Waarom je met Conversions API (CAPI) aan de slag moet

Conversions API biedt aanzienlijke voordelen ten opzichten van pixels, waarvan de toekomst sowieso niet zeker is. Een belangrijk punt is dat Conversions API de mogelijkheid biedt om privacyvriendelijker te werken.

Pixels zijn een onmisbaar onderdeel van onze social mediastrategieën geworden, maar vanwege privacy is de toekomst van de pixel  niet langer zeker. Gelukkig is er een alternatief: Conversions API (hierna CAPI). CAPI is een server-to-server-integratie waarmee gegevens van een bedrijf kunnen worden verzonden naar verschillende socialemediaplatformen, zoals Meta, Pinterest of Snapchat.

Toch roept CAPI weerstand op. Volgt het wel alle privacywetgeving? Delen we niet te veel met social platformen? Hoe verzenden we de data op een veilige manier? We weten echter dat de CAPI is ontworpen om aan de privacywetgeving te voldoen. De gegevens worden versleuteld (hashing) voordat ze worden verzonden. Bovendien worden gegevens via CAPI niet opgeslagen op de apparaten van gebruikers. Kortom: redenen waarom je met CAPI aan de slag moet.

Uit privacy-overwegingen

Inzetten van CAPI geeft je meer invloed op welke data van gebruikers je deelt. In de huidige set-up van de pixel worden veel parameters direct doorgeschoten naar het socialemediaplatform, waarmee een match kan worden gemaakt tussen de gebruiker bij de adverteerder en diezelfde gebruiker op het socialemediaplatform.

De diverse parameters hebben een verschillende invloed op de mate waarop deze match kan worden gemaakt. Niet elke parameter is daarbij altijd van even groot belang en dit verschilt ook per adverteerder. Per adverteerder zijn er verschillende parameters beschikbaar en niet iedere adverteerder verzamelt dezelfde parameters van de gebruikers. Ook is niet voor iedere adverteerder de hoeveelheid vergaarde parameters gelijk. Veel platformen maken inzichtelijk in welke mate de geïmplementeerde parameters bijdragen aan het matchen van de gebruiker. Naast het feit dat elke adverteerder in een andere mate persoonsgegevens bezit van de gebruiker, is ook de achtergrond van de adverteerder belangrijk in het afwegen van het gewicht van de parameters. Een adverteerder die zich in de medische vertical bevindt zal andere waardes toekennen dan een adverteerder die in de mode e-commerce zit.

Met CAPI kun je per parameter (per adverteerder) de afweging te maken of je deze deelt met Meta, Pinterest of Snapchat. Dit geeft de adverteerder directe controle over de persoonsgegevens en de privacy-afwegingen die daarin gemaakt zijn. Maakt de adverteerder geen andere keuzes dan in de situatie vóór implementatie van CAPI (en blijft hij alle beschikbare parameters delen), dan is de oplossing niet privacyvriendelijker, maar maak je als adverteerder wel degelijke actieve keuzes en handel je daarnaar, dan is CAPI een privacyvriendelijkere oplossing dan de pixel.

Omdat third-party cookies écht gaan verdwijnen

Al vanaf 2010 gaan er geluiden op om third-party cookies te gaan verbieden. De laatste jaren klinken die geluiden vanuit de industrie zelf ook steeds luider. Dit komt grotendeels voort uit de groeiende zorgen bij het grote publiek over hun privacy in relatie tot grote techpartijen. Op dit moment is Google Chrome de grootste browser, en heeft Google de uitfasering al enkele keren uitgesteld. De laatste stand van zaken is dat Google begin 2024 echt begint met de uitfasering.

Naast deze beweging vanuit de industrie zelf worden er door beleidsmakers en privacyvoorvechters vraagtekens gezet bij de huidige opzet van trackingpixels. Druk vanuit deze hoek kan de uitfasering versnellen en de overgang naar server-to-server-oplossingen in een stroomversnelling brengen. Door dit uitfaseren behoort ook automatisch het gebruik van pixels tot het verleden. Vanaf dat moment is het dus niet meer mogelijk om via een andere manier dan via CAPI gebruikers te identificeren. Dit heeft direct invloed op retargeting-tactieken, die niet meer mogelijk zullen zijn. Maar ook bij campagnes die gericht zijn op conversies zullen de resultaten verminderen. Conversies kunnen dan namelijk niet meer gemeten worden. Daarnaast zal rapportage enkel nog op in-platform metrics mogelijk zijn, waardoor ROAS niet meer (direct) te herleiden is.

