AVG en ePrivacy Verordening: wat is impact op digital advertising?

De nieuwe AVG-wetgeving heeft gevolgen voor de marketingactiviteiten van een organisatie waarin persoonsgegevens worden verwerkt. Maar de specifieke eisen voor de inzet van de marketingkanalen worden vastgelegd in de aanstaande ePrivacy Verordening. Wat is de impact op digital advertising?

De AVG/GDPR: wat verandert er?

Per 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) in en zal de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. De AVG is de Nederlandse vertaling van de Europese General Data Protection Regulation (GDPR) en moet ervoor zorgen dat ervoor zorgt dat in elk Europees land dezelfde regels op het gebied van databescherming gelden. Het vergt een goede voorbereiding om als organisatie klaar te zijn. Maar wat verandert er eigenlijk?

De Autoriteit Persoonsgegevens is de instantie die toezicht houdt op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en heeft de veranderingen samengevat in drie punten:

1.     Versterking en uitbreiding van privacy rechten

Consumenten krijgen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

2.   Meer verantwoordelijkheden voor organisaties

Organisaties moeten voldoen aan meer verplichtingen bij het verwerken van persoonsgegevens. Er wordt meer nadruk gelegd op de verantwoordelijkheid van organisaties om aan te tonen dat ze zich aan de wet houden 

3.   Dezelfde, stevige bevoegdheden voor alle Europese privacy toezichthouders

Wanneer organisaties Europese klantdata in bezit hebben, zijn ze verplicht om te voldoen aan de AVG. Bij overtreding kan dit hoge boetes opleveren. 

In een kort filmpje van Oxyma wordt de GDPR verder uitgelegd:

De ePrivacy Verordening: wat is het verschil met de AVG?

De specifieke eisen voor de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing zijn niet vastgelegd in AVG, maar worden in de ePrivacy Verordening vastgelegd. De ePrivacy Verordening zal en plaats komen van de Telecommunicatiewet (waar sinds 2012 de Cookiewet onderdeel van is). In deze verordening worden de fundamentele rechten en vrijheden van consumenten op het gebied van online privacy gewaarborgd.

Net als de AVG gaat het om een verordening die rechtstreeks van toepassing is. Deze verordening zorgt voor een gelijke wetgeving in heel Europa, afgezien van kleine uitzonderingen die de lidstaten zelf kunnen maken.

De Europese Commissie had het zeer ambitieuze plan om ook de ePrivacy Verordening vanaf 25 mei 2018 toe te passen, maar dit is niet gelukt. Hierdoor zijn bijvoorbeeld opt-in regels nog niet in de hele EU hetzelfde. Dat neemt niet weg dat het van belang is om je goed voor te bereiden en in kaart te brengen welke bedrijfsactiviteiten beïnvloed worden door deze wetgeving.

De ePrivacy Verordening

De ePrivacy Verordening heeft een bredere scope dan cookies en zal naar verwachting pas in de loop van 2018 of begin 2019 van kracht worden. Het gaat dan over de invloed van gegevensbescherming, over content, over metadata. Maar het betreft ook een wijziging in de definitie van ‘dienstverlener’. Over The Top (OTT)-apps en diensten zoals Snapchat en Netflix en Internet Of Things (IOT) komen namelijk ook onder de verordening te vallen.

De ePrivacy Verordening gaat ook over het inzetten van gebruikersdata bij online advertising via o.a. Google, Facebook, Bing, DSP’s, (Web)Analytics en tooling als Data Management Platforms. In grote lijnen betekent dit dat veel meer dan voorheen specifieke toestemming van de eindgebruiker nodig is om te werken met persoonlijke en naar individuele persoon (pseudo anonieme data) herleidbare data.

Impact op Digital Advertising: expliciete toestemming van de consument nodig

De impact van de ePrivacy Verordening op de Digital Advertising markt zal groot zijn. Advertising/publisherplatformen, individuele publishers en adverteerders zullen zeer waarschijnlijk alleen nog scherp getargette advertenties kunnen inzetten als zij hiervoor expliciete toestemming van consumenten hebben.

Advertising platformen zoals Google en Facebook kunnen persoonlijke data niet zomaar meer inzetten zonder dat zij hiervoor expliciete toestemming hebben van de gebruiker. Er moet duidelijk worden aangegeven voor welk doel de data wordt gebruikt. De data mag niet voor andere doeleinden worden gebruikt.

