e-Privacy verordening: verder dan AVG of GDPR

ePrivacy Verordening

De volgende stap na de AVG/GDPR. Deze wetgeving, eveneens in heel Europa gelijktijdig uitgerold en met vergaande mogelijkheden om te handhaven, is specifiek voor de electronische verwerking van privégegevens van personen.
Verwachte datum actief: begin 2019.

Deze wetgeving heeft vooral uitwerking op de persoonsgevens die tbv marketingdoeleinden worden verzameld. Daar waar de AVG niet specifiek is tav e-mail en cookies is deze ePrivacy verordening wel helder en vooral concreet tav de rechten van consumenten op het gebied van hetgeen online gebeurd met hun privacy.

Maak je gebruik van online marketing? Kijk dan goed in hoeverre je je activiteiten moet aanpassen tbv deze wet. Denk hierbij aan je data die je via Google (Analytics ed), Social media kanalen zoals WhatsApp en Facebook en evt datamanagement platformen binnen krijgt en verwerkt. Relevant is dat wat terug is te herleiden naar een individu.

Check-up

Laat je WooCommerce installatie controleren:

• Is de opbouw zoals die hoort te zijn?
• Is alles up-to-date?
• Is het thema goed geïmplementeerd?
• Is de site snel genoeg?
• Is de backup goed geregeld?
• Is de shop SEO-technisch goed ingericht?

In het geval van digitale advertising betekent dit dus dat het inzetten van e-mailadressen (ook gehashed), cookieID’s, IDFA’s, etc, etc persoonsgegevens zijn en onder deze verordeningen vallen.

Hoe worden persoonsgegevens ingezet binnen digital advertising?

Voor de inzet van persoonsgegevens in digital advertising zijn er grofweg twee belangrijke partijen:

De adverteerders: die data verzamelen in tools als (Web)Analytics, Data Management Platforms (DMP’s) en Demand Side Platform (DSP’s). Deze adverteerders delen ook weer data met advertisingplatformen zoals bijvoorbeeld Google en Facebook.

De advertentie/publisherplatformen en publishers: die data verzamelen over hun bezoekers en deze data gebruiken om profielen te genereren. Deze data gebruiken zij voor hun eigen marketing/personalisatie en stellen ze vaak ter beschikking aan adverteerders.

Meest voorkomende tactieken:

De AVG en de komende ePrivacy Verordening raken dus alle partijen in het keten. Afhankelijk van welke tactiek voor Digital Advertising ingezet wordt, is te bepalen welke toestemming noodzakelijk is. Binnen Digital Advertising zijn de volgende tactieken het meest voorkomend:

1. Kanaal/publisher intelligentie (contextuele targetting)

Bij deze tactiek wordt contextuele logica aan het kanaal toegevoegd. Stel dat een nieuwsbericht op NU.nl over een nieuw type auto gaat, dan wordt er bij deze techniek door de publisher – in dit geval Sanoma – bij dit artikel een relevante advertentie getoond van een autoaanbieder. Deze advertentie is voor iedereen op deze pagina identiek. Voor deze targetting is geen toestemming van de consument nodig. Voorbeelden van contextuele targeting: Google AdWords keyword targetting, Google Display Network keyword en domain targetting, Publisher website targetting, etc.

2. Kanaal/publisher intelligentie (profiel targeting)

Het opbouwen van profielen en deze profielen beschikbaar stellen voor targetting aan adverteerders is natuurlijk heel interessant voor advertentie/publisher platformen en publishers. Partijen als Google en Facebook weten verschrikkelijk veel van hun gebruikers en stellen die gegevens ter beschikking aan adverteerders, zo kunnen adverteerders targetten op leeftijd, geslacht, locatie, affiniteitscategorieën etc.

Voor deze vorm van targetting is het noodzakelijk dat de advertentie/publisherplatformen en publishers hier toestemming voor hebben gekregen van de consument. Aangezien er alleen data gebruikt wordt van het advertentieplatformen/publishers heeft de adverteerder geen toestemming nodig van de consument.

Voorbeelden van profiel targetting: Google AdWords Keyword targeting gecombineerd met leeftijd of affiniteitscategorie, Google Display Network profiel targetting, Facebook targetting op basis van demografische gegevens, etc.

