De AVG wetgeving. Dit zijn de belangrijkste veranderingen voor online marketing

Het kan je bijna niet ontgaan zijn. Per 25 mei treedt de AVG-wet in werking. Deze algemene verordening gegevensbescherming is een Europese verordening (GDPR), welke als doel heeft om de gegevensverwerking van natuurlijke personen te beschermen. Simpel gezegd; Deze verordening heeft als doel om de burgers van Europa meer bescherming en privacy te bieden.

Deze verordening treft alle bedrijfsprocessen, maar in het bijzonder ook de marketingprocessen van veel bedrijven. In dit artikel nemen we je graag mee in de belangrijkste veranderingen ten aanzien van online marketing en wat je het beste kunt doen om torenhoge boetes te vermijden.

De belangrijkste pijlers achter deze verordening zijn

  • Versterking en uitbreiding privacyrechten
  • Meer verantwoordelijkheid voor organisaties
  • Meer bevoegdheden voor toezichthouders

Voorkom hoge boetes vanuit de AVG

Om naleving van deze Europese verordening te bewerkstellingen staan er hoge boetes op het niet naleven van deze nieuwe wetgeving. Boetes kunnen oplopen tot 20 miljoen of 4 procent van de (jaarlijkse) omzet.
In Nederland is de Autoriteit Persoonsgegevens de bevoegde instantie voor het handhaven en eventueel het opleggen van boetes bij niet-naleving van deze nieuwe wetgeving.

In beginsel kan gesteld worden dat er vanaf 25 mei veel meer om toestemming gevraagd moet worden en dat er bij toestemmingen expliciet moet worden vermeld waarvoor toestemming wordt gegeven. Daarnaast heeft een persoon altijd het recht om vergeten te worden, waarna de onderneming verplicht wordt om binnen afzienbare tijd alle gegevens van de bewuste persoon te verwijderen.

Niet onbelangrijk geldt er voor alle organisaties een documentatieplicht. Zo bent u verplicht om voor alle opgeslagen data een document bij te houden wat het doel is van het opslaan van deze data, alsmede ook hoe lang deze data opgeslagen blijft.

Online marketing raakt vaak de AVG wetgeving.

logo_lockup_analytics_icon_horizontal_black_2x
De afgelopen jaren zijn we steeds meer tools en technieken gaan gebruiken om websitebezoekers beter te identificeren. Om een succesvolle online strategie te hanteren is het belangrijk om de bezoeker goed in kaart te brengen, en waar nodig een persoonlijke aanbieding te doen. Het is juist door deze sterke personalisatie dat online strategieën steeds rendabeler gemaakt kunnen worden. Waarmee we vroeger volstonden met het aantal bezoekers en eventueel een land van herkomst, kunnen we op dit moment veel meer identificeren van een bezoeker. Vanuit deze identificatie kunnen we weer beter én gerichter dezelfde, of soortgelijke, bezoekers benaderen. Vanaf 25 mei is dergelijke personalisatie in beginsel verboden! Sterker nog, het standaard Google Analytics profiel welke op 98 van 100 websites wordt gehanteerd is standaard niet toegestaan. Dat komt door het volgende:

De AVG wetgeving kent verschillende type persoonsgegevens.

Persoonsgegevens: alle informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon. Bijvoorbeeld NAW-gegevens, e-mailadres, IP-adres, geboortedatum, huidige locatie, maar ook device-ID’s.

Pseudo-anonieme data: persoonsgegevens dusdanig verwerkt dat de data niet langer herleid kan worden zonder gebruik van aanvullende informatie, maar wel een persoon individualiseerbaar maakt. Bijvoorbeeld versleuteld e-mailadres, gebruikers-ID of een klantnummer dat alleen via een goed beveiligde interne database gelinkt is aan overige data. Dit valt ook binnen de scope van de AVG/GDPR.

Anonieme data: gegevens waar alle persoons gerelateerde data die het terug herleiden toestaat, verwijderd is. In de praktijk vaak moeilijk haalbaar of lastig aan te tonen, tenzij de persoonsgegevens überhaupt niet weggeschreven worden in eerste instantie. Dit valt buiten de scope van AVG/GDPR.

De AVG wetgeving voorziet voor zowel persoonsgegevens als voor de pseudo-anonieme data dat deze in beginsel verboden zijn om op te slaan, tenzij de bezoeker expliciet hiermee akkoord gaat én de mogelijkheid heeft om zichzelf uit te schrijven cq. te laten verwijderen.

