8. BEGINSELEN INZAKE GEGEVENSVERWERKING
• Rechtmatig, behoorlijk en transparant;
• Doelbinding/doelbeperking;
• Dataminimalisatie;
• Accuraat en relevant;
• Niet langer dan nodig bewaren;
• Afdoende beveiligd;
• Verwerkingsverantwoordelijke
draagt verantwoordelijkheid voor
bovenstaande.
9. TOESTEMMING
Wbp
“elke vrije, specifieke en op informatie
berustende wilsuiting waarmee de
betrokkene aanvaardt dat hem
betreffende persoonsgegevens worden
verwerkt”
AVG
“elke vrije, specifieke,
geïnformeerde en
ondubbelzinnige wilsuiting
waarmee de betrokkene door
middel van een verklaring of een
ondubbelzinnige actieve
handeling hem betreffende
verwerking van
persoonsgegevens aanvaardt”
10. 1) VRIJE WIL
• toestemming geen voorwaarde voor
dienstverlening;
• Bye Bye cookiewall.
11. 2) SPECIFIEK
• waarvoor wordt toestemming gegeven?
• Doelbinding (Apart vragen indien ook
ander onderwerp gevraagd wordt);
• Redelijke verwachting;
• Noodzakelijk.
wie Waar-
over
kanaal Hoe
vaak
12. 3) GEINFORMEERD
privacy- en cookieverklaring;
• Toegankelijk & zichtbaar;
• Helder & begrijpelijk;
• Identiteit en Contactgegevens;
• Verzameling en Gebruik;
• Doeleinde;
• Bewaartermijnen;
• Beveiliging;
• Verstrekking aan derden;
• Rechten van de betrokkene;
• (voorafgaand aan toestemming).
14. MAAR…. NIET ALLEEN DAT…
• Bewijslast bij verwerkingsverantwoordelijke;
• Altijd intrekbaar (net zo eenvoudig als geven);
• Telecommunicatiewet (spamverbod);
• E-privacyverordening (Commissievoorstel).
17. TOESTEMMING IN DE PRAKTIJK
“Op onze website maken wij, en derde partijen, gebruik van cookies. Dit, om de diverse
functionaliteiten op deze website mogelijk te maken, om het advertentieaanbod voor u te verbeteren
en om inzicht te verkrijgen in het bezoekersgedrag op onze website. Door op de ‘ik ga akkoord’ button
te klikken, gaat u akkoord met het plaatsen van deze cookies zoals omschreven in onze
cookieverklaring (link naar de cookieverklaring).”
18. TOESTEMMING IN DE PRAKTIJK
Voor meer informatie hierover, zie onze privacy- en cookieverklaring
22. 22
BELANGRIJKSTE UITGANGSPUNTEN AVG & ePRIVACY-VERORDENING
3 Rollen
Subject/Betrokkene
Natuurlijk persoon van wie persoonsgegevens worden verwerkt.
Bijv. de bezoekers, prospects en klanten van je eigen organisatie.
Controller/Verantwoordelijke
(Rechts)persoon die doel en middelen van gegevensverwerking bepaalt
Bijv. je eigen organisatie
Processor/Verwerker
(Rechts)persoon die ten behoeve van Verantwoordelijke persoonsgegevens verwerkt
Bijv. Traffic Builders, maar ook Google, Optimizely, Hotjar, etc.
24. 24
BELANGRIJKSTE UITGANGSPUNTEN AVG & EPRIVACY-VERORDENING
Stel jezelf voortdurend de vraag:
Wie verzamelt (Verantwoordelijke of Verwerker)?
Welke (persoons)gegevens?
Van Welke betrokkenen?
Voor Welk doeleinde
En is daar toestemming voor gegeven (of andere wettelijke grondslag)
25. 25
BELANGRIJKSTE UITGANGSPUNTEN AVG & ePRIVACY-VERORDENING
Definitie van persoonsgegevens aangescherpt/uitgebreid
“Alle informatie over een geïdentificeerde of identificeerbare (direct of indirect)
natuurlijke persoon”. “…”.
Bijvoorbeeld:
Namen
(Email) adressen
Telefoonnummers
Etc.
26. 26
BELANGRIJKSTE UITGANGSPUNTEN AVG & ePRIVACY-VERORDENING
Definitie van persoonsgegevens aangescherpt/uitgebreid
“Alle informatie over een geïdentificeerde of identificeerbare (direct of indirect)
natuurlijke persoon”. “…”.
Nu ook:
IP-adressen
MAC-adressen
(Geo)locatiegegevens
Interesseprofielen
RFID-tags
CookieID’s
Order/ConversieID
Etc.
