AVG: dit is de impact op social advertising

Er wordt veel geschreven over de AVG/GDPR, maar welke gevolgen heeft de nieuwe wetgeving voor social media en advertising? Veel, zo blijkt. 

Gevolgen zijn er namelijk zeker. Vanaf 25 mei 2018 (ontkom ik toch niet aan het noemen van de datum) zal het bijvoorbeeld verboden zijn om zonder toestemming van de “betrokkenen” e-mailadressen naar Facebook te uploaden om een customer-matchlijst van te maken. De betrokkenen zijn in dit geval de personen van wie de persoonsgegevens worden verwerkt. Dit geldt echter niet alleen voor customer match; ook remarketing valt onder de marketingtechnieken waarvoor binnenkort – of eigenlijk nu al – een expliciete opt-in vereist is. Nu noem ik toch al twee veelgebruikte targetingmogelijkheden die door de AVG geraakt zullen worden. Hoewel de nieuwe wetgeving natuurlijk erg belangrijk is, kan het best een stoffig onderwerp zijn. Om die reden wil ik de theorie aan de hand van een aantal “cases” iets meer tot de verbeelding laten spreken.

In de onderstaande situaties ga ik voor het gemak uit van Facebook, omdat dit platform de meeste mogelijkheden heeft. Natuurlijk gaat Social Advertising verder dan Facebook, maar eigenlijk zijn alle targeting opties op andere grote Social platformen ook mogelijk op Facebook. Al dan niet in een vergelijkbare variant.

Open Targeting

Onder open targeting schaar ik alle targetingmogelijkheden die gebaseerd zijn op informatie die door Facebook is verzameld. Hierbij valt te denken aan targeting op basis van leeftijd, geslacht of interesses. Omdat Facebook deze data zelf verzameld en vervolgens beschikbaar stelt aan gebruikers van haar advertentieplatform hoef je je hier als socialadvertisingspecialist niet al te veel zorgen over te maken. Uiteraard valt dit wel binnen de scope van de AVG (want pseudo-anonieme data), maar Facebook is in dit geval de gegevensbeheerder en dus verantwoordelijk voor het verkrijgen van toestemming om deze data te verzamelen. Facebook biedt haar gebruikers door middel van ad preferences overigens al de mogelijkheid om de advertentie instellingen te beheren.

Look-a-like audiences

Wanneer we een stapje verder gaan in de AVG-jungle komen we uit bij look-a-like audiences. Look-a-like audiences worden inmiddels veelvuldig gebruikt op verschillende advertentieplatformen en met succes. Bij deze targeting methode kom je als adverteerder dan toch echt in aanraking met de AVG. Om gebruik te kunnen maken van look-a-like audiences verzamelt de adverteerder data van klanten en/of website bezoekers om deze door Facebook te laten matchen met vergelijkbare gebruikers. Van de gebruikers die uiteindelijk de advertentie te zien krijgen kan geen toestemming worden verkegen; het betreft immers een doelgroep die je nog niet kent. Dat geldt echter niet voor de doelgroep die als ‘bron’ dient, en dus zal de adverteerder aan deze groep gebruikers wél toestemming moeten vragen om deze data te gebruiken. De adverteerder is in deze situatie de gegevensbeheerder en de data wordt vastgelegd en gedeeld met een derde partij: Facebook (in dit geval de gegevensverwerker). Om look-a-like audiences in te kunnen zetten moet in principe aan vier vereisten worden voldaan:

• De websitebezoekers (of andersoortige doelgroep die als bron dient) moeten ondubbelzinnige toestemming hebben verleend voor het gebruik van cookies;
• In het privacy statement moet worden vermeld welke gegevens verzamelt worden en waarom (interesseprofielen t.b.v. advertentiedoeleinden);
• In het privacy statement moet ook worden vermeld dat deze gegevens gedeeld worden met derden, zoals bijvoorbeeld Facebook;
• Data die gedeeld wordt met een derde partij moet altijd gehasht worden om ervoor te zorgen dat de personen niet individueel identificeerbaar zijn. Deze derde partij zou een sociaal medium kunnen zijn, maar ook een eventuele tussenpartij.

Facebook heeft als gegevensbeheerder van haar eigen data zelf ook weer toestemming nodig van haar gebruikers om de profielen te kunnen matchen en look-a-like audiences samen te kunnen stellen.

