De impact op Digital Marketing & Analytics

1. 1
DE IMPACT OP DIGITAL MARKETING
& ANALYTICS
WHAT’S NEXT IN... GDPR:

2. 2
PROGRAMMA WHAT’S NEXT IN… GDPR
13.30 – 14.00u
14.00 – 14.05u Welkom
Maurits van Slobbe, Traffic Builders
14.05 – 14.45u AVG – Toestemming & Informatie
Mr. Dries Lawrence, ICT Recht
14.45 – 15.25u Impact GDPR/AVG op Digital Marketing
Wolter Tjeenk Willink, Traffic Builders
15.25 – 15.40u Break
15.40 – 16.10u Maak je website GDPR-proof
Felipe Wesbonk, Traffic Builders
16.10 – 17.00u Afsluiting & borrel

3. AVG -
Toestemming &
informatie
Dinsdag 10 april 2018
mr. Dries Lawrence ICTRecht

4. PROGRAMMA
• Persoonsgegevens;
• Verwerkingen van persoonsgegevens;
• Partijen & Rolverdeling;
• Privacybeginselen;
• Toestemming & informatieplicht;
• vragen?
30 min.

5. PERSOONSGEGEVENS
• Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke
persoon.
• Direct herleidbaar;
• Indirect herleidbaar;
• Mogelijkheid tot herleiding.
• uitbreiding persoonsgegevens: IP-adressen, MAC- adressen, cookie
ID’s, browserinformatie, Geolocatie etc.

6. BIJZONDERE PERSOONSGEGEVENS
• Godsdienst/levensovertuiging
• Ras
• Politieke gezindheid
• seksuele leven
• lidmaatschap van een vakvereniging
• strafrechtelijke gegevens
• Genetische gegevens
• Biometrische gegevens
• Gezondheid (zowel fysiek als
geestelijk)

7. PARTIJEN & ROLVERDELING
Verwerkt
uitsluitend in
opdracht van
Doel en de
middelen
Betrokkene
Verwerker
Verwerkings-
verantwoordelijke

8. BEGINSELEN INZAKE GEGEVENSVERWERKING
• Rechtmatig, behoorlijk en transparant;
• Doelbinding/doelbeperking;
• Dataminimalisatie;
• Accuraat en relevant;
• Niet langer dan nodig bewaren;
• Afdoende beveiligd;
• Verwerkingsverantwoordelijke
draagt verantwoordelijkheid voor
bovenstaande.

9. TOESTEMMING
Wbp
“elke vrije, specifieke en op informatie
berustende wilsuiting waarmee de
betrokkene aanvaardt dat hem
betreffende persoonsgegevens worden
verwerkt”
AVG
“elke vrije, specifieke,
geïnformeerde en
ondubbelzinnige wilsuiting
waarmee de betrokkene door
middel van een verklaring of een
ondubbelzinnige actieve
handeling hem betreffende
verwerking van
persoonsgegevens aanvaardt”

10. 1) VRIJE WIL
• toestemming geen voorwaarde voor
dienstverlening;
• Bye Bye cookiewall.

11. 2) SPECIFIEK
• waarvoor wordt toestemming gegeven?
• Doelbinding (Apart vragen indien ook
ander onderwerp gevraagd wordt);
• Redelijke verwachting;
• Noodzakelijk.
wie Waar-
over
kanaal Hoe
vaak

12. 3) GEINFORMEERD
privacy- en cookieverklaring;
• Toegankelijk & zichtbaar;
• Helder & begrijpelijk;
• Identiteit en Contactgegevens;
• Verzameling en Gebruik;
• Doeleinde;
• Bewaartermijnen;
• Beveiliging;
• Verstrekking aan derden;
• Rechten van de betrokkene;
• (voorafgaand aan toestemming).

13. 4) ACTIEVE HANDELING
• opt-in;
• Verder klikken;
• lege checkbox;

14. MAAR…. NIET ALLEEN DAT…
• Bewijslast bij verwerkingsverantwoordelijke;
• Altijd intrekbaar (net zo eenvoudig als geven);
• Telecommunicatiewet (spamverbod);
• E-privacyverordening (Commissievoorstel).

15. SPAMVERBOD
• Voor iedere e-mail opt-in nodig, tenzij uitzondering bestaande klantrelatie
Opt-out, bestaande klantrelatie:
• Verkoop (€) product/dienst;
• Eigen producten/diensten en aanbiedingen;
• Gelijksoortige producten/diensten;
• Opt-out & informatieplicht;
• Afmeldmogelijkheid.

