De laatste tijd worden we doodgegooid met artikelen vol met tips over de nieuwe wetgeving rondom data-verwerking en -verzameling: de algemene verordening gegevensbescherming (AVG). In het Engels heet de AVG General Data Protection Regulation ofwel de GDPR.
De belangrijkste vraag: wat gaat er veranderen voor mij? Helaas is dit antwoord lang niet zo eenvoudig en zijn de praktische gevolgen niet zo duidelijk als vaak gewenst is. Om deze reden organiseerden Online Dialogue vorige week donderdag 15 februari de 26e Dialogue Donderdag met als thema: “GDPR, maar dan wél leuk”.
Drie sprekers deelden hun kennis vanuit diverse vakgebieden om zo samen meer duidelijkheid te creëren over de gevolgen van de GDPR voor online optimalisatie. De middag werd ingeleid door juriste Esther Schnepper met haar kennis over de legal kant van de GDPR. Esther werd opgevolgd door de CEO van Convert, Dennis van der Heijden, die deelde hoe zijn organisatie er alles aan doet om hun A/B test tool GDPR-proof te maken. Om nog dieper de praktijk in te duiken, werd als laatste Michel Vennema het podium op gevraagd voor zijn ervaring met Google Analytics en Google Tag Manager in lijn met de GDPR