Remarketing op basis van betrokkenheid op het platform

Facebook biedt adverteerders de mogelijkheid om gebruikers die op een eerder moment interactie hebben gehad met content van de adverteerder opnieuw te bereiken. Zo kun je als adverteerder bijvoorbeeld een remarketingcampagne richten op gebruikers die een eerdere video (advertentie) of canvas advertentie hebben bekeken. Het verzamelen van deze data gebeurt op en door Facebook, waarna deze gegevens beschikbaar worden gesteld aan de adverteerder. Om die reden is Facebook verantwoordelijk voor het verkrijgen van toestemming. Als socialadvertisingspecialist kun je deze mogelijkheid met een gerust hart blijven gebruiken.

Remarketing op basis van eigen gegevens

Naast remarketing op basis van betrokkenheid is het ook mogelijk om gebruikers te bereiken die op een eerder moment je website hebben bezocht. Het grote verschil met remarketing op basis van betrokkenheid op het advertentieplatform, is dat de adverteerder nu de gegevensbeheerder is. Het verzamelen van de gegevens vindt in dit geval namelijk plaats op het domein van de adverteerder. Om deze vorm van remarketing in te zetten moet de adverteerder dus ondubbelzinnig toestemming vragen aan de gebruiker. Het is dus verplicht om een cookiebar te hebben waarin de betrokkene wordt ingelicht over de gegevens die verzameld worden en de doeleinden waarvoor deze gegevens gebruikt worden. Daarnaast moet de gebruiker natuurlijk ook daadwerkelijk op “akkoord” klikken.

Customer Match – Remarketing op basis van CRM data

Veel Social Advertising platformen bieden de mogelijkheid om CRM data – zoals e-mailadressen – te uploaden om deze gebruikers vervolgens te bereiken op het sociale medium in kwestie. Ook dit valt overduidelijk binnen de grenzen van de GDPR en daarom moet er aan de volgende voorwaarden worden voldaan:

• De eigenaar van het e-mailadres (of telefoonnummer, Facebook ID etcetera) moet ook hier weer ondubbelzinnige toestemming verlenen voor het gebruik van zijn gegevens;
• Daarnaast moet in het privacy statement van de website (of overeenkomst wanneer de gegevens offline worden verzameld) duidelijk gemaakt worden dat deze gegevens verzameld worden en waarom;
• Ook hier moet zorg worden gedragen aan het hashen van de persoonsgegevens.

De adverteerder is in dit geval de gegevensbeheerder. Facebook is de gegevensverwerker.

AVG & Conversie tracking

Iedere partij die serieus bezig is met digital marketing wil inzicht in de effectiviteit en/of rendabiliteit van haar online activiteiten door middel van conversietracking. Maar is dat allemaal nog wel zo vanzelfsprekend vanaf 25 mei 2018? Het antwoord daarop is “nee”. Voor het verzamelen van data door middel van een pixel van een derde partij die niet puur voor analytische doelen wordt ingezet – zoals bijvoorbeeld de Facebook pixel – moet expliciet toestemming worden gevraagd van de gebruiker. In theorie is het dus mogelijkheid dat gebruikers geen toestemming verlenen voor dergelijke cookies en Facebook dus niet weet of een gebruiker wel of niet geconverteerd heeft.

Heb je dan straks helemaal geen inzicht meer in de effectiviteit van je socialcampagnes? Dat gelukkig niet. Het plaatsen van puur analytische cookies is toegestaan zonder toestemming van de gebruiker. Er worden dan immers geen persoons- of pseudo-anonieme gegevens verzameld. In principe kun je dus wel gewoon de resultaten van je socialcampagnes blijven meten, bijvoorbeeld via Google Analytics.

Na 25 mei 2018 kan er veel veranderen in het social advertising landschap, zowel voor het toepassen van een aantal veelgebruikte targeting mogelijkheden als voor conversietracking en optimalisatie binnen de advertentieplatformen. De grote vraag is hoe groot de impact daadwerkelijk zal zijn.

Nu heb je in ieder geval een overzicht op welke punten de nieuwe wetgeving social advertising ‘raakt’ en wanneer je  actie moet ondernemen. In veel gevallen zal social advertising onderdeel zijn van de (online) marketingmix en zeer waarschijnlijk raakt de AVG ook andere kanalen.