Wat zijn de gevolgen van GDPR als je met affiliate partners werkt?

Het is voor de GDPR niet genoeg dat je je eigen datahuishouding op orde hebt, ook partners met wie je gegevens uitwisselt moeten compliant zijn. Wat betekenen de nieuwe GDPR-regels voor publishers en adverteerders die gebruikmaken van affiliate netwerken?

De nieuwe Europese regels, die in Nederland de naam Algemene Verordening Gegevensbescherming (AVG) draagt, zijn bedacht om consumenten meer controle te geven over hun persoonlijke data. Dit betekent tegelijkertijd dat er strengere eisen worden gesteld aan bedrijven die deze data om wat voor reden dan ook gebruiken. De vraag is of de impact hiervan op affiliate marketing heel groot zal zijn. Wel staat natuurlijk vast dat behavioural advertising en andere performance-based marketing die sterk afhankelijk is van gebruikersprofielen voor het verzenden van gerichte reclameboodschappen, aan meer wettelijke verplichtingen moeten voldoen. De volgende regels zijn met name relevant voor de affiliate industrie:

Persoonlijke data

Wat de wetgever als persoonlijke data beschouwt, wordt flink uitgebreid. Een definitieve lijst met deze gegevens bestaat nog niet, maar de verwachting is dat onder andere cookie-ID’s, klantnummers, IP-adressen en apparaat-ID’s hieronder zullen gaan vallen. Dat zijn identificatiegegevens die veel netwerken en platforms gebruiken voor standaardtracking. Publishers die hiervan gebruikmaken, moeten ervoor zorgen dat zij dat conform de regels doen. Zo moeten ook zij zich goed bewust zijn van de data die zij van de consument opslaan. Bovendien zullen in de meeste gevallen ook aanpassingen gedaan moeten worden in de cookiestatements en websitevoorwaarden.

Waarom verwerk je persoonsgegevens?

Een bedrijf dat persoonlijke data wil verwerken, heeft daarvoor een wettelijke grondslag nodig. Oftewel: je moet kunnen aantonen dat het nodig is dat je persoonlijke gegevens gebruikt en opslaat. Er worden zes grondslagen in de nieuwe verordening genoemd. Daarvan zijn voor digitale advertenties ‘toestemming’ en ‘legitiem belang’ met name interessant.

Legitiem belang houdt in dat je gegevens van mensen gebruikt op een manier die zij redelijkerwijs mogen verwachten en die een minimale impact op de privacy hebben. Als dit niet het geval is, maar je kunt wel rechtvaardigen waarom je die gegevens verwerkt, dan valt dat ook onder legitiem belang. Toestemming betekent dat consumenten zelf kunnen kiezen of ze hun gegevens aan je afstaan. Een derde mogelijkheid die het vermelden waard is, is de grondslag ‘contract’. Deze vlieger gaat op als je als publisher een overeenkomst hebt gesloten met klanten waarin staat dat je gegevens mag verzamelen. Dit kan het geval zijn bij cashback-publishers.

ePrivacy

De ePrivacy-richtlijn (ook wel cookiewet genoemd) wordt parallel aan de AVG aangepast. De consument moet op de hoogte worden gebracht over het gebruik van cookies op de website, maar ook in e-mail, sms en call marketing. Om de transparantie voor consumenten te vergroten gelden er strengere regels ten aanzien van opt-ins voor cookies en vergelijkbare volgtechnologieën zoals device fingerprinting.

Het maakt hierbij niet uit volgens welke rechtsgrondslag je de data verzamelt, je moet ondubbelzinnige toestemming hebben van de consument voor het gebruik van cookies. Dat betekent dus dat je je toestemmingsmechanisme onder de loep dient te nemen en eventueel moet aanpassen. Branchevereniging IAB werkt aan een technische standaard voor toestemming. Maar je kunt er ook voor kiezen om gebruik te maken van tools die steeds vaker hiervoor worden aangeboden, zoals Consentcheq en OneTrust, mits deze voldoen aan de regels natuurlijk.

Gegevenscontroller of gegevensverwerker?

Zoals gezegd legt de GDPR strenge regels op aan bedrijven die persoonlijke data verzamelen. Welke verantwoordelijkheden dit met zich meebrengt, hangt af van de rol die je vervult binnen de vernieuwde wetgeving. Hierbij kun je als bedrijf worden aangemerkt als gegevenscontroller of gegevensverwerker. Dit heeft met name implicaties voor adverteerders.

De gegevenscontroller bepaalt waarom en hoe de gegevens worden verwerkt. In het geval van affiliate tracking wordt het doel meestal door de adverteerder vastgesteld. Hoe dat in technisch en organisatorisch opzicht gebeurt, wordt door ons bepaald. Dit betekent dus dat het affiliate netwerk en de adverteerder samen de gegevenscontroller zijn en aan dezelfde verplichtingen moeten voldoen. Deze veranderde verhouding moet wel terugkomen in de samenwerkingsovereenkomsten, zodat je zeker weet dat beide partijen zich aan de regels houden. Voor de wet zijn beide partijen schuldig als data incorrect worden verwerkt, ook als een van de partners wél GDPR-compliant is.

Een veelvoorkomende vraag die door publishers aan ons gesteld wordt, is of de GPDR ook voor hen geldt. De nieuwe wetgeving heeft betrekking op zoveel vormen van data dat de kans bijzonder groot is dat elke ondernemer, groot of klein, op enige wijze te maken heeft met de GDPR. Het betreft niet alleen digitale, maar ook fysieke data. Wij raden dus ook iedereen aan om goed te kijken naar alles wat je ontvangt en of deze informatie benodigd is om je kerntaak te kunnen blijven uitoefenen.

Wat een publisher moet doen om compliant met de GDPR te zijn hangt dan ook af van de data die deze publisher ontvangt. Vanzelfsprekend is dit anders bij een cashback-website met een ledenbestand dan bij een blogger. Het is in ieder geval van belang dat je als bedrijf ervoor zorgt dat je inzichtelijk hebt of en welke persoonlijke data je binnenkrijgt en dat je hier duidelijk over communiceert. Een eerste stap hierin is bijvoorbeeld het kritisch doorlichten van de cookiestatement en websitevoorwaarden. Bij twijfel raden we aan om juridisch advies in te winnen, zodat je zeker weet dat je klaar bent voor 25 mei aanstaande.

Meer weten? Je kunt hier meer informatie vinden over de positie en ondersteuning van affiliate netwerken ten aanzien van de GDPR. En luister ook naar onze podcast ‘Eerlijk is het nieuwe stiekem’ waarin experts Christof Coenders (Euroclix) en Harmke Lankhorst (SOLV)  ingaan op de kansen en gevolgen van de GDPR voor de online markt.