Adverteren en de GDPR: dit is wat je moet weten

Home » Blog » Geen categorie » Adverteren en de GDPR: dit is wat je moet weten

De aandacht rondom de AVG of GDPR kan je de afgelopen tijd niet zijn ontgaan. In aanloop naar 28 mei 2018 – de datum waarop organisaties hun bedrijfsvoering op orde moeten hebben – doet het onderwerp al behoorlijk wat stof opwaaien. Want wat is het nu precies, wat verandert er en wat betekent dit voor jou als adverteerder? Op deze vragen heb je antwoord na het lezen van dit blog.

Behalve GDPR wordt de afkorting AVG veelal gebruikt. AVG staat voor Algemene Verordening Gegevensbescherming en is niet meer dan de Nederlandse vertaling. Voor het gemak houden we in dit blog de term GDPR aan.

Wat is het?

Voor we de diepte induiken en stilstaan bij de gevolgen voor jou als adverteerder, starten we bij de basis. GDPR staat voor General Data Protection Regulation en is een wet die al in 2012 door de Europese Commissie is aangekondigd. De GDPR kan worden gezien als een herziening van de bestaande Europese wetgeving, de Data Protection Directive. De herziening komt vooral voort dankzij twee grote ontwikkelingen.

Allereerst stamt de Data Protection Directive uit 1995. De afgelopen 20 jaar hebben er echter dusdanig veel ontwikkelingen plaatsgevonden dat de wetgeving niet meer aansluit op de huidige digitale wereld.
Daarnaast is het zo dat de Data Protection Directive door elke Europese lidstaat op een andere manier werd geïnterpreteerd. Gestreefd wordt juist nu naar een en dezelfde wetgeving voor alle EU-lidstaten en met de komst van de wet worden bedrijven en organisaties gedwongen om zorgvuldiger om te gaan met de gegevens die burgers al dan niet bewust afgeven.

Hoewel de GDPR al in mei 2016 zijn intrede heeft gemaakt, is 28 mei 2018 de datum die in ieders hoofd staat gegrift. Dit is namelijk de datum waarop de wetgeving daadwerkelijk door eenieder gehonoreerd dient te worden. De handhaving in Nederland wordt uitgevoerd door de Autoriteit Persoonsgegevens. Houd je je na deze datum niet aan de GDPR? Dan hangt er een boete van maximaal 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet je boven het hoofd. Hierbij is het hoogste bedrag van toepassing.

Wat verandert er?

Middels de GDPR moet de privacy van de consument worden beschermd. Daarnaast moeten burgers grip krijgen op hun eigen persoonsgegevens. De GDPR brengt dan ook vele veranderingen met zich mee. Deze veranderingen kunnen het beste worden ingedeeld naar de volgende zeven principes:

  1. Transparantie

Allereerst moet het volledig transparant zijn waarom je persoonsgegevens vastlegt en wat je hiermee gaat doen. Consumenten moeten exact weten dat jij als organisatie gegevens verwerkt en dat zij hier zelf toestemming voor hebben gegeven. Leg je voor verschillende doelen gegevens vast? Dan dien je voor elk doel apart toestemming te vragen.

  1. Doelbeperking

De persoonsgegevens die verzameld worden, mogen alleen voor welbepaalde gewettigde doelen worden verzameld. Voor deze doelen dien je dus, zoals zojuist beschreven, toestemming te hebben gevraagd. Daarnaast mogen deze verzamelde gegevens niet voor andere zaken worden gebruikt.

  1. Juistheid

De persoonsgegevens die je verzamelt moeten ten allen tijden up-to-date zijn. Wanneer een consument gegevens bijwerkt mogen alleen de nieuwe gegevens gebruikt.

  1. Gegevensbeperking

Alleen noodzakelijke gegevens voor het beoogde doel mogen verzameld worden. Overige gegevens mogen niet verzameld, dan wel gebruikt worden.

