Nagenoeg elke website verzamelt tegenwoordig data. Data voor analyses, data voor remarketing, data voor personalisatie. Dat data waardevol is, staat vast, maar wat is de waarde van je data als je niet voldoet aan de AVG?
Sinds 25 mei 2018 is de AVG ingegaan en de richtlijnen zijn duidelijk. Als je persoonsgegevens wilt gebruiken voor remarketing en personalisatie t.b.v. verkoop, zul je in de meeste gevallen toestemming moeten vragen.
Klikdata, het meten van het gedrag van gebruikers op je website, valt ook onder persoonsgegevens, omdat deze data specifiek gaat over het gedrag van een persoon. Hierbij is het dus niet van belang of de data herleidbaar is naar een persoon.
Op het moment dat data een persoonsgegeven is, valt het onder de AVG en zul je een zogenaamde “grondslag” moeten hebben voor het verwerken en gebruiken van deze data.
De 6 grondslagen zijn alsvolgt:
- Toestemming van de betrokken persoon.
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
- De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
- De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Bij al deze grondslagen is het van belang dat je een zorgvuldige afweging maakt en dien je over het algemeen voorzichtig te zijn met het toepassen van een grondslag, anders dan toestemming, voor het gebruik van marketing en personalisatie.
Vooral de grondslag “uitvoering van de overeenkomst” en “gerechtvaardigd belang” worden nog weleens gebruikt om bijvoorbeeld een direct mail of een mijn omgeving te personaliseren. Hierbij zou m.i. de nadruk moeten liggen op het service component, waarbij het doel is de klant te voorzien van informatie. Het doel ligt niet op het doen van een cross-sell of upsell.
Heb je die toestemming niet, dan mag je de data hooguit gebruiken voor het analyseren van je website of app.
Opmerkelijk genoeg zien we dat er nog steeds veel bedrijven zijn die niet voldoen aan de regelgeving en daarmee grote risico’s nemen. Wat ga je doen als Autoriteit Persoonsgegevens (AP) op de stoep staat? Wat ga je doen als een klant vergeten wil worden?
Vaak wordt door bedrijven aangegeven dat ze het lastig vinden om aan de AVG te voldoen en verwachten ze dat het veel geld gaat kosten.
Dat is erg jammer, omdat het voldoen aan de AVG niet complex hoeft te zijn en je vervolgens zorgeloos de vruchten van je dataverzameling kunt plukken.
Inventarisatie
Stap 1: Wat wil je met je data gaan doen?
De eerste stap is om in kaart te brengen wat je met je data wilt gaan doen. Wij noemen dit de toepassingen van de data. Je zult in je cookiewall namelijk toestemming vragen voor deze toepassingen.
Hieronder een voorbeeld van een aantal toepassingen:
Functioneel en statistiek
Hiermee wordt bedoeld dat we data verzamelen en gebruiken t.b.v. de functionaliteit en verbetering van de website. Deze toepassing is niet optioneel en is slechts ter informatie.
Remarketing
Met deze toepassing wordt gedoeld op het delen en gebruiken van data voor remarketing doeleinden. Denk hierbij aan de remarketing pixels van Facebook en Google, maar ook het analyseren en groeperen van data om gebruikers zelf in te delen in e-maillijsten.
Personalisatie
Als een gebruiker hier toestemming voor geeft, dan kun je de data gebruiken om de website of app te personaliseren. Deze toestemming kan bijvoorbeeld gebruikt worden om te bepalen of we gegevens mogen koppelen aan een persoonlijke identifier, zoals een e-mailadres.
Social media
Deze toestemming wordt gebruikt om gebruikers toestemming te vragen voor bijvoorbeeld Like-buttons en Youtube-filmpjes. Deze plugins verzamelen namelijk ook data over gebruikers en daar dient expliciet toestemming voor gevraagd te worden.
Samen met een jurist kun je afstemmen welke toepassingen en toestemmingen het beste passen bij je bedrijf.
Stap 2: Welke marketingoplossing hoort bij welke toepassing?