16. E-PRIVACYVERORDENING

17. TOESTEMMING IN DE PRAKTIJK
“Op onze website maken wij, en derde partijen, gebruik van cookies. Dit, om de diverse
functionaliteiten op deze website mogelijk te maken, om het advertentieaanbod voor u te verbeteren
en om inzicht te verkrijgen in het bezoekersgedrag op onze website. Door op de ‘ik ga akkoord’ button
te klikken, gaat u akkoord met het plaatsen van deze cookies zoals omschreven in onze
cookieverklaring (link naar de cookieverklaring).”

18. TOESTEMMING IN DE PRAKTIJK
Voor meer informatie hierover, zie onze privacy- en cookieverklaring

19. D.LAWRENCE@ICTRECHT.NL / 020 – 663 1941

20. 20
IMPACT VAN AVG OP DIGITAL MARKETING
WHAT’S NEXT IN… GDPR

21. 21
PROGRAMMA
Belangrijkste uitgangspunten GDPR/AVG
In de praktijk: GDPR/AVG &…
… Google AdWords
… Display advertising
… Social media advertising
… E-mail marketing
… Conversie-optimalisatie
Praktisch stappenplan

22. 22
BELANGRIJKSTE UITGANGSPUNTEN AVG & ePRIVACY-VERORDENING
3 Rollen
Subject/Betrokkene
Natuurlijk persoon van wie persoonsgegevens worden verwerkt.
Bijv. de bezoekers, prospects en klanten van je eigen organisatie.
Controller/Verantwoordelijke
(Rechts)persoon die doel en middelen van gegevensverwerking bepaalt
Bijv. je eigen organisatie
Processor/Verwerker
(Rechts)persoon die ten behoeve van Verantwoordelijke persoonsgegevens verwerkt
Bijv. Traffic Builders, maar ook Google, Optimizely, Hotjar, etc.

23. 23
BELANGRIJKSTE UITGANGSPUNTEN AVG & ePRIVACY-VERORDENING
Opdrachtgever/Adverteerder
(Verantwoordelijke)
Bezoekers/Leads/Klanten/Sollicitanten
(Betrokkenen)
Ad&tech.&partners
(Verwerkers)
Freelancers

24. 24
BELANGRIJKSTE UITGANGSPUNTEN AVG & EPRIVACY-VERORDENING
Stel jezelf voortdurend de vraag:
Wie verzamelt (Verantwoordelijke of Verwerker)?
Welke (persoons)gegevens?
Van Welke betrokkenen?
Voor Welk doeleinde
En is daar toestemming voor gegeven (of andere wettelijke grondslag)

25. 25
BELANGRIJKSTE UITGANGSPUNTEN AVG & ePRIVACY-VERORDENING
Definitie van persoonsgegevens aangescherpt/uitgebreid
“Alle informatie over een geïdentificeerde of identificeerbare (direct of indirect)
natuurlijke persoon”. “…”.
Bijvoorbeeld:
Namen
(Email) adressen
Telefoonnummers
Etc.

26. 26
BELANGRIJKSTE UITGANGSPUNTEN AVG & ePRIVACY-VERORDENING
Definitie van persoonsgegevens aangescherpt/uitgebreid
“Alle informatie over een geïdentificeerde of identificeerbare (direct of indirect)
natuurlijke persoon”. “…”.
Nu ook:
IP-adressen
MAC-adressen
(Geo)locatiegegevens
Interesseprofielen
RFID-tags
CookieID’s
Order/ConversieID
Etc.

27. 27
BELANGRIJKSTE UITGANGSPUNTEN AVG & ePRIVACY-VERORDENING
#1. Definitie van persoonsgegevens aangescherpt
Persoonsgegevens
Geïdentificeerd of
identificeerbaar persoon
 NAW
 Telefoonnummer
 IP-adres
 MAC-adres (device ID)
 Geboortedatum
 Locatiegegevens
Pseudo-anonieme data
Niet direct herleidbaar zonder
aanvullende informatie, wel
individualiseerbaar
 Hashed e-mail adres
 GebruikersID
 Klantnummer
 Order- of leadID
Maar ook: tracking scripts
Anonieme data
Buiten scope AVG

