GDPR: de gevolgen voor tracking en analytics

17 oktober 2017, 06:00

Op 25 mei 2018 treedt de nieuwe privacywetgeving in werking. In de General Data Protection Regulation (GDPR) – oftewel de Algemene Verordening Gegevensbescherming (AVG) – staan nieuwe, herziene richtlijnen voor het verzamelen van data, in het leven geroepen om de privacy van de burger beter te waarborgen. Zoals te lezen is in een eerder artikel in deze serie, heeft de GDPR impact op bijna alle marketingactiviteiten van een organisatie op het gebied van verwerking van persoonsgegevens van Europese burgers. In deze blogpost gaan we verder in op het verzamelen en gebruiken van data via trackingscripts en de rechten van de bezoeker/gebruiker van de website.

Het verzamelen van data

Voor het verzamelen en opslaan van persoonsgegevens moet vooraf duidelijke toestemming gegeven worden door de bezoeker of gebruiker van de website. Persoonsgegevens worden onderverdeeld in drie categorieën:

  1. Persoonsgegevens: bijvoorbeeld NAW-gegevens, IP-adres en device-ID’s.
  2. Pseudo-anonieme data: persoonsgegevens die dusdanig verwerkt worden dat ze niet langer herleid kunnen worden zonder gebruik van aanvullende informatie, maar die wel een persoon individueel maken, zoals een versleuteld e-mailadres of gebruikers-ID.
  3. Anonieme data.

Persoonsgegevens en pseudo-anonieme data mogen met expliciete opt-in en opt-out worden gebruikt voor gespecificeerde, expliciete en rechtmatige doeleinden en niet verder worden verwerkt op manieren die niet verenigbaar zijn met deze doeleinden.

Vooral bij trackingscripts gaat het vaak om pseudoanonimisering. Het is een veel voorkomende misvatting dat dit anonieme data zijn. De data die via tracking-id’s verzameld worden, vallen in veel gevallen dus ook onder de GDPR omdat de persoon door aanvullende informatie herleid kan worden en individualiseerbaar is.

Officieel mag je dus standaard geen tracking gebruiken en moet je duidelijk vermelden welke data worden verzameld en voor welke doeleinden deze worden gebruikt. Veel sites hebben daar momenteel moeite mee en vangen dit veelal af met een cookiewall of impliciete opt-in, waarbij je bij verder gebruik van de site akkoord gaat. Als iemand in het verleden toestemming heeft gegeven voor het verwerken van zijn of haar persoonsgegevens, moet hij of zij zich vervolgens op elk moment op eenvoudig kunnen afmelden middels een opt-out.

Serie over GDPR/AVG

Dit is het derde deel in een serie over de impact van GDPR/AVG.

ePrivacy Regulation

Er wordt momenteel gewerkt aan een nieuwe versie van de ePrivacy Regulation. Deze nieuwe privacywetgeving moet meer duidelijkheid brengen over hoe de opt-in verzameld moet gaan worden. Hierin staan o.a. bepalingen over het gebruik van metadata en cookieregels.

In het voorstel dat er nu ligt, wordt gekeken naar het invoeren van cookie-instellingen via de browser. In de browser moet een reeks van privacyopties worden geboden die door de gebruiker kunnen worden ingesteld, van hogere tot lagere privacy, met diverse tussenliggende varianten. Deze instellingen moeten duidelijk zichtbaar en begrijpelijk worden gepresenteerd.

Dus naast de GDPR komt er nog aanvullende wetgeving. De cookiewet wordt pas volledig vervangen door de ePrivacy-wetgeving, maar de GDPR heeft al eerder impact op wat je mag verzamelen en op welke manier. Het is dus belangrijk om de trackingscripts en cookies na te lopen en deze tegen de nieuwe richtlijnen te houden, en waar nodig te verwerken in de cookiemelding.

In een eerdere blogpost in deze serie, “Wat je als marketeer over de AVG/ GDPR moet weten”, is een GDPR-schaal met 5 niveaus als handvat beschreven van de opt-in- en opt-out-situaties.

Data-profilering

Profiling is het verzamelen, analyseren en combineren van (persoons)gegevens met als doel iemand in te delen in een bepaalde categorie of bepaald profiel. Met profiling kan een organisatie ook het gedrag van mensen voorspellen of een beslissing over hen nemen. Profiling wil dus zeggen dat iemand aan de hand van een profiel wordt beoordeeld.

