Verkeerde interpretatie AVG: dit laat je liggen

Slechts dertig procent van de grote uitgevers in Europa is AVG compliant, bij adverteerders is dit cijfer vele malen lager, aldus de verantwoordelijke voor data & privacy IAB Europe Matthias Matthiesen op de privacy town hall van 8 oktober. Logisch dat ze de kat uit de boom kijken tot de eerste dwangsom. Toch is er veel mogelijk binnen de wet, mits juist geïnterpreteerd.

In de maanden sinds de invoering van de Algemene Verordening Gegevensbescherming, heeft de juridische stofkam door de marketingactiviteiten flink wat netelige situaties opgeleverd. Daarbij lijkt het soms alsof de juristen het roer hebben overgenomen op de marketing afdeling. Better safe than sorry. Niemand wil immers met zijn merk op de voorpagina staan met “Merk X overtreedt AVG” of erger nog “Autoriteit persoonsgegevens legt boete op aan Merk Y”. Zichtbare websites zijn vaak het braafste jongetje van de klas, want hen valt het sterkste journalistieke vergrootglas ten deel. Gevolg: te grote juridische veiligheidsmarges, gelijk een luizenmoeder met een tondeuse.

Dit zijn de kansen voor marketeers die AVG goed interpreteren:

1. Cookie consent: zo laag mogelijke drempel voor acceptatie. (factsheet ICTrecht vind je hier)
2. Email consent: klant hoeft geen toestemming te geven, prospect met opt-in niet opnieuw om opt-in vragen.
3. Privacy statement: compleet en inclusief data-onboarding.

1. Cookie consent

In 2012 rees op menig site een cookiemuur op, die net zo snel weer afgebroken werd toen minister Kamp aangaf dat er geen expliciete toestemming gegeven hoeft te worden. (afgezonderd van de paar sites die een gezellige brief kregen van de autoriteit) De geschiedenis herhaalt zich, zo zorg je er voor dat je tracking en targeting op peil blijft:

• AVG-Nee
  • Ouderwetse cookiestatement waarin aangegeven wordt dat met gebruik akkoord wordt gegeven.
    • Achter een link wordt uitgelegd welke cookies en optie gegeven deze uit te schakelen.
    • Achter een link wordt uitgelegd welke cookies en hoe deze uit te schakelen in de browser.
• AVG-OK:
  • Ruim binnen de wet is het tonen van een complete lijst van alle type cookies met verplichte optin per cookie type.
    • Uit pure frustratie zal men veelal nee antwoorden, of erger nog, vertrekken.
    • Zie hier hoe alle verstandige marketeers werden overruled door de chief privacy van de NPO.
  • Aanname dat het binnen de wet valt (zolang de autoriteit persoonsgegevens hier geen uitspraak over doet); een enkele optin waarin toestemming wordt gegeven voor alle cookies. Totdat  
    • De tijdsbesteding is minimaal en daarmee vergroot je de kans dat je beloond wordt met een akkoord op alle cookies.
    • Achter een link wordt uitgelegd welke cookies en optie gegeven deze uit te schakelen, bijvoorbeeld met een Consent Management Platform als Faktor.
  • Zonder akkoord toch Google Analytics afvuren mag indien je voldoet aan de volgende tracking beperkingen (eenvoudig in te stellen via deze GTM settings):
    • Geanonimiseerd IP.
    • Gegevensdeling met Google uitzetten
    • Gegevensverzameling advertentiefuncties uitschakelen
    • Functie voor User ID’s uitschakelen

2. E-mail optin

Inmiddels is de door AVG veroorzaakte e-mailstorm gelukkig weer gaan liggen, ook Google Trends toont aan dat het interesse niveau terug is naar dat van 2017. In de inbox werd pijnlijk duidelijk wie de zaakjes op orde had en wie niet.