27. 27
BELANGRIJKSTE UITGANGSPUNTEN AVG & ePRIVACY-VERORDENING
#1. Definitie van persoonsgegevens aangescherpt
Persoonsgegevens
Geïdentificeerd of
identificeerbaar persoon
NAW
Telefoonnummer
IP-adres
MAC-adres (device ID)
Geboortedatum
Locatiegegevens
Pseudo-anonieme data
Niet direct herleidbaar zonder
aanvullende informatie, wel
individualiseerbaar
Hashed e-mail adres
GebruikersID
Klantnummer
Order- of leadID
Maar ook: tracking scripts
Anonieme data
Buiten scope AVG
29. 29
IMPACT GDPR/AVG OP DIGITAL MARKETING
6 Niveaus van impact
1. Geen impact
2. Anonimisering
3. Opt-out
4. Opt-in vereist, duidelijke toegevoegde waarde voor betrokkene (+/+)
5. Opt-in vereist, geen of beperkte toegevoegde waarde voor betrokkene (+/-)
6. Opt-in vereist, geen directe mogelijkheid tot verkrijging toestemming (+/-)
30. 30
IMPACT GDPR/AVG OP DIGITAL MARKETING
6 Niveaus van impact
Voorbeeld Toelichting Niveau van impact
Anonieme data Geen persoonsgegevens of pseudo-anonieme gegevens. 1. Geen impact
Functionele cookies, bijv. t.b.v. online
tool/functionaliteit
Geen afhankelijkheid van persoonsgegevens, gegevens
anonimiseerbaar.
2. Anonimisering
Analytische cookies, A/B testing cookies Profilering voor analyse of personalisatie, opt-out vereist. 3. Opt-out
Nieuwsbrief, MijnOmgeving, App Opt-in vereist, maar met duidelijke toegevoegde waarde
betrokkene.
4. Opt-in +/+
Retargeting, interest profiling, similar
audience targeting
Opt-in vereist, maar beperkte toegevoegde waard
betrokkene.
5. Opt-in +/-
3rd party data (o.a. Display Advertising) Opt-in vereist, maar geen mogelijkheid om toestemming te
verkrijgen.
6. Opt-in -/-
31. 32
IMPACT GDPR/AVG OP DIGITAL MARKETING – GOOGLE ADWORDS
Targeting opties Google AdWords (Search Network)
1. Keyword targeting
2. Location & language targeting
3. Device targeting
4. Audience targeting (incl. remarketing)
5. Customer Match
Vragen
Wat is het impactniveau?
Wie is Verantwoordelijke en wie is Verwerker?
Impact: 2. Anonimisering | Verantw.: Google
Impact: 3. Opt-out | Verantw.: Google
Impact: 3. Opt-out | Verantw.: Google
Impact: 5. Opt-in | Verantw.: Google
Impact: 5. Opt-in| Verantw.: Google/Adverteerder
32. 33
IMPACT GDPR/AVG OP DIGITAL MARKETING – GOOGLE ADWORDS
Targeting opties Google AdWords (Display Network)
1. Keyword / Location & language / Device / Audience / Customer match
2. Topic/Contextual targeting
3. Placement targeting
Vragen
Wat is het impactniveau?
Wie is Verantwoordelijke en wie is Verwerker?
Impact: 1. Geen impact | Verantw.: Google
Impact: 1. Geen impact | Verantw.: Google
33. 34
IMPACT GDPR/AVG OP DIGITAL MARKETING – DISPLAY & SOCIAL ADVERTISING
Targeting opties Display & Social Advertising, o.a.
1. Whitelists / DealID’s
2. Audience: interest / (custom) affinity
3. Audience: In-market
4. Audience: Customer Match
5. 3rd party data targeting
Vragen
Wat is het impactniveau?
Wie is Verantwoordelijke en wie is Verwerker?