  1. Integriteit:

Gegevens moeten beschermd worden tegen onbevoegden, verlies of vernietiging

  1. Bewaarbeperking

Persoonsgegevens mogen niet langer bewaard worden dan nodig is voor het beoogde doel. Zijn gegevens verouderd of niet meer nodig? Dan dienen deze verwijderd te worden.

  1. Verantwoording:

De verantwoordelijke moet kunnen aantonen aan deze regels te voldoen.

Hoewel de bovengenoemde principes op het eerste oog als een last kunnen worden gezien – het is tenslotte een tijdrovende klus om je zaken op orde te krijgen – levert de wetgeving je wel degelijk iets op. Een schoon klantenbestand met alleen oprecht geïnteresseerde mensen is tenslotte een stuk waardevoller dan een vervuild bestand met ongeïnteresseerden waar nooit naar wordt omgekeken.

Wat betekent dit voor jou als adverteerder?

Hoewel de GDPR van toepassing is voor alle organisaties die werken met persoonsgegevens, gaan we nu dieper in op wat de GDPR voor jou als adverteerder betekent. Want of je nu zelf adverteert of dit uitbesteedt, de impact van de GDPR op de advertentiemarkt mag niet onderschat worden. Hoewel de advertentiemarkt uit verschillende types bestaat, heeft het voor vrijwel ieder type gevolgen. Er kunnen hiervoor twee situaties worden geschetst.

Situatie 1:
Allereerst is het zo dat er vaak data wordt gebruikt die door advertentieplatformen zelf zijn verzameld. Neem Google en Facebook. In dit geval komt direct de eerder besproken doelbeperking om de hoek kijken, waarbij de persoonsgegevens die worden verzameld alleen voor welbepaalde gewettigde doelen mogen worden gebruikt. Nog belangrijker: dus niet voor andere zaken. Maar wie is er dan verantwoordelijk wanneer een consument een banner voorbij ziet komen van een luxe warenhuis terwijl hij daar niet op zit te wachten? Het warenhuis zelf of Google?

Situatie 2:
Daarnaast is het mogelijk dat je middels eigen campagnes data verzamelt die je vervolgens opnieuw wilt gebruiken. Bijvoorbeeld voor een aanscherping of uitbreiding van je campagne.

Per advertentievorm gaan we nu kijken naar mogelijke situaties die zich voor kunnen doen en welke acties hiervoor ondernomen dienen te worden. Ook kijken we naar de verantwoordelijkheden die elke advertentievorm met zich meebrengt.

  1. Google Adwords & Bing
  2. Customer match
  3. Display
  4. Remarketing
  5. Facebook

 

Google Adwords & Microsoft Bing

De klassieke vorm van adverteren in een zoekmachine als Google of Bing levert niet direct een situatie op waarbij de GDPR van toepassing is. Maar, let op, wanneer het zoeknetwerk gebruikt wordt in combinatie met gebruikersgegevens is dit vaak wel direct het geval. Scherp jij je campagne aan middels bijvoorbeeld DFSA, maak je al gebruik van gegevens die Google heeft verzameld. In dat geval is Google dan ook de partij die hiervoor toestemming moet hebben gekregen van deze gebruikers.

Customer match
Middels customer match kun je specifieke advertenties tonen op basis van e-mailadres. Dit kan wanneer mensen zijn ingelogd met hun e-mailadres binnen Google, Gmail of YouTube.  Wanneer je deze emailadressen niet hasht, is het noodzakelijk hiervoor toestemming te vragen. We raden aan om de e-mailadressen te hashen en zodoende om te zetten in pseudo-anonieme data. Desondanks is toestemming van de gebruiker noodzakelijk.

Display
Bij het tonen van banners in het displaynetwerk van Google of Bing kan onder andere gebruikgemaakt worden van in-market audiences en affinity audiences. Ook hier gaat het om data die Google heeft verkregen en waarvoor Google dan ook toestemming zou moeten hebben verkregen.