• AVG-Nee: verzoek aan prospects om alsnog in te schrijven, Adverteerders die trachten op hun e-mail bestanden een GDPR compliant opt-in te verkrijgen, kwamen van een koude kermis thuis. Ze waren dus al in strijd met de wet, want geen correcte opt-in, en de conversie naar compliancy is zelden hoger dan 5%.
• AVG-OK: Je hebt al een opt-in voor e-mail marketing voor prospects? Stuur dan in normale mensentaal de manieren waarop data gebruikt wordt en een link naar de opt-out mogelijkheid. Klanten hoeven geen opt-in gegeven te hebben, de AVG zegt hierover immers: “U mag uw eigen, bestaande klanten digitale direct marketing sturen met aanbiedingen voor andere, vergelijkbare producten of diensten. Uw klanten hoeven daarvoor niet eerst toestemming te geven.” En daarmee is direct marketing via post, e-mail of app conform de wet, zorg natuurlijk wel voor een goede opt-out.

3. Privacy Statement

Het meest taaie stukje van menig website, wees hier compleet en je bent in staat om je CRM intelligentie middels personalisatie uit te breiden naar de site, search en display.

• AVG-Nee:
  • Incomplete informatie mbt het gebruik van persoonsgegevens. Zoals ICTrecht beschrijft: U moet in eenvoudige  taal precies en volledig uitleggen wat u doet met persoonlijke gegevens. Ook  moet u mensen wijzen op hun rechten, zoals dat men gegevens mag aanpassen, het dossier mag inzien of zelfs laten vernietigen. Bouwt u interesseprofielen op, dan moeten die op verzoek kunnen worden verwijderd. Bovendien moet u ze wijzen op de mogelijkheid een klacht in te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.
• AVG-OK:
  • Informeer de gebruiker dat marketinguitingen relevanter worden, doordat pseudonieme persoonsdata met derde partijen gedeeld worden. Pseudoniem of geanonimiseerd betekent versleuteld, dus alleen als de andere partij ook de persoonsinformatie heeft kan een gebruiker herkend worden.
  • Hierdoor ziet de gebruiker meer relevante producten (of juist geen reclame, omdat ze zojuist iets gekocht hebben). Daarmee is customer-match met Facebook/Google en het koppelen van klantdata aan al je marketing kanalen middels data-onboarding conform de wet. Zie ook de factsheet voor data onboarding van DigitalAudience ism ICTrecht.

AVG-OK? Pak de gemiste marketing kansen

Het moge duidelijk zijn wat de waarde is van een hoog acceptatie percentage op cookies en minimale opt-outs uit het mailbestand. Met de juiste privacy statement kan dat e-mail bestand je veel opleveren, zelfs buiten de inbox. Middels data-onboarding of CRM-onboarding, kun je je klantenbestand GDPR-compliant koppelen aan Facebook, Google, Twitter, Pinterest, DSP’s en DMP’s. Daarmee vind je vaak 2x zo veel klanten terug dan dat je je CRM direct koppelt aan Google/Facebook. En daarmee wordt de kracht van je klantenbestand beschikbaar voor alle marketeers. Denk hierbij aan:

1. Audience suppression: bestaande klanten uitsluiten van acquisitie campagnes in search, display en social. Besparing is afhankelijk van hoe groot je marktaandeel is.
2. High lifetime value  targeting: trouwe klanten klikken eerder en kopen nog meer.
3. Save campaigns: ga churn tegen via actieve acties voor inactieve of vertrekkende klanten.
4. Offline attributie: Als je klantdata hebt uit de winkels, kun je deze koppelen aan bijvoorbeeld je Adwords en DoubleClick campagnes. (zie ook deze case op ThinkwithGoogle)
5. Site personalisatie: zonder login of cookie van de klant, toch de site kunnen personaliseren door onboarden van CRM data in je personalisatietool.

Iedere toepassing heeft direct effect op ROI, door een hogere kans op relevantie en betere inzichten. Wanneer je die gemiste kans omzet naar gederfde inkomsten lijkt het mij duidelijk dat verkeerde interpretatie van AVG de luis in de pels is.