3. Data adverteerder (Pixels/cookies)

Bij deze vorm van adverteren bouwt de adverteerder zelf profielen op via de website/app waarbij online gedrag (bijvoorbeeld het bekijken van een product, toevoegen van het product aan een winkelwagen etc.) wordt gekoppeld aan dit profiel. Deze profielen worden vervolgens gebruikt om de website te personaliseren en om deze profielen te targetten bij externe advertentie/publisherplatformen en publishers. Alhoewel er gebruikelijk geen klantgegevens als een NAW of e-mailadres worden opgeslagen, oordeelt de verordening in dit geval dat het Cookie/AppID een persoonsgegeven is.

Dit betekent dat het noodzakelijk is dat de adverteerder een expliciete toestemming heeft van de consument. Indien de profielen worden gebruikt voor de targetting op externe advertentieplatformen/publisherplatformen heeft zowel de adverteerder als het advertentie- als publisherplatform toestemming van de consument nodig.

Voorbeelden van profiel targeting via pixels/cookies: Google AdWords Keyword targeting in combinatie met RLSA, Google Display Network Remarketing, Facebook retargeting etc.

4. Data adverteerder (CRM/Klantdata)

Bij deze vorm van adverteren deelt de adverteerder explicietere klantgegevens (zoals telefoonnummers of e-mailadressen) met advertentie- als publisherplatform. De hiermee gegenereerde profielen worden vervolgens gebruikt om deze profielen te targetten op externe advertentieplatformen/publishers, lookalikes te ontdekken etc. Bij deze manier van Digital Advertising worden er klantgegevens met de netwerken gedeeld. De verordening oordeelt in dit geval – of deze gegevens wel of niet versleuteld zijn – dat het hier om persoonsgegevens gaat.

Dit betekent dat het noodzakelijk is dat de adverteerder een expliciete toestemming heeft van de consument om deze klantgegevens te delen met voor de targetting op externe advertentieplatformen/publisherplatformen. Ook heeft het advertentie- als publisherplatform toestemming nodig van de consument om deze op haar platform gerichte advertenties te tonen. Voorbeelden van profiel targetting op basis van klantdata: Google AdWords Keyword targeting in combinatie met Customer Match, Facebook Custom Audiences etc.

Complexiteit permissies bij het combineren van verschillende tactieken

De complexiteit met betrekking tot toestemming in het digitale advertising domein ontstaat met name omdat de verschillende tactieken met elkaar gecombineerd worden. De grote kracht binnen digital advertising ligt in het kunnen analyseren en combineren van de meest exotische combinaties van segmenten en tactieken. Zo zal een adverteerder bijvoorbeeld een combinatie willen maken van verschillende tactieken en data zoals:

• eigen klanten die 1,5 jaar niks besteld hebben (o.b.v. eigen CRM/klantdata)
• welke de afgelopen 3 maanden de webshop hebben bezocht (o.b.v. data in het DMP)
• met een interesse in de Facebook pagina van een concurrent (o.b.v. data van Facebook)

In het geval van deze combinatie zijn alle drie de soorten toestemming van de consument nodig. Om iets inzichtelijk te maken hebben welke permissies nodig zijn, hebben we daarom onderstaande tabel opgesteld.

Toestemming intrekken en verwijderen van data

Naast dat organisaties moeten kunnen bewijzen dat zij geldige toestemming hebben gekregen, moet het voor consumenten net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. Consumenten kunnen hierbij bij een organisatie eisen hun persoonsgegevens te verwijderen. Met als toevoeging dat zij – onder de nieuwe verordening – kunnen eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van de organisatie hebben gekregen.

Het is nog onduidelijk wanneer de ePrivacy-verordening gereed is, en ingevoerd zal worden. De impact op de Digital Advertising markt zal echter groot zijn. Scherp getargette advertenties kunnen naar alle verwachting alleen nog worden ingezet als hiervoor expliciete toestemming van consumenten voor is verkregen. Het is dus van belang om in kaart te brengen welke bedrijfsactiviteiten beïnvloed worden door deze wetgeving en je goed voor te bereiden.

Daarnaast is het te adviseren om de ontwikkelingen rondom de ePrivacy-verordening goed in de gaten te houden, zeker met het oog op de inzet voor nieuwe advertentiemogelijkheden en beslissingen die de marketing technologie-infrastructuur van jouw organisatie raken.