Profiling bestaat uit 3 stappen:

  1. Het verzamelen van (persoons)gegevens over (een groep) mensen
  2. Het analyseren en combineren van deze gegevens om verbanden en patronen te ontdekken
  3. Het zoeken naar verbanden en patronen (profielen) in een groep mensen om ze in te delen in een bepaalde categorie en/of hun gedrag te voorspellen.

In de nieuwe wetgeving moet de organisatie benoemen welke vorm/vormen van profilering wordt/worden toegepast, met de daarbij behorende consequenties voor deze persoon. Hierbij moet tevens de mogelijkheid worden geboden tot een opt-out voor deze functionaliteit. De gegevens zullen beveiligd moeten worden door bijvoorbeeld scripting, hashing en encrypting.

Veel huidige online advertising, personalisatietools en toekomstige toepassingen van machine learning en artificial intelligence zijn gebouwd op dataprofilering of staan toe om als adverteerder je eigen data te uploaden om bijvoorbeeld mensen met een vergelijkbaar profiel te kunnen bereiken. Ook remarketing, waarbij je een groep gebruikers opnieuw benadert, valt hieronder. Meer hierover volgt in onze vierde en laatste blogpost over GDPR met betrekking tot digital advertising.

Marketing automation

Voor marketing-automationsystemen moet ook expliciet worden bijgehouden wanneer en waarvoor een opt-in is gegeven. De persoon moet bij het geven van toestemming inzicht hebben in waarvoor de gegevens worden gebruikt. Doorgaans heeft een marketing-automationpakket ook een websitescript dat de lead verder volgt op persoonsniveau en een score bijhoudt voor verdere sales/opvolging.

Dit geldt bijvoorbeeld ook bij het aanvragen van een whitepaper, waaraan vervolgens een automatische mail flow gekoppeld is en aan de hand waarvan vervolgens zelfs telefonisch contact opgenomen wordt. Dit dien je als adverteerder bij de opt-in aan te geven, inclusief het aspect van tracking.

Het bewaren van persoonlijke data

Wanneer iemand toestemming heeft gegeven om persoonlijke data te verzamelen, moeten de gegevens op een transparante manier worden verwerkt. De organisatie moet aangeven hoe lang deze persoonlijke data worden opgeslagen. Dit is niet altijd eenvoudig vast te stellen en mede afhankelijk van de data die verzameld worden.

Organisaties mogen persoonsgegevens bewaren als deze bestemd zijn voor historische, statistische of wetenschappelijke doeleinden. Daarnaast mogen de persoonlijke data niet langer dan noodzakelijk bewaard worden, daarna moeten ze geanonimiseerd of verwijderd worden. De organisatie moet de persoonsgegevens eerder verwijderen als een persoon hierom vraagt.

Voor het bewaren van persoonlijke data is het belangrijk een framework op te stellen met daarin beschreven welke data verzameld worden, hoe deze gebruikt worden en hoe lang deze data bewaard mogen worden.

Rechten van de burger

De nieuwe wetgeving geeft ook meer duidelijkheid over de rechten van de burger. Deze worden nu verder geconcretiseerd en afgekaderd, wat ervoor moet zorgen dat bedrijven op een transparante manier data van burgers verzamelen en opslaan en dat de bezoeker of gebruiker van een digitaal kanaal meer controle over en inzicht in de opslag van zijn of haar persoonsgegevens krijgt.

De burger heeft vanaf volgend jaar mei het recht op onderstaande zaken:

  • Toegang tot zijn eigen persoonlijke gegevens.
  • Kennis over waar de gegevens zijn opgeslagen en hoe deze worden gebruikt en gedeeld. De adverteerder moet kunnen aantonen waar de persoonlijke data zijn opgeslagen en wie wanneer op welke manier toegang heeft tot deze informatie.
  • Rectificatie.
  • Vergeten te worden. De persoonsgegevens moeten worden verwijderd als de burger hierom vraagt.
  • Beveiligde omgevingen. De opslag en verwerking van gegevens moet voldoende versleuteld en beveiligd zijn.

Het probleem bij de bovenstaande rechten is dat het (op dit moment) vaak technisch gezien niet mogelijk is om een individueel persoon of cookie te verwijderen of deze data over te dragen aan de persoon. Hiervoor zullen verschillende tools, zoals Google Analytics een oplossing voor moeten zien te vinden.

Praktijkvoorbeelden

De nieuwe wetgeving heeft impact op het (anoniem) verzamelen en verwerken van data. Onderstaand wordt weergegeven hoe gegevens geanonimiseerd kunnen worden voor Google Analytics en Hotjar.