Adverteerders zullen van dezelfde consumenten expliciete toestemming nodig hebben om persoonlijke data te verzamelen in tooling als (Web)Analytics en Data Management Platforms en deze te delen met advertisingplatformen als Google en Facebook. Ook zullen adverteerders consumenten de mogelijkheid moeten geven deze toestemming in te trekken en de gegevens te verwijderen.

De consument zal niet snel toestemming geven tot haar onlinegedrag met het doel om achtervolgd te worden door irrelevante advertenties, als zij de toegevoegde waarde hiervan niet ziet. Precies hier ligt een uitdaging voor alle adverteerders. Ook ‘cookiewalls’, waarbij consumenten verplicht zijn cookies te accepteren mogen volgens de wetgeving niet meer.

De definitie van ‘persoonsgegevens’ is onder de AVG duidelijk benoemd en dat geeft veel duidelijkheid over de verwachte impact op de Digitale Advertising markt:

„Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

In het geval van digitale advertising betekent dit dus dat het inzetten van e-mailadressen (ook gehashed), cookieID’s, IDFA’s, etc, etc persoonsgegevens zijn en onder deze verordeningen vallen.

Hoe worden persoonsgegevens ingezet binnen digital advertising?

Voor de inzet van persoonsgegevens in digital advertising zijn er grofweg twee belangrijke partijen:

De adverteerders: die data verzamelen in tools als (Web)Analytics, Data Management Platforms (DMP’s) en Demand Side Platform (DSP’s). Deze adverteerders delen ook weer data met advertisingplatformen zoals bijvoorbeeld Google en Facebook.

De advertentie/publisherplatformen en publishers: die data verzamelen over hun bezoekers en deze data gebruiken om profielen te genereren. Deze data gebruiken zij voor hun eigen marketing/personalisatie en stellen ze vaak ter beschikking aan adverteerders.

Meest voorkomende tactieken:

De AVG en de komende ePrivacy Verordening raken dus alle partijen in het keten. Afhankelijk van welke tactiek voor Digital Advertising ingezet wordt, is te bepalen welke toestemming noodzakelijk is. Binnen Digital Advertising zijn de volgende tactieken het meest voorkomend:

1. Kanaal/publisher intelligentie (contextuele targetting)

Bij deze tactiek wordt contextuele logica aan het kanaal toegevoegd. Stel dat een nieuwsbericht op NU.nl over een nieuw type auto gaat, dan wordt er bij deze techniek door de publisher – in dit geval Sanoma – bij dit artikel een relevante advertentie getoond van een autoaanbieder. Deze advertentie is voor iedereen op deze pagina identiek. Voor deze targetting is geen toestemming van de consument nodig. Voorbeelden van contextuele targeting: Google AdWords keyword targetting, Google Display Network keyword en domain targetting, Publisher website targetting, etc.

2. Kanaal/publisher intelligentie (profiel targeting)

Het opbouwen van profielen en deze profielen beschikbaar stellen voor targetting aan adverteerders is natuurlijk heel interessant voor advertentie/publisher platformen en publishers. Partijen als Google en Facebook weten verschrikkelijk veel van hun gebruikers en stellen die gegevens ter beschikking aan adverteerders, zo kunnen adverteerders targetten op leeftijd, geslacht, locatie, affiniteitscategorieën etc.

Voor deze vorm van targetting is het noodzakelijk dat de advertentie/publisherplatformen en publishers hier toestemming voor hebben gekregen van de consument. Aangezien er alleen data gebruikt wordt van het advertentieplatformen/publishers heeft de adverteerder geen toestemming nodig van de consument.

Voorbeelden van profiel targetting: Google AdWords Keyword targeting gecombineerd met leeftijd of affiniteitscategorie, Google Display Network profiel targetting, Facebook targetting op basis van demografische gegevens, etc.

3. Data adverteerder (Pixels/cookies)

Bij deze vorm van adverteren bouwt de adverteerder zelf profielen op via de website/app waarbij online gedrag (bijvoorbeeld het bekijken van een product, toevoegen van het product aan een winkelwagen etc.) wordt gekoppeld aan dit profiel. Deze profielen worden vervolgens gebruikt om de website te personaliseren en om deze profielen te targetten bij externe advertentie/publisherplatformen en publishers. Alhoewel er gebruikelijk geen klantgegevens als een NAW of e-mailadres worden opgeslagen, oordeelt de verordening in dit geval dat het Cookie/AppID een persoonsgegeven is.