Niet alleen op socialemediaplatformen heeft het uitfaseren van third-party cookies veel invloed. Ook andere kanalen zullen hierdoor veranderingen ondergaan. Op deze andere platformen is nog geen andere vorm van tracking ontwikkeld, waardoor het implementeren van CAPI initieel tijd kan vergen. Mocht er op deze platformen echter een vergelijkbare oplossing worden uitgerold, dan is het alleen maar voordelig als je CAPI al hebt geïmplementeerd.

CAPI zo privacyvriendelijk mogelijk gebruiken

Zoals gezegd kán CAPI privacyvriendelijker zijn dan de pixel, als je als adverteerder de juiste stappen neemt. De AVG is hierbij van toepassing, omdat er bij CAPI sprake is van het verzamelen en verwerken van persoonsgegevens. Persoonsgegevens zijn alle gegevens (of parameters/attributen) die zijn te herleiden tot een individu.

Zijn de met het socialemediaplatform gedeelde parameters door een adverteerder ook altijd persoonsgegevens? Hierover kun je discussiëren, maar de lat ligt in de praktijk laag. Uit recente uitspraken van toezichthouders blijkt dat online ID’s (cookies, IP-adressen) of zelfs de combinatie van verschillende parameters al snel als persoonsgegeven worden opgevat. Dat zal in het geval van CAPI dus ook het geval zijn.

Sommige data kunnen gehasht worden aangeleverd. Dat is een privacybevorderende ontwikkeling, maar het is een misvatting dat het hashen van data (direct) betekent dat je niet meer met persoonsgegevens werkt. Wel is het hashen positief voor het beveiligen van de gegevens en daarmee de privacy van de klant en socialemediagebruiker. De volgende stappen helpen je daarnaast om de privacy van beschermers nog beter in acht te nemen en CAPI écht tot een privacyvriendelijk alternatief te maken:

• Minimaliseer de parameters die je deelt (“dataminimalisatie”)
• Bepaal de databron(nen) van de parameters
• Werk je privacyverklaring bij: informeer de gebruikers van je website of app en je klanten
• Houd de juridische ontwikkelingen over datadoorgifte in de gaten

Privacyvriendelijke stappen

Minimaliseer de parameters die je deelt (“dataminimalisatie”). Het startpunt is het bepalen van het doel voor het gebruik van de CAPI. Dit kan per adverteerder verschillen. Denk hierbij aan het matchen van klant-ID’s, metingen, analyse of targeting van advertenties. Deel alleen de gegevens die noodzakelijk zijn om dit specifieke doel te bereiken.

Daarnaast is de bron van de parameters van belang: bepaal de databron(nen) van de parameters. De gegevens kunnen (net als bij de pixel overigens) afkomstig zijn uit verschillende databronnen, waar ook weer specifieke regels voor kunnen gelden. We lichten er hieronder drie uit.