28. 28
IMPACT OP DIGITAL MARKETING EN JOUW
DAGELIJKSE PRAKTIJK
WHAT’S NEXT IN… GDPR

29. 29
IMPACT GDPR/AVG OP DIGITAL MARKETING
6 Niveaus van impact
1. Geen impact
2. Anonimisering
3. Opt-out
4. Opt-in vereist, duidelijke toegevoegde waarde voor betrokkene (+/+)
5. Opt-in vereist, geen of beperkte toegevoegde waarde voor betrokkene (+/-)
6. Opt-in vereist, geen directe mogelijkheid tot verkrijging toestemming (+/-)

30. 30
IMPACT GDPR/AVG OP DIGITAL MARKETING
6 Niveaus van impact
Voorbeeld Toelichting Niveau van impact
Anonieme data Geen persoonsgegevens of pseudo-anonieme gegevens. 1. Geen impact
Functionele cookies, bijv. t.b.v. online
tool/functionaliteit
Geen afhankelijkheid van persoonsgegevens, gegevens
anonimiseerbaar.
2. Anonimisering
Analytische cookies, A/B testing cookies Profilering voor analyse of personalisatie, opt-out vereist. 3. Opt-out
Nieuwsbrief, MijnOmgeving, App Opt-in vereist, maar met duidelijke toegevoegde waarde
betrokkene.
4. Opt-in +/+
Retargeting, interest profiling, similar
audience targeting
Opt-in vereist, maar beperkte toegevoegde waard
betrokkene.
5. Opt-in +/-
3rd party data (o.a. Display Advertising) Opt-in vereist, maar geen mogelijkheid om toestemming te
verkrijgen.
6. Opt-in -/-

31. 32
IMPACT GDPR/AVG OP DIGITAL MARKETING – GOOGLE ADWORDS
Targeting opties Google AdWords (Search Network)
1. Keyword targeting
2. Location & language targeting
3. Device targeting
4. Audience targeting (incl. remarketing)
5. Customer Match
Vragen
Wat is het impactniveau?
Wie is Verantwoordelijke en wie is Verwerker?
Impact: 2. Anonimisering | Verantw.: Google
Impact: 3. Opt-out | Verantw.: Google
Impact: 3. Opt-out | Verantw.: Google
Impact: 5. Opt-in | Verantw.: Google
Impact: 5. Opt-in| Verantw.: Google/Adverteerder

32. 33
IMPACT GDPR/AVG OP DIGITAL MARKETING – GOOGLE ADWORDS
Targeting opties Google AdWords (Display Network)
1. Keyword / Location & language / Device / Audience / Customer match
2. Topic/Contextual targeting
3. Placement targeting
Vragen
Wat is het impactniveau?
Wie is Verantwoordelijke en wie is Verwerker?
Impact: 1. Geen impact | Verantw.: Google
Impact: 1. Geen impact | Verantw.: Google

33. 34
IMPACT GDPR/AVG OP DIGITAL MARKETING – DISPLAY & SOCIAL ADVERTISING
Targeting opties Display & Social Advertising, o.a.
1. Whitelists / DealID’s
2. Audience: interest / (custom) affinity
3. Audience: In-market
4. Audience: Customer Match
5. 3rd party data targeting
Vragen
Wat is het impactniveau?
Wie is Verantwoordelijke en wie is Verwerker?
Impact: 1. Geen impact | Verantw.: Google
Impact: 3. Opt-out | Verantw.: Ad platform/Publisher
Impact: 5. Opt-in | Verantw.: Ad Platform/Adverteerder
Impact: 5. Opt-in | Verantw.: Ad Platform/Adverteerder
Impact: 6. Opt-in | Verantw.: Adverteerder/Data provider

34. 35
IMPACT GDPR/AVG OP DIGITAL MARKETING – E-MAIL MARKETING
2 Scenario’s
1. Eigen mailing list (bijv. nieuwsbriefleden, leads, klanten, etc.)
2. Aangekochte mailing list (2nd of 3rd party data)
Belangrijkste aandachtspunten
Toestemming (opt-in & opt-out)
Doelmatigheid
Bewaartermijn

35. 36
IMPACT GDPR/AVG OP DIGITAL MARKETING – CONVERSIE-OPTIMALISATIE
2 Scenario’s
1. A/B & multivariate testing
2. Personalisatie / On-site behavioral targeting
Belangrijkste aandachtspunten
Compliancy van tools (Verwerkers)
Compliancy van testvariaties (bijv. m.b.t. formulieren)
Toestemming (opt-in/opt-out) t.b.v. profilering