Impact: 1. Geen impact | Verantw.: Google
Impact: 3. Opt-out | Verantw.: Ad platform/Publisher
Impact: 5. Opt-in | Verantw.: Ad Platform/Adverteerder
Impact: 5. Opt-in | Verantw.: Ad Platform/Adverteerder
Impact: 6. Opt-in | Verantw.: Adverteerder/Data provider
34. 35
IMPACT GDPR/AVG OP DIGITAL MARKETING – E-MAIL MARKETING
2 Scenario’s
1. Eigen mailing list (bijv. nieuwsbriefleden, leads, klanten, etc.)
2. Aangekochte mailing list (2nd of 3rd party data)
Belangrijkste aandachtspunten
Toestemming (opt-in & opt-out)
Doelmatigheid
Bewaartermijn
35. 36
IMPACT GDPR/AVG OP DIGITAL MARKETING – CONVERSIE-OPTIMALISATIE
2 Scenario’s
1. A/B & multivariate testing
2. Personalisatie / On-site behavioral targeting
Belangrijkste aandachtspunten
Compliancy van tools (Verwerkers)
Compliancy van testvariaties (bijv. m.b.t. formulieren)
Toestemming (opt-in/opt-out) t.b.v. profilering
37. 38
IMPACT GDPR/AVG OP DIGITAL MARKETING – PRAKTISCH STAPPENPLAN
To do #1: inventariseer
Breng in kaart:
Welke data je verzamelt
Van wie (typen “betrokkenen”, bijv. bezoekers, klanten)
Met welk specifiek doel
Via welke tooling of partner (“Verwerker”)
38. 39
IMPACT GDPR/AVG OP DIGITAL MARKETING
To do #2: documenteer
Leg vast:
Als “Verantwoordelijke”: leg een register aan (bijv. cookiebot, DMP)
Met “Verwerkers”: verwerkersovereenkomst o.a. leveranciers, Google (Analytics)
Voor “betrokkenen”:
update je privacy & cookie statements
update evt. overeenkomsten of algemene voorwaarden (i.v.m. gebruik gegevens
voor advertentiedoeleinden m.b.t. customer match/similar audience targeting)
39. 40
IMPACT GDPR/AVG OP DIGITAL MARKETING
To do #3: databeveiliging & analytics
Ga over op HTTPS: gegevens verzenden zonder beveiliging is verboden
Ook voor nieuwbrieven, offerteformulieren, etc.!
Zorg voor versleutelde en beveiligde opslag van persoonsgegevens
Zorg voor opt-in via cookiebar en mogelijkheid tot wijziging voorkeuren
Implementeer alle (tracking) scripts via (Google) Tag Manager (ook de
cookiebar)
Anonimiseer gegevensverwerking in tools als Google Analytics, HotJar, etc.
Implementeer een “4-ogen” deployment proces voor CRO & Analytics
40. 41
IMPACT GDPR/AVG OP DIGITAL MARKETING
To do #4: online advertising
Zorg voor ondubbelzinnige toestemming in het privacy statement voor:
Remarketing (incl. RLSA)
Delen van gegevens van betrokkenen met advertentieplatformen als Google en
Facebook (i.v.m. customer match, similar audiences)
Alle tracking en conversiescripts van o.a. Google AdWords, Facebook, e.d.
Maak na 25 mei 2018 gebruik van 1st en 2nd party data voor Display Advertising
41. 42
IMPACT GDPR/AVG OP DIGITAL MARKETING
To do #5: e-mail marketing
Ontvlecht mailinglijsten o.b.v. doelgroep en doelmatigheid
Biedt naast opt-out ook volledige verwijdering van gegevens
Verzamel niet meer profielinformatie dan vereist voor het doel
42. 43
IMPACT GDPR/AVG OP DIGITAL MARKETING
To do #5: neem de lead als digital marketeer
Teamup met privacy verantwoordelijke
Voorkom “lock-down” uit onwetendheid
49. 50
GA OP PROPERTY-NIVEAU: ADVERTENTIEFUNCTIES UITZETTEN
Gegevens voor remarketing uitschakelen;
Rapportagefuncties voor advertenties uitschakelen;
Nadeel: geen rapporten meer met gegevens over leeftijd, geslacht en interessecategorieën van
bezoekers
50. 51
VOORKOM REGISTRATIE VOLLEDIGE IP-ADRES
Aanpassen in GTM
IP-adres is een persoonsgegeven;
Functie anonymizeIP zorgt ervoor dat laatste 3 karakters niet worden doorgegeven.
51. 52
GEVOLG VAN ANONIMISEREN VAN IP-ADRESSEN
In je weergave werkt het filter uitsluiten IP-adressen niet meer;
Gevolg: dit verkeer (bijv. van eigen kantoor en webbouwer) zie je weer terug in je
data, terwijl je dit niet wilt.
52. 53
INTERN VERKEER UITSLUITEN OP BASIS VAN REMOTE IP
Oplossing via datalayer en GTM:
Variabele in datalayer IP-adres opvangen;
Met aangepaste javascript macro en lookup-table vertaalslag maken wel/niet intern
IP-adres;
Vervolgens gebruik je deze dimensie in een filter om deze IP-adressen uit te sluiten
53. 54
SSL GEBRUIKEN VOOR HET GA-COOKIE
Aanpassing in GTM:
In Analytics-Tag bij ‘Meer Instellingen’ veldnaam forceSSL op true zetten
54. 55
HTTPS: BETER VOOR HELE WEBSITE!