1. Cookiedata
   Gegevens die iets zeggen over het gebruik van een website of app (bijvoorbeeld een Facebook-ID, mobiele-advertentie-ID, IP-adres, browser- en besturingssysteem). Controleer  je cookiebanner voor het delen van website- en appgegevens. Het is goed om te realiseren dat de cookieregels niet alleen van toepassing zijn op ‘cookies’, maar ook vergelijkbare technieken: alle andere technieken waarmee een organisatie gegevens opslaat op of uitleest uit iemands computer of smartphone. De CAPI is een voorbeeld van een techniek die vergelijkbaar is met cookies. De cookieregels vereisen dus toestemming, tenzij de CAPI technisch noodzakelijk is of voor het verzamelen van statistieken wordt ingezet. Dit betekent dat het cookiebeleid en de -banner van een organisatie up-to-date moet zijn. Het komt daarbij nogal eens voor dat cookies toch al geplaatst worden voordat de gebruiker de cookies heeft geaccepteerd. Let daar ook op.
2. Gehashte klantgegevens
   Deze komen bijvoorbeeld uit een CRM (bijvoorbeeld naam, adres, e-mail). En let op het delen van klantgegevens voor matching. Op het delen van (CRM-)klantgegevens met Meta zijn de cookieregels niet van toepassing. Het delen van een (gehasht) e-mailadres of telefoonnummer doet een adverteerder ook met een andere reden, namelijk matching. De European Data Protection Board (alle Europese privacytoezichthouders gezamenlijk) geeft aan dat het gerechtvaardigd belang naast expliciete toestemming een geldige grondslag kan zijn. Voor een geslaagd beroep op het gerechtvaardigd belang is een driestapstoets vereist. DDMA heeft voor haar leden een template in de kennisbank beschikbaar gesteld waarmee deze toets relatief eenvoudig kan worden uitgevoerd.
3. Andere bron, bijvoorbeeld een derde partij.

Werk je privacyverklaring bij: informeer de gebruikers van je website of app en je klanten. Het is altijd van belang om klanten, website- en/of appbezoekers te informeren over je activiteiten in connectie met een socialemediaplatform. Dit volgt vaak ook direct ook uit de overeenkomst met het platform. Meta zegt bijvoorbeeld dat de adverteerder gebruikers moet “that Meta Ireland is a Joint Controller of the Joint Processing and that the information required by Article 13(1)(a) and (b) GDPR can be found in Meta Ireland’s Privacy Policy at https://www.facebook.com/about/privacy”. Het privacybeleid van Meta beschrijft onder meer wat het bedrijf doet met de van de adverteerder ontvangen gegevens, maar ook hoe een gebruiker zich kan afmelden voor gebruik van het tonen van gepersonaliseerde advertenties. Zorg ervoor dat je deze informatie ook in je eigen privacyverklaring meeneemt of verwijs naar de privacyverklaring van het platform. Ook moet je altijd een afmeldmogelijkheid geven.

Houd tot slot de juridische ontwikkelingen over datadoorgifte in de gaten. Het gebruik van pixels staat al enige tijd onder druk. Zo speelde recent een besluit van de Oostenrijkse toezichthouders waarin het gebruik van de Facebook-pixel niet bleek toegestaan. De reden hiervoor was dat gegevens naar de Verenigde Staten werden doorgestuurd. Dit betrof echter een specifieke situatie. Het is daarom niet te zeggen of er een verbod is op het gebruik van de pixels van Amerikaanse platformen, en de technieken die zij aanbieden, zoals de CAPI. Het is hoe dan ook verstandig om hier intern een kritische blik te werpen en te overwegen of je data echt moet doorsturen naar een platform. We verwachten dat de discussie over de bescherming van persoonsgegevens in de Verenigde Staten nog wel even zal duren. Verzamel en verwerk daarom alleen de persoonsgegevens die absoluut noodzakelijk zijn en neem extra maatregelen indien nodig.

CAPI onvermijdbaar

Als je sociale media serieus wilt inzetten kun je er eigenlijk niet omheen: Conversions API. Het biedt dezelfde mogelijkheden als de pixel nu biedt met betrekking tot het meten van campagnes over platformen heen, het opbouwen van doelgroepen en personaliseren van advertenties. Daarnaast is CAPI ook privacyvriendelijker dan de pixel, omdat je meer controle hebt over welke gegevens je deelt met Meta, Pinterest of Snapchat. Om die privacybelofte waar te maken, moet je als adverteerder wél actief aan de slag gaan. Mooie kans om je marketingactiviteiten weer een stuk privacyvriendelijker in te richten.

Over de auteurs: Dionne van Dijk is Head of Social Advertising bij Accenture Song en actief binnen de DDMA-commissie Social Media. Ze schreef dit artikel samen met Joris Mulders, Global Paid Social Media Manager bij KLM en lid van de DDMA Commissie Social Media, en Frank de Vries, Sr. Legal counsel bij DDMA.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social media: LinkedIn, Twitter en Facebook.