36. 37
PRAKTISCH STAPPENPLAN
WHAT’S NEXT IN… GDPR

37. 38
IMPACT GDPR/AVG OP DIGITAL MARKETING – PRAKTISCH STAPPENPLAN
To do #1: inventariseer
Breng in kaart:
Welke data je verzamelt
Van wie (typen “betrokkenen”, bijv. bezoekers, klanten)
Met welk specifiek doel
Via welke tooling of partner (“Verwerker”)

38. 39
IMPACT GDPR/AVG OP DIGITAL MARKETING
To do #2: documenteer
Leg vast:
Als “Verantwoordelijke”: leg een register aan (bijv. cookiebot, DMP)
Met “Verwerkers”: verwerkersovereenkomst o.a. leveranciers, Google (Analytics)
Voor “betrokkenen”:
update je privacy & cookie statements
update evt. overeenkomsten of algemene voorwaarden (i.v.m. gebruik gegevens
voor advertentiedoeleinden m.b.t. customer match/similar audience targeting)

39. 40
IMPACT GDPR/AVG OP DIGITAL MARKETING
To do #3: databeveiliging & analytics
Ga over op HTTPS: gegevens verzenden zonder beveiliging is verboden
Ook voor nieuwbrieven, offerteformulieren, etc.!
Zorg voor versleutelde en beveiligde opslag van persoonsgegevens
Zorg voor opt-in via cookiebar en mogelijkheid tot wijziging voorkeuren
Implementeer alle (tracking) scripts via (Google) Tag Manager (ook de
cookiebar)
Anonimiseer gegevensverwerking in tools als Google Analytics, HotJar, etc.
Implementeer een “4-ogen” deployment proces voor CRO & Analytics

40. 41
IMPACT GDPR/AVG OP DIGITAL MARKETING
To do #4: online advertising
Zorg voor ondubbelzinnige toestemming in het privacy statement voor:
Remarketing (incl. RLSA)
Delen van gegevens van betrokkenen met advertentieplatformen als Google en
Facebook (i.v.m. customer match, similar audiences)
Alle tracking en conversiescripts van o.a. Google AdWords, Facebook, e.d.
Maak na 25 mei 2018 gebruik van 1st en 2nd party data voor Display Advertising

41. 42
IMPACT GDPR/AVG OP DIGITAL MARKETING
To do #5: e-mail marketing
Ontvlecht mailinglijsten o.b.v. doelgroep en doelmatigheid
Biedt naast opt-out ook volledige verwijdering van gegevens
Verzamel niet meer profielinformatie dan vereist voor het doel

42. 43
IMPACT GDPR/AVG OP DIGITAL MARKETING
To do #5: neem de lead als digital marketeer
Teamup met privacy verantwoordelijke
Voorkom “lock-down” uit onwetendheid

43. 44
BREAK
ALGEMENE VERORDENING GEGEVENSBESCHERMING

44. 45
AANPASSINGEN IN GOOGLE ANALYTICS, GTM
EN OP DE WEBSITE
WHAT’S NEXT IN… GDPR

45. 46
AANPASSINGEN IN GOOGLE ANALYTICS EN GTM
WHAT’S NEXT IN… GDPR

46. 47
GA ACCOUNT-NIVEAU: GEEN GEGEVENS DELEN MET GOOGLE  VINKJES UIT

47. 48
GA ACCOUNT-NIVEAU: VERWERKERSOVEREENKOMST
Verwerkersovereenkomst met Google afsluiten;
Eerder al afgesloten, dan nu het geüpdatet amendement accepteren

48. 49
GEEF ALLEEN TOEGANG TOT JE DATA AAN BEPERKT AANTAL PERSONEN

49. 50
GA OP PROPERTY-NIVEAU: ADVERTENTIEFUNCTIES UITZETTEN
Gegevens voor remarketing uitschakelen;
Rapportagefuncties voor advertenties uitschakelen;
Nadeel: geen rapporten meer met gegevens over leeftijd, geslacht en interessecategorieën van
bezoekers

50. 51
VOORKOM REGISTRATIE VOLLEDIGE IP-ADRES
Aanpassen in GTM
IP-adres is een persoonsgegeven;
Functie anonymizeIP zorgt ervoor dat laatste 3 karakters niet worden doorgegeven.