Veranderingen in het gebruik van Google Analytics

Gebruik je Google Analytics, dan verwerk je met analytische cookies persoonsgegevens van websitebezoekers. Om aan bepaalde voorwaarden te voldoen, is het van belang een bewerkersovereenkomst met Google Analytics af te sluiten, het IP-adres anoniem te maken en het delen van statistieken met Google uit te schakelen.

Als er geen expliciete toestemming wordt gegeven voor het plaatsen van analytische cookies, zijn deze stappen nodig om ervoor te zorgen dat de data geen persoonsgegevens bevatten. Een gevolg hiervan is wel dat de locatiedata in Analytics minder nauwkeurig zijn.

Om Google Analytics privacyvriendelijk te maken, dien je de volgende stappen te doorlopen:

  1. Bewerkersovereenkomst met Google afsluiten. Als verantwoordelijke dien je een bewerkersovereenkomst af te sluiten met Google.
  2. IP-adressen anoniem verwerken. Google biedt de mogelijkheid om het laatste gedeelte van het IP-adres van websitebezoekers te verwijderen.
  3. Gegevens delen met Google uitzetten:

    • uitsluitend andere Google-producten;
    • anoniem met Google en andere;
    • technische ondersteuning;
    • (toegang voor Google-)accountspecialisten.

  4. Informeren over het gebruik van Google Analytics. Informeer de bezoeker dat:

    • Google Analytics cookies gebruikt;
    • een bewerkersovereenkomst is afgesloten
    • de gegevens anoniem worden verwerkt;
    • ‘gegevens delen’ is uitgeschakeld;
    • er geen gebruik wordt gemaakt van andere Google-diensten in combinatie met Google Analytics-cookies.

Lees de volledige beschrijving voor het privacyvriendelijk instellen van Google Analytics in deze handleiding.

Gebruik van data in Hotjar

Binnen Hotjar bestaat de mogelijkheid om user recordings in te zetten, waardoor je gebruikers kunt zien navigeren door de website. Er wordt een registratie gemaakt van pageviews, mouse movements, clicks en data input.

Deze recordings kunnen binnen Hotjar geanonimiseerd worden door een aantal stappen te doorlopen. Hiermee heb je wel de user recordings-informatie tot je beschikking, maar zonder dat het persoonlijk identificeerbaar is. Hotjar biedt hierbij twee mogelijkheden:

  1. Het verbergen van ingevoerde informatie in invoervelden. Informatie die een gebruiker invult, bijvoorbeeld persoonsgegevens als adresgegevens of een e-mailadres, wordt niet opgeslagen. Deze setting geldt sitebreed.
  2. Het verbergen van specifieke elementen. Specifieke elementen als invoervelden en ‘gewone’ tekst, kunnen uit de recordings en heatmaps worden geweerd.

Lees meer over het anonimiseren van records binnen Hotjar in deze handleiding.

De wijziging voor online marketeers

Voor online marketeers wordt het steeds meer van belang te documenteren welke data voor welke doeleinden verzameld worden. Mag je deze data verzamelen? En zijn deze data terug te herleiden naar een individueel persoon?

De wetswijziging heeft invloed op het meetbaar maken van de volledige customer journey van begin tot eind en het tracken van individuele gebruikers. De gebruiker gaat namelijk beslissen of je gebruik kunt maken trackingcookies. Als een gebruiker deze niet accepteert, deze cookies niet op het apparaat van de gebruiker worden geplaatst.

Overleg met de Data Protection Officer

De verordening raakt, naast de tracking en scripting, alle data in de organisatieprocessen. De uitdaging is organisatiebreed, waarbij sommige organisaties een ‘functionaris gegevensbescherming’ (FG) of ‘data protection officer‘ (DPO) moeten aanstellen om de wetgeving in primaire organisatieprocessen te waarborgen. Overleg daarom met de aangestelde DPO over de invulling van de tracking en cookies. En zorg ervoor dat de analyticsdata in een document-framework zijn vastgelegd.

De criteria voor welke organisaties een DPO in dienst moeten nemen vind je op de site van de Autoriteit Persoonsgegevens.

GDPR biedt ook mogelijkheden

De nieuwe wetgeving van volgend jaar biedt naast eventuele beperkingen ook een kans voor organisaties om te laten zien wat ze doen met de data die ze verzamelen. Wees open en eerlijk en geef aan met welk doel je de data verzamelt. Dit zorgt voor transparantie en duidelijkheid bij de gebruiker en leidt naar verwachting tot meer begrip.

