GDPR – gevolgen voor analytics en tracking

De marketinggroep gdpr

GDPR – gevolgen voor analytics en tracking

Op 25 mei 2018 treedt de nieuwe privacywetgeving in werking. In de General Data Protection Regulation (GDPR) – oftewel de Algemene Verordening Gegevensbescherming (AVG) – staan nieuwe, herziene richtlijnen voor het verzamelen van data, in het leven geroepen om de privacy van de burger beter te waarborgen. De GDPR heeft impact op bijna alle marketingactiviteiten van een organisatie op het gebied van verwerking van persoonsgegevens van Europese burgers. In deze blogpost gaan we verder in op de gevolgen van GDPR voor analytics en tracking  en de rechten van de bezoeker/gebruiker van de website.

Het verzamelen van data

Voor het verzamelen en opslaan van persoonsgegevens moet vooraf duidelijke toestemming gegeven worden door de bezoeker of gebruiker van de website. Persoonsgegevens worden onderverdeeld in drie categorieën:

  1. Persoonsgegevens: bijvoorbeeld NAW-gegevens, IP-adres en device-ID’s.
  2. Pseudo-anonieme data: persoonsgegevens die dusdanig verwerkt worden dat ze niet langer herleid kunnen worden zonder gebruik van aanvullende informatie, maar die wel een persoon individueel maken, zoals een versleuteld e-mailadres of gebruikers-ID.
  3. Anonieme data.

Persoonsgegevens en pseudo-anonieme data mogen met expliciete opt-in en opt-out worden gebruikt voor gespecificeerde, expliciete en rechtmatige doeleinden en niet verder worden verwerkt op manieren die niet verenigbaar zijn met deze doeleinden.

Vooral bij trackingscripts gaat het vaak om pseudoanonimisering. Het is een veel voorkomende misvatting dat dit anonieme data zijn. De data die via tracking-id’s verzameld worden, vallen in veel gevallen dus ook onder de GDPR omdat de persoon door aanvullende informatie herleid kan worden en individualiseerbaar is.

Officieel mag je dus standaard geen tracking gebruiken en moet je duidelijk vermelden welke data worden verzameld en voor welke doeleinden deze worden gebruikt. Veel sites hebben daar momenteel moeite mee en vangen dit veelal af met een cookiewall of impliciete opt-in, waarbij je bij verder gebruik van de site akkoord gaat. Als iemand in het verleden toestemming heeft gegeven voor het verwerken van zijn of haar persoonsgegevens, moet hij of zij zich vervolgens op elk moment op eenvoudig kunnen afmelden middels een opt-out.

ePrivacy Regulation

Er wordt momenteel gewerkt aan een nieuwe versie van de ePrivacy Regulation. Deze nieuwe privacywetgeving moet meer duidelijkheid brengen over hoe de opt-in verzameld moet gaan worden. Hierin staan o.a. bepalingen over het gebruik van metadata en cookieregels.

In het voorstel dat er nu ligt, wordt gekeken naar het invoeren van cookie-instellingen via de browser. In de browser moet een reeks van privacyopties worden geboden die door de gebruiker kunnen worden ingesteld, van hogere tot lagere privacy, met diverse tussenliggende varianten. Deze instellingen moeten duidelijk zichtbaar en begrijpelijk worden gepresenteerd.

Dus naast de GDPR komt er nog aanvullende wetgeving. De cookiewet wordt pas volledig vervangen door de ePrivacy-wetgeving, maar de GDPR heeft al eerder impact op wat je mag verzamelen en op welke manier. Het is dus belangrijk om de trackingscripts en cookies na te lopen en deze tegen de nieuwe richtlijnen te houden, en waar nodig te verwerken in de cookiemelding.

Data-profilering

Profiling is het verzamelen, analyseren en combineren van (persoons)gegevens met als doel iemand in te delen in een bepaalde categorie of bepaald profiel. Met profiling kan een organisatie ook het gedrag van mensen voorspellen of een beslissing over hen nemen. Profiling wil dus zeggen dat iemand aan de hand van een profiel wordt beoordeeld.

Profiling bestaat uit 3 stappen:

  1. Het verzamelen van (persoons)gegevens over (een groep) mensen
  2. Het analyseren en combineren van deze gegevens om verbanden en patronen te ontdekken
  3. Het zoeken naar verbanden en patronen (profielen) in een groep mensen om ze in te delen in een bepaalde categorie en/of hun gedrag te voorspellen.