Dit betekent dat het noodzakelijk is dat de adverteerder een expliciete toestemming heeft van de consument. Indien de profielen worden gebruikt voor de targetting op externe advertentieplatformen/publisherplatformen heeft zowel de adverteerder als het advertentie- als publisherplatform toestemming van de consument nodig.

Voorbeelden van profiel targeting via pixels/cookies: Google AdWords Keyword targeting in combinatie met RLSA, Google Display Network Remarketing, Facebook retargeting etc.

4. Data adverteerder (CRM/Klantdata)

Bij deze vorm van adverteren deelt de adverteerder explicietere klantgegevens (zoals telefoonnummers of e-mailadressen) met advertentie- als publisherplatform. De hiermee gegenereerde profielen worden vervolgens gebruikt om deze profielen te targetten op externe advertentieplatformen/publishers, lookalikes te ontdekken etc. Bij deze manier van Digital Advertising worden er klantgegevens met de netwerken gedeeld. De verordening oordeelt in dit geval – of deze gegevens wel of niet versleuteld zijn – dat het hier om persoonsgegevens gaat.

Dit betekent dat het noodzakelijk is dat de adverteerder een expliciete toestemming heeft van de consument om deze klantgegevens te delen met voor de targetting op externe advertentieplatformen/publisherplatformen. Ook heeft het advertentie- als publisherplatform toestemming nodig van de consument om deze op haar platform gerichte advertenties te tonen. Voorbeelden van profiel targetting op basis van klantdata: Google AdWords Keyword targeting in combinatie met Customer Match, Facebook Custom Audiences etc.

Complexiteit permissies bij het combineren van verschillende tactieken

De complexiteit met betrekking tot toestemming in het digitale advertising domein ontstaat met name omdat de verschillende tactieken met elkaar gecombineerd worden. De grote kracht binnen digital advertising ligt in het kunnen analyseren en combineren van de meest exotische combinaties van segmenten en tactieken. Zo zal een adverteerder bijvoorbeeld een combinatie willen maken van verschillende tactieken en data zoals:

• eigen klanten die 1,5 jaar niks besteld hebben (o.b.v. eigen CRM/klantdata)
• welke de afgelopen 3 maanden de webshop hebben bezocht (o.b.v. data in het DMP)
• met een interesse in de Facebook pagina van een concurrent (o.b.v. data van Facebook)

In het geval van deze combinatie zijn alle drie de soorten toestemming van de consument nodig. Om iets inzichtelijk te maken hebben welke permissies nodig zijn, hebben we daarom onderstaande tabel opgesteld.

Toestemming intrekken en verwijderen van data

Naast dat organisaties moeten kunnen bewijzen dat zij geldige toestemming hebben gekregen, moet het voor consumenten net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. Consumenten kunnen hierbij bij een organisatie eisen hun persoonsgegevens te verwijderen. Met als toevoeging dat zij – onder de nieuwe verordening – kunnen eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van de organisatie hebben gekregen. 

Het is nog onduidelijk wanneer de ePrivacy-verordening gereed is, en ingevoerd zal worden. De impact op de Digital Advertising markt zal echter groot zijn. Scherp getargette advertenties kunnen naar alle verwachting alleen nog worden ingezet als hiervoor expliciete toestemming van consumenten voor is verkregen. Het is dus van belang om in kaart te brengen welke bedrijfsactiviteiten beïnvloed worden door deze wetgeving en je goed voor te bereiden.

Daarnaast is het te adviseren om de ontwikkelingen rondom de ePrivacy-verordening goed in de gaten te houden, zeker met het oog op de inzet voor nieuwe advertentiemogelijkheden en beslissingen die de marketing technologie-infrastructuur van jouw organisatie raken. 

 

De Autoriteit Persoonsgegevens

Op de site van de Autoriteit Persoonsgegevens is het Dossier AVG te vinden met meer informatie en uitleg, zoals de AVG in een notendop,  een 10 stappenplan en de AVG-regelhulp ter voorbereiding op de AVG.

DDMA

De DDMA, de brancheorganisatie voor marketing en data, heeft een AVG voorlichting ontwikkeld met handige overzichten & documenten van hun Legal Counsels over de belangrijkste onderwerpen van de AVG. Daarnaast zijn op Marketingfacts een serie artikelen van DDMA gepubliceerd met implicaties en duiding.

IAB

Het IAB, de branchevereniging voor digital advertising en marketing innovatie, heeft een Dossier Privacy gepubliceerd met artikelen, presentaties en de nieuwe technische norm van IAB Europe: GDPR Consent Mechanism.