Door de GDPR gaan er zaken veranderen op het gebied van het verzamelen, opslaan en bewerken van data. En in de komende periode gaat er steeds meer duidelijk worden over de invulling van de wet. Gaandeweg worden de grijze gebieden duidelijker zwart of wit. Het is van belang de achtergrond te kennen en waar nodig te handelen.

Wees in ieder geval goed voorbereid door je datastructuren in kaart te hebben en waar nodig toestemming te vragen aan de gebruiker. Documenteer de stappen die je zet om aan de wetgeving te voldoen en laat als organisatie zien dat je ermee bezig bent.

Martijn Takens
Analytics & CRO Marketeer bij Adwise - Your Digital Brain

Martijn is continu bezig met het optimaliseren van de online kanalen aan de hand van data. Van het configureren van Google Analytics en Tag Manager tot het opstellen van (realtime) dashboards, uitvoeren van data analyses, verkrijgen van nieuwe inzichten en het doorvoeren van optimalisaties. Met als doel het genereren van maximaal rendement vanuit de hele journey.

Categorie
Tags

8 Reacties

    Richard Pruim

    Ik zou graag als iemand die zich al meer dan 20 jaar met privacy management bezig houdt een advies willen geven op bovenstaand artikel:

    In security en wetgeving spreken we over Anonimiseren & Pseudonimiseren. Pseudo-Anonimiseren is feitelijk “niet anonimiseren” of “net alsof anonimiseren”.

    Pseudo-anonieme data is dus data die niet anoniem maar gewoon herleidbaar is. Data is anoniem gemaakt of pseudoniem.


    20 februari 2018 om 13:25
    Grietje Goedkoop

    Hallo en bedankt voor de duidelijke artikelen over dit onderwerp.

    Voor mijn klanten stel ik een gedetailleerde checklist op. Een aantal van mijn klanten is affiliate partner, bijvoorbeeld van TradeTracker of booking.com.

    Begrijp ik goed dat vanaf 25 mei de explicite cookiemelding mag vervallen omdat de gebruiker de toestemming in de browserinstellingen aangeeft?

    Vriendelijke groet, Grietje Goedkoop


    25 februari 2018 om 09:45
    Martijn Takens

    @Grietje, het invoeren van de cookie-instellingen via de browser is als voorstel opgenomen in de ePrivacy-wetgeving. Deze wetgeving zal niet op 25 mei van kracht zijn, omdat dit wetsvoorstel nog goedgekeurd moet worden door de Raad van Ministers. Dus de expliciete cookiemelding komt vanaf 25 mei niet te vervallen.


    28 februari 2018 om 09:13
    Kitty

    Hallo,

    Bedankt voor de heldere uitleg. Helaas werkt de link naar de handleiding om Google Analytics geanonimiseerd te gebruiken niet (meer).

    Zou je mij hier alsnog mee kunnen helpen?


    9 april 2018 om 16:35
    Carina

    Als je als bedrijf naast de Analytics ook Adwords gebruikt zonder remarketing maar wel met targeting op land, is een cookiemelding dan verplicht of volstaat een omschrijving in de privacy policy?


    19 april 2018 om 11:54
    Piet annoniem

    Wel grappig dat ik op een GDPR pagina waar ik commentaar kan zetten mijn naam en email verplicht moet invoeren. Waarom? Als mijn email adres niet gepubliceerd wordt dan is dat ook niet nodig toch? En mijn naam ook niet? Dat heeft geen meerwaarde.

    En je mag er dus ook niet om vragen


    17 mei 2018 om 20:51
    Marion

    Hi Martijn,

    ik begrijp dat voor het plaatsen van e-commerce tracking nu toestemming nodig is. Als ik Google Analytics privacyvriendelijk maak zoals je in jouw artikel adviseert en alle stappen die hiervoor nodig zijn toepas, mag ik dan ook de e-commerce conversietracking in Google Analytics voor analysedoeleinden ongevraagd toepassen? En zo niet, is het dan wel mogelijk om doelen aan te maken om conversies te meten, zonder hiervoor toestemming te vragen? Doel is alleen om te kunnen analyseren welke activiteiten tot aankopen hebben geleid (bijvoorbeeld email) en niet het aanmaken van doelgroepen voor remarketing.

    Groet, Marion


    29 mei 2018 om 09:20

Marketingfacts. Elke dag vers. Mis niks!