De volgende stap is om te bepalen hoe en wanneer je bepaalde data gaat versturen naar marketingoplossingen.
Welke oplossing hoort bij welke toestemming?
Aan de hand van deze vraag kun je marketingoplossingen gaan koppelen aan toestemmingen. Zo worden remarketing pixels bijvoorbeeld vaak gekoppeld aan de remarketing toepassing. Dit betekent dat er pas data naar bijvoorbeeld Facebook verstuurd wordt als iemand toestemming gegeven heeft voor remarketing.
Stap 3: Welke variabele hoort bij welke toepassing?
Niet alleen wil je bepalen wanneer je data verstuurd, je wilt ook controle hebben over welke data je verstuurd.
Stel dat je je eigen datawarehouse hebt en daar alle klik data in verzamelt. Je kunt dan zonder toestemming deze data verzamelen, mits je niet persoonlijk identificeerbare informatie verzamelt.
Je kunt dan bepalen dat je alleen een e-mailadres gaat verzamelen als iemand toestemming gegeven heeft voor de personalisatie toepassing.
Stap 4: Zorg voor een audit trail
Zodra je ingericht hebt wanneer je welke data naar waar naar toe stuurt, kun je starten met de puntjes op de i.
Als je gebruik maakt van een datawarehouse en zowel data verzameld waar toestemming voor gegeven is en waar geen toestemming voor gegeven is, dan is het van belang dat je bij elke meting weet welke toestemming op dat moment gegeven is.
Wij zorgen er voor dat deze informatie altijd wordt meegestuurd. We weten dan voor elke toepassing of de gebruiker toestemming gegeven heeft, op welk moment deze toestemming gegeven is en voor welke cookiewall.
Daarnaast kun je er ook voor zorgen dat je gaat bijhouden welke marketingoplossingen die meting ook ontvangen hebben.
Op deze manier heb je volledige controle over de data die je wel en niet mag analyseren en weet je ook voor elke gebruiker wanneer welke data waar naar toe gegaan is.
Stap 5: Vermijd persoonlijk identificeerbare informatie
Op het moment dat je persoonlijk identificeerbare informatie in je systemen hebt, zul je deze moeten kunnen verwijderen op het moment dat iemand verzoekt.
Vooral bij klik data is het erg lastig om aan deze verzoeken te voldoen en wil je bovendien liever niet dat de data verloren gaat.
Wij maken daarom gebruik van “aliasing”. Je kunt variabelen aanmerken als identifiers. Elke waarde van die variabele krijgt bij ons een alias.
jos@graindataconsultants wordt bijvoorbeeld 12389sdf09123i12390sdf23
In plaats van het opslaan van het e-mailadres, slaan we dan de alias op. De alias en de originele waarde staan in een centrale database. Op het moment dat iemand vergeten wil worden, verwijderen we de link tussen de alias en de originele waarde.
Op die manier kun je eenvoudig de link met de persoon uit de klik data verwijderen en bovendien behoud je de data voor verdere analyses.
Stap 6: Zorg er voor dat je marketingoplossingen goed ingesteld zijn
Aansluitend op de vorige stap is het van belang dat je controleert wat de marketingoplossing met jouw data doet.
Als je bijvoorbeeld kijkt naar Google Analytics, dan slaan zij standaard het IP-adres van de gebruiker op. Deze informatie is persoonlijk identificeerbaar en dat betekent dat je hier toestemming voor moet vragen.
Daarnaast kun je in Google Analytics ook een koppeling maken met Google Ads. Ook dat zorgt er voor dat je toestemming moet vragen alvorens je de data mag gebruiken.
Let dus altijd op wat de ontvanger van de data met je data doet en pas dit eventueel aan om er voor te zorgen dat je de data wel zonder toestemming mag gebruiken, zoals je ook in Google Analytics kunt doen.
Conclusie
Voldoen aan de wetgeving heeft vooral te maken met het “in control” zijn. Je moet weten welke toestemming een gebruiker gegeven heeft op welke moment, zodat je exact weet wat je wel en niet met de data mag doen.