Deze data wordt veelal op website gevraagd. Zowel door verschillende formulieren op een website maar veelal door het plaatsen van cookies. De cookies kunnen worden geplaatst in de volgende categorieën.

  • Functionele cookies

Deze cookies zijn noodzakelijk voor de werking van jouw website. Dit zijn bijvoorbeeld cookies die ervoor zorgen dat je producten in een winkelmand blijven staan, of dat je als gebruiker (ingelogd) kan blijven op een website.

  • Analytische cookies

Deze cookies zorgen ervoor dat de websitestatistieken correct worden verzameld. Google Analytics cookies zijn een voorbeeld van dit type cookies.

  • Tracking cookies

Dit zijn cookies die worden geplaatst waarna het mogelijk is om data van een bezoeker over de verschillende website die hij/zij bezoekt te “volgen”.

Vanaf 25 mei mogen alleen standaard de functionele cookies worden geplaatst en bepaalde (anonieme) analytische cookies. Voor het overige dient expliciet toestemming gevraagd te worden. Dit is ook waarom het standaard Google Analytics profiel niet meer is toegestaan per 25 mei. De data in Google analytics is niet voldoende anoniem waardoor er sprake is van pseudo-anoieme data. Dit geldt bijvoorbeeld ook voor het inzetten van de succesvolle remarketinglijsten. Dit wordt in de AVG wetgeving ook geschaard onder de pseudo-anonieme data.

Al met al dient jouw website dus de nodige aanpassingen te ondergaan om te voldoen aan de nieuwe AVG wetgeving.
ap_logo

Welke andere gevolgen heeft de AVG wetgeving voor online (marketing)?

Het vertrekpunt per 25 mei is dat een bezoeker anoniem is, tenzij deze anders aangeeft. Letterlijk uit de (Engelse) Europese verordening. Privacy by default.

Het is ook verboden om een website te hebben waar een melding verschijnt dat men bij het bezoeken van de website akkoord gaat dat er bepaalde (tracking)cookies worden geplaatst. Je moet een website kunnen tonen zonder cookies waar een bezoeker geen gebruik van wilt maken. Een zogenoemde “cookiewall” met “ja ik accepteer cookies” of “nee, ik accepteer geen cookies” is dan ook niet meer toegestaan. De website dient gewoon – zonder belemmering – bezocht te kunnen worden. Een goed voorbeeld van hoe je wel mag vragen om uitgebreidere toestemming is te zien op Frankwatching.

2018-05-10_2201

Wat verder opvalt bij deze – juiste – implementatie is dat standaard de vinkjes voor alle niet noodzakelijke cookies niet staan aangevinkt.  Dat volgt uit de bewoording uit de Europese verordening “Privacy by default”. Het is dus niet toegestaan om toestemming te vragen met alle vinkjes al voorgeselecteerd. Het moet echt een bewuste keuze van een bezoeker zijn om een bepaalde “checkbox” aan te vinken.
Deze lijn dien je vanaf 25 mei ook door te voeren over de gehele website. Het is niet meer toegestaan om bepaalde keuzemogelijkheden standaard aan te vinken. Dat geldt voor nieuwsbriefinschrijvingen maar bijvoorbeeld ook voor het accepteren van een privacy policy of algemene voorwaarden bij het afrekenen van een bestelling.

Hieronder sommen we nog wat belangrijke wijzigingen per 25 mei op.