Vraag je om persoonsgegevens? Zorg voor beveiligde verbinding (HTTPS);
HTTPS sinds 2014 een rankingsignaal voor Google;
Nog migreren naar HTTPS? Traffic Builders helpt je graag met analytics en SEO.
56. 57
COOKIES
Functionele cookies
Analytics cookies
Marketing cookies en
voorkeuren cookies
geen toestemming nodig
geen toestemming nodig, mits privacy-
vriendelijk ingesteld, geen remarketing, etc.
WEL toestemming nodig, deze worden
geplaatst om bezoekers te tracken en
informatie over websitegedrag te verzamelen
57. 58
GROOTSTE VERANDERINGEN T.A.V. COOKIE-CONSENT
Verkrijgen van expliciete toestemming voordat cookies geplaatst
worden;
Keuzevakjes type cookies mogen NIET aangevinkt staan;
Website moet toegankelijk zijn gedurende de consent keuze;
Toestemming makkelijk aanpassen/verwijderen;
Registratie toestemming moet aangetoond worden
58. 59
IN DE COOKIEBAR MOET STAAN
Dat je cookies gebruikt
en met welk doel;
Welke categorieën;
Dat men akkoord moet
gaan met het plaatsen
van cookies;
Link naar privacy
statement
59. 60
COOKIE VERKLARING/STATEMENT
Onderscheid in soorten cookies:
noodzakelijk
voorkeuren
statistische
marketing
Per cookie aangeven: naam, door wie geplaatst, doel, vervaldatum en type
60. 61
GEVOLG WIJZIGING COOKIES
Wijziging in cookie
Nieuwe cookies
Verwijderen cookies
Aanpassen
cookieverklaring!
Oplossing: gebruik de tool cookiebot (cookiebot.com)
61. 62
PRIVACY STATEMENT
Bewaartermijn van data;
Vermelding met wie data gedeeld wordt en je een verwerkersovereenkomst hebt;
Gegevens worden versleuteld en anoniem verwerkt;
Of profilering plaats vindt en met welke tools;
Beschrijving cookies;
Met welk doel data verzameld wordt;
Recht tot inzage, wijziging, verwijdering of overdracht gegevens;
Mogelijkheid tot het indienen van een klacht bij de Autoriteit Persoonsgegevens;
Bedrijfsgegevens, naam contactpersoon privacy officer;
Eenvoudig taalgebruik!
62. 63
PRIVACY STATEMENT OP SITE TRAFFIC-BUILDERS
https://www.traffic-builders.com/privacy-statement-disclaimer/
64. 65
LAAT TRAFFIC BUILDERS JE HELPEN
WIL JE ZEKER WETEN DAT JE KLAAR BENT VOOR DE AVG?
GDPR/AVG Quickscan
Inrichting GTM, Analytics en cookiebar
Periodieke analyse & controle
66. 67
LAAT TRAFFIC BUILDERS JE HELPEN
WIL JE ZEKER WETEN DAT JE KLAAR BENT VOOR DE AVG?
GDPR/AVG Quickscan
Inrichting GTM, Analytics en cookiebar
Periodieke analyse & controle
Editor's Notes
Als je deze opties hebt aangevinkt, ga je ermee akkoord dat Google de gegevens uit je Google Analytics-account voor eigen doeleinden gebruikt.
Dit betekent dat Google hierdoor niet alleen meer optreedt als bewerker, maar ook als verantwoordelijke.
In dat geval moet je namens Google toestemming aan de bezoekers vragen voor de verwerking van persoonsgegevens met Analytics-cookies en dat is nou precies wat je niet wilt.
Google is nml verwerker van de persoonsgegevens van je bezoekers
In je eigen dataweergave wil je verkeer van specifieke IP-adressen uitsluiten, bijv. Verkeer eigen organisatie
Deze setting zorgt ervoor dat data versleuteld en dus beveiligd verstuurd wordt, ook van een http-site
Gegevens dienen versleuteld verstuurd te worden
Expliciete toestemming: een bewuste handeling door het klikken op een akkoord button
Elke keer als er een wijziging komt in een cookie of er cookies bijkomen of verwijderd zijn, moet je cookieverklaring aanpassen
Profilering van bezoekers, bijvoorbeeld ten behoeve van de opbouw van interesseprofielen, (re)targeting doeleinden of on-site personalisatie van content, mag alleen als de precieze werking hiervan en impact voor de bezoeker duidelijk zijn.