51. 52
GEVOLG VAN ANONIMISEREN VAN IP-ADRESSEN
In je weergave werkt het filter uitsluiten IP-adressen niet meer;
Gevolg: dit verkeer (bijv. van eigen kantoor en webbouwer) zie je weer terug in je
data, terwijl je dit niet wilt.

52. 53
INTERN VERKEER UITSLUITEN OP BASIS VAN REMOTE IP
Oplossing via datalayer en GTM:
Variabele in datalayer IP-adres opvangen;
Met aangepaste javascript macro en lookup-table vertaalslag maken wel/niet intern
IP-adres;
Vervolgens gebruik je deze dimensie in een filter om deze IP-adressen uit te sluiten

53. 54
SSL GEBRUIKEN VOOR HET GA-COOKIE
Aanpassing in GTM:
In Analytics-Tag bij ‘Meer Instellingen’ veldnaam forceSSL op true zetten

54. 55
HTTPS: BETER VOOR HELE WEBSITE!
Vraag je om persoonsgegevens? Zorg voor beveiligde verbinding (HTTPS);
HTTPS sinds 2014 een rankingsignaal voor Google;
Nog migreren naar HTTPS? Traffic Builders helpt je graag met analytics en SEO.

55. 56
AANPASSINGEN WEBSITE,
COOKIEBAR & PRIVACY STATEMENT
WHAT’S NEXT IN… GDPR

56. 57
COOKIES
Functionele cookies
Analytics cookies
Marketing cookies en
voorkeuren cookies
geen toestemming nodig
geen toestemming nodig, mits privacy-
vriendelijk ingesteld, geen remarketing, etc.
WEL toestemming nodig, deze worden
geplaatst om bezoekers te tracken en
informatie over websitegedrag te verzamelen

57. 58
GROOTSTE VERANDERINGEN T.A.V. COOKIE-CONSENT
Verkrijgen van expliciete toestemming voordat cookies geplaatst
worden;
Keuzevakjes type cookies mogen NIET aangevinkt staan;
Website moet toegankelijk zijn gedurende de consent keuze;
Toestemming makkelijk aanpassen/verwijderen;
Registratie toestemming moet aangetoond worden

58. 59
IN DE COOKIEBAR MOET STAAN
Dat je cookies gebruikt
en met welk doel;
Welke categorieën;
Dat men akkoord moet
gaan met het plaatsen
van cookies;
Link naar privacy
statement

59. 60
COOKIE VERKLARING/STATEMENT
Onderscheid in soorten cookies:
noodzakelijk
voorkeuren
statistische
marketing
Per cookie aangeven: naam, door wie geplaatst, doel, vervaldatum en type

60. 61
GEVOLG WIJZIGING COOKIES
Wijziging in cookie
Nieuwe cookies
Verwijderen cookies
Aanpassen
cookieverklaring!
Oplossing: gebruik de tool cookiebot (cookiebot.com)

61. 62
PRIVACY STATEMENT
Bewaartermijn van data;
Vermelding met wie data gedeeld wordt en je een verwerkersovereenkomst hebt;
Gegevens worden versleuteld en anoniem verwerkt;
Of profilering plaats vindt en met welke tools;
Beschrijving cookies;
Met welk doel data verzameld wordt;
Recht tot inzage, wijziging, verwijdering of overdracht gegevens;
Mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens;
Bedrijfsgegevens, naam contactpersoon privacy officer;
Eenvoudig taalgebruik!

62. 63
PRIVACY STATEMENT OP SITE TRAFFIC-BUILDERS
https://www.traffic-builders.com/privacy-statement-disclaimer/

63. 64https://www.traffic-builders.com/tag/avg-gdpr/

64. 65
LAAT TRAFFIC BUILDERS JE HELPEN
WIL JE ZEKER WETEN DAT JE KLAAR BENT VOOR DE AVG?
GDPR/AVG Quickscan
Inrichting GTM, Analytics en cookiebar
Periodieke analyse & controle

65. 66
DANK VOOR JE KOMST!
WHAT’S NEXT IN… GDPR

66. 67
LAAT TRAFFIC BUILDERS JE HELPEN
WIL JE ZEKER WETEN DAT JE KLAAR BENT VOOR DE AVG?
GDPR/AVG Quickscan
Inrichting GTM, Analytics en cookiebar
Periodieke analyse & controle