  • Per 25 mei is het ook verplicht om alle cookies – in de verschillende cookiegroepen – uit te schrijven. Het uitschrijven van de werking, het doel en de duur van de cookies moet in duidelijk leesbare taal gebeuren, zodat je ook de werking ervan begrijpt als je geen technische kennis hebt.
  • Vanaf 25 mei is een uitgebreidere privacy policy op jouw website een vereiste. Op deze pagina moet ook omschreven staan naar wie of wat een bezoeker zich moet wenden om inzage te krijgen in alle beschikbare gegevens die jij hebt opgeslagen van een gebruiker.
  • Met de nieuwe AVG wetgeving moet jouw website en marketing(technieken) voorbereid zijn om (persoon)gegevens volledig van een website te verwijderen. Te denken valt aan gebruikersaccounts maar ook andere marketinglijsten waar deze persoon op staat.
  • Anno 2018 vinden we al lang dat een SSL certificaat (https verbinding) standaard behoort te zijn. Een geldige en werkende SSL verbinding is in ieder geval nu ook verplicht gesteld als jouw website persoonsgegevens verzameld. Bijvoorbeeld bij een contactformulier of een inschrijving voor een nieuwsbrief.
  • Voor alle gegevensverwerking geldt een expliciete opt-in en opt-out mogelijkheid. Je moet dus toestemming geven en je moet faciliteren dat iemand zich ook weer volledig kan anonimiseren.
  • Social media buttons om content te delen, Youtube video’s of andere embedded content mag je in beginsel niet meer inladen op jouw “standaard” website. Dit komt omdat deze embedded content veelal (tracking)pixels bevatten waardoor dit soort kanalen gebruikersgegevens kunnen opslaan. Het plaatsen en tonen van deze content is wel toegestaan maar pas nadat een gebruiker hier expliciet toestemming voor heeft gegeven.
  • Met andere kanalen, bijvoorbeeld Google (Analytics) en Facebook, dien je een verwerkingsovereenkomst aan te gaan. Kort gezegd komt dit erop neer dat je aan deze partijen aangeeft dat je zorg (hebt) gedragen voor een correcte verkrijgen van bepaalde gegevens en hoe zij met jouw data om mogen gaan. Alle grote partijen hebben hier inmiddels al standaard overeenkomsten voor opgesteld.

Bovenstaand hebben we de belangrijkste veranderingen aangegeven die vanaf 25 mei van kracht moeten zijn op jouw website.

We begrijpen dat dit veel (administratief) werk met zich mee kan brengen maar het zorgt er wellicht ook voor dat we beter nadenken over waarom we bepaalde data van bezoekers opslaan en welke informatie we precies nodig hebben.

Geeft de AVG wetgeving alleen maar beperkingen?

Nee, zeker niet. Een aantal dingen zijn vanuit de AVG wetgeving makkelijker gemaakt. De gegevens voor een gebruiker zijn vanaf 25 mei beter gewaarborgd en de potentiële sancties zijn niet mals, maar toch geeft het je als organisatie ook nieuwe commerciële kansen.

Vanuit MvH Media houden we de werking van de AVG wetgeving en de naleving door andere partijen sterk in de gaten. We verwachten dat de komende tijd hier en daar nog wel aanscherpingen of nuances worden gemaakt om de AVG wetgeving werkbaar te houden.

We adviseren in ieder geval om de meest essentiële zaken voor jouw website voor 25 mei ingeregeld te hebben. De meest urgente zaken zijn per website verschillende maar hieronder volgen kort onze “highlights”.

  • Google Analytics profiel anonimiseren en delen met andere (diensten) van Google uitsluiten.
  • Uitschrijven van een privacy policy met het benoemen van alle cookies die op een website worden geplaatst
  • Formulieren inkorten, beveiligen en voorzien van toelichtingen.
  • SSL verbinding nalopen.
  • Remarketing en Google Analytics uitgebreid profiel aanmaken ná expliciete toestemming
  • Technisch – Cookie informatie / toestemming bij betreden website.
  • Technisch – Embedded content (social media, Youtube) etc. uitsluiten van de standaard weergave van de website.
  • Verwerkingsovereenkomsten afsluiten met derden partijen
  • Documenteer alle stappen die je als organisatie zet om te voldoen aan de (verhoogde) privacy standaard.

Al met al gaat de AVG wetgeving het landschap behoorlijk opschudden. Vanuit online marketing perspectief zien we zowel kansen als bedreigingen. We denken dat een goede implementatie zorgt voor meer begrip, personalisatie en effect uit het marketingbudget dan dat nu het geval is. Het is echter wel van belang dat jouw website zorg draagt voor een goede implementatie om dat effect te bereiken en om hoge boetes te voorkomen.

We sparren graag mee om jouw organisatie online AVG proof te maken.

Meer updates?

We houden je graag op de hoogte.

  • Alle nieuwste ontwikkelingen over online marketing
  • Exclusieve uitnodigingen over kennisevents
  • Laatste ontwikkelingen binnen online marketing en meer
  • Maximaal één keer per maand

Meer blogs over

online marketing

Online Marketing
Mark van Hattum

Boekentips 2023

Met de zomer voor de deur is het vaak een goed moment om even een stapje terug te doen. Lekker relaxen tijdens een welverdiende vakantie.

Lees meer
50%

Je bent er bijna

Waar mogen we hem naar toe sturen?