In de nieuwe wetgeving moet de organisatie benoemen welke vorm/vormen van profilering wordt/worden toegepast, met de daarbij behorende consequenties voor deze persoon. Hierbij moet tevens de mogelijkheid worden geboden tot een opt-out voor deze functionaliteit. De gegevens zullen beveiligd moeten worden door bijvoorbeeld scripting, hashing en encrypting.

Veel huidige online advertising, personalisatietools en toekomstige toepassingen van machine learning en artificial intelligence zijn gebouwd op dataprofilering of staan toe om als adverteerder je eigen data te uploaden om bijvoorbeeld mensen met een vergelijkbaar profiel te kunnen bereiken. Ook remarketing, waarbij je een groep gebruikers opnieuw benadert, valt hieronder. Meer hierover volgt in onze vierde en laatste blogpost over GDPR met betrekking tot digital advertising.

Marketing automation

Voor marketing-automationsystemen moet ook expliciet worden bijgehouden wanneer en waarvoor een opt-in is gegeven. De persoon moet bij het geven van toestemming inzicht hebben in waarvoor de gegevens worden gebruikt. Doorgaans heeft een marketing-automationpakket ook een websitescript dat de lead verder volgt op persoonsniveau en een score bijhoudt voor verdere sales/opvolging.

Dit geldt bijvoorbeeld ook bij het aanvragen van een whitepaper, waaraan vervolgens een automatische mail flow gekoppeld is en aan de hand waarvan vervolgens zelfs telefonisch contact opgenomen wordt. Dit dien je als adverteerder bij de opt-in aan te geven, inclusief het aspect van tracking.

Het bewaren van persoonlijke data

Wanneer iemand toestemming heeft gegeven om persoonlijke data te verzamelen, moeten de gegevens op een transparante manier worden verwerkt. De organisatie moet aangeven hoe lang deze persoonlijke data worden opgeslagen. Dit is niet altijd eenvoudig vast te stellen en mede afhankelijk van de data die verzameld worden.

Organisaties mogen persoonsgegevens bewaren als deze bestemd zijn voor historische, statistische of wetenschappelijke doeleinden. Daarnaast mogen de persoonlijke data niet langer dan noodzakelijk bewaard worden, daarna moeten ze geanonimiseerd of verwijderd worden. De organisatie moet de persoonsgegevens eerder verwijderen als een persoon hierom vraagt.

Voor het bewaren van persoonlijke data is het belangrijk een framework op te stellen met daarin beschreven welke data verzameld worden, hoe deze gebruikt worden en hoe lang deze data bewaard mogen worden.

Rechten van de burger

De nieuwe wetgeving geeft ook meer duidelijkheid over de rechten van de burger. Deze worden nu verder geconcretiseerd en afgekaderd, wat ervoor moet zorgen dat bedrijven op een transparante manier data van burgers verzamelen en opslaan en dat de bezoeker of gebruiker van een digitaal kanaal meer controle over en inzicht in de opslag van zijn of haar persoonsgegevens krijgt.

De burger heeft vanaf volgend jaar mei het recht op onderstaande zaken:

  • Toegang tot zijn eigen persoonlijke gegevens.
  • Kennis over waar de gegevens zijn opgeslagen en hoe deze worden gebruikt en gedeeld. De adverteerder moet kunnen aantonen waar de persoonlijke data zijn opgeslagen en wie wanneer op welke manier toegang heeft tot deze informatie.
  • Rectificatie.
  • Vergeten te worden. De persoonsgegevens moeten worden verwijderd als de burger hierom vraagt.
  • Beveiligde omgevingen. De opslag en verwerking van gegevens moet voldoende versleuteld en beveiligd zijn.

Het probleem bij de bovenstaande rechten is dat het (op dit moment) vaak technisch gezien niet mogelijk is om een individueel persoon of cookie te verwijderen of deze data over te dragen aan de persoon. Hiervoor zullen verschillende tools, zoals Google Analytics een oplossing voor moeten zien te vinden.

Praktijkvoorbeelden

De nieuwe wetgeving heeft impact op het (anoniem) verzamelen en verwerken van data. Onderstaand wordt weergegeven hoe gegevens geanonimiseerd kunnen worden voor Google Analytics en Hotjar.

Veranderingen in het gebruik van Google Analytics

Gebruik je Google Analytics, dan verwerk je met analytische cookies persoonsgegevens van websitebezoekers. Om aan bepaalde voorwaarden te voldoen, is het van belang een bewerkersovereenkomst met Google Analytics af te sluiten, het IP-adres anoniem te maken en het delen van statistieken met Google uit te schakelen.

