwords campagnes heeft het inrichten van bijvoorbeeld een Facebook-campagne ook impact. Wil je bijvoorbeeld een look-a-like doelgroep maken op basis maken het uploaden van een lijst van e-mailadressen? Of re-marketing in jouw campagnes hanteren? Hiervoor dient vanaf de 25e een expliciete toestemming in gebruik te zijn. Daarnaast moet je in jouw privacystatement vermelden dat je gegevens deelt met derden.
  • Partners: zorg ervoor dat je alle partijen waarmee je samenwerkt vastlegt. Denk hierbij ook aan verwerkingsovereenkomsten met Google, MailChimp en bijvoorbeeld die oh zo geliefde projectmanagement tooling.
AVG voorbeeld - Google Analytics
Het instellen van het behouden van gegevens in Google Analytics.
Deel dit artikel