Remarketing
Bij remarketing en remarketing lists for search ads (RLSA) toon je advertenties aan mensen die eerder je website hebben bezocht. Hierbij wordt het spannender, omdat je als adverteerder gebruikmaakt van een doelgroep die je zelf digitaal opbouwt. Dit zijn dan ook gegevens waarvoor officieel door de adverteerder toestemming gevraagd moet worden.

Google Shopping
Een Google Shopping campagne valt, net als een reguliere campagne in het zoeknetwerk, niet direct onder de GDPR. Wel is het zo dat wanneer er gebruikersgegevens bij komen kijken, bijvoorbeeld in het geval van RLSA, dit wel het geval is.

YouTube
Voor YouTube hangt het, net als bij eerder genoemde vormen, af van het type campagne dat je wilt inzetten. Wanneer je gebruik maakt van doelgroepen die door Google zelf zijn gedefinieerd, zal Google zelf toestemming aan de gebruiker hebben moeten vragen. Target je binnen YouTube op basis van zelf opgebouwde doelgroepen die je zelf opbouwt? Dan zal je altijd zelf toestemming moeten vragen.

Facebook
Behalve adverteren binnen de zoekmachine biedt Social Media ook talloze mogelijkheden die ervoor zorgen dat de GDPR om de hoek komt kijken. Neem Facebook. De meest simpele vorm hierbij is targeting op basis van gegevens die Facebook zelf heeft verzameld. Voorbeelden hiervan zijn leeftijd, locatie, geslacht maar ook interesses. Indien je hiervan gebruikt maakt dient Facebook zelf toestemming te hebben gevraagd aan deze gebruikers.

Ook voor targeting op basis van betrokkenheid – bijvoorbeeld alle gebruikers die een bericht leuk vinden of hebben gereageerd op een event – moet door Facebook om toestemming gevraagd worden om deze gegevens te mogen aanbieden.

Ook voor het gebruik maken van de zogeheten look-a-like audiences is Facebook verantwoordelijk. In dat geval gaat het namelijk om gegevens waar je zelf niet eerder contact mee hebt gehad.

Ga je op basis van een eigen klantenbestand aan de slag? Dan is Facebook niet meer verantwoordelijk maar de adverteerder zelf. Zorg dus altijd dat je om toestemming hiervoor vraagt. Zo niet, mag je deze gegevens ook niet gebruiken.

Verkrijgen van toestemming

Nu het duidelijk is dat consumenten voortaan toestemming moeten geven alvorens wij hun persoonsgegevens gebruiken, luidt de vraag hoe wij deze toestemming kunnen verkrijgen. Consumenten zullen namelijk niet zo makkelijk aangeven achtervolgd te willen worden met in hun ogen vaak schreeuwende banners of andere advertenties.

Veel websites maken voor nu gebruik van een cookiemelding. Volgens de officiële wetgeving kom je straks niet meer weg met een eenvoudige melding als ‘wij gebruiken cookies om u een optimale gebruikerservaring te bieden’. Het zegt tenslotte niks over het soort data dat wordt verzameld en voor welke doeleinden het wordt gebruikt.

Behalve de GDPR wordt er op dit moment ook gewerkt aan een nieuwe versie van de ePrivacy Regulation. Deze wet moet meer duidelijkheid geen over hoe de opt-in verzameld moet worden. Hoewel het afwachten is wat hier exact uit gaat komen, wordt er onder andere gesproken over de mogelijkheid voor het invoeren van bijvoorbeeld cookieinstellingen via de browser zelf.

Hoe de exacte ePrivacy Regulation eruit komt te zien en welke gevolgen dit exact met zich meebrengt is voor nu nog onbekend. Tot die tijd adviseren wij in ieder geval om te werken met een cookiemelding. Het is hierbij belangrijk om de gebruiker de mogelijkheid te geven om cookies te plaatsen bij een eerste bezoek. Ook moet duidelijk zijn om welke cookies het gaat en wat het doel hiervan is. Ten slotte dien je de consument de mogelijkheid tot een opt-out aan te bieden.

Relevante diensten

Meer lezen over dit onderwerp? Bekijk onze relevante diensten.

Reageren