Als er geen expliciete toestemming wordt gegeven voor het plaatsen van analytische cookies, zijn deze stappen nodig om ervoor te zorgen dat de data geen persoonsgegevens bevatten. Een gevolg hiervan is wel dat de locatiedata in Analytics minder nauwkeurig zijn.

Om Google Analytics privacyvriendelijk te maken, dien je de volgende stappen te doorlopen:

  1. Bewerkersovereenkomst met Google afsluiten. Als verantwoordelijke dien je een bewerkersovereenkomst af te sluiten met Google.
  2. IP-adressen anoniem verwerken. Google biedt de mogelijkheid om het laatste gedeelte van het IP-adres van websitebezoekers te verwijderen.
  3. Gegevens delen met Google uitzetten:
    • uitsluitend andere Google-producten;
    • anoniem met Google en andere;
    • technische ondersteuning;
    • (toegang voor Google-)accountspecialisten.
  4. Informeren over het gebruik van Google Analytics. Informeer de bezoeker dat:
    • Google Analytics cookies gebruikt;
    • een bewerkersovereenkomst is afgesloten
    • de gegevens anoniem worden verwerkt;
    • ‘gegevens delen’ is uitgeschakeld;
    • er geen gebruik wordt gemaakt van andere Google-diensten in combinatie met Google Analytics-cookies.

Gebruik van data in Hotjar

Binnen Hotjar bestaat de mogelijkheid om user recordings in te zetten, waardoor je gebruikers kunt zien navigeren door de website. Er wordt een registratie gemaakt van pageviews, mouse movements, clicks en data input.

Deze recordings kunnen binnen Hotjar geanonimiseerd worden door een aantal stappen te doorlopen. Hiermee heb je wel de user recordings-informatie tot je beschikking, maar zonder dat het persoonlijk identificeerbaar is. Hotjar biedt hierbij twee mogelijkheden:

  1. Het verbergen van ingevoerde informatie in invoervelden. Informatie die een gebruiker invult, bijvoorbeeld persoonsgegevens als adresgegevens of een e-mailadres, wordt niet opgeslagen. Deze setting geldt sitebreed.
  2. Het verbergen van specifieke elementen. Specifieke elementen als invoervelden en ‘gewone’ tekst, kunnen uit de recordings en heatmaps worden geweerd.

De wijziging voor online marketeers

Voor online marketeers wordt het steeds meer van belang te documenteren welke data voor welke doeleinden verzameld worden. Mag je deze data verzamelen? En zijn deze data terug te herleiden naar een individueel persoon?

De wetswijziging heeft invloed op het meetbaar maken van de volledige customer journey van begin tot eind en het tracken van individuele gebruikers. De gebruiker gaat namelijk beslissen of je gebruik kunt maken trackingcookies. Als een gebruiker deze niet accepteert, deze cookies niet op het apparaat van de gebruiker worden geplaatst.

Overleg met de Data Protection Officer

De verordening raakt, naast de tracking en scripting, alle data in de organisatieprocessen. De uitdaging is organisatiebreed, waarbij sommige organisaties een ‘functionaris gegevensbescherming’ (FG) of ‘data protection officer‘ (DPO) moeten aanstellen om de wetgeving in primaire organisatieprocessen te waarborgen. Overleg daarom met de aangestelde DPO over de invulling van de tracking en cookies. En zorg ervoor dat de analyticsdata in een document-framework zijn vastgelegd.

GDPR biedt ook mogelijkheden

De nieuwe wetgeving van volgend jaar biedt naast eventuele beperkingen ook een kans voor organisaties om te laten zien wat ze doen met de data die ze verzamelen. Wees open en eerlijk en geef aan met welk doel je de data verzamelt. Dit zorgt voor transparantie en duidelijkheid bij de gebruiker en leidt naar verwachting tot meer begrip.

Door de GDPR gaan er zaken veranderen op het gebied van het verzamelen, opslaan en bewerken van data. En in de komende periode gaat er steeds meer duidelijk worden over de invulling van de wet. Gaandeweg worden de grijze gebieden duidelijker zwart of wit. Het is van belang de achtergrond te kennen en waar nodig te handelen.

Wees in ieder geval goed voorbereid door je datastructuren in kaart te hebben en waar nodig toestemming te vragen aan de gebruiker. Documenteer de stappen die je zet om aan de wetgeving te voldoen en laat als organisatie zien dat je ermee bezig bent.

 

BRON: Martijn Takens, Adwise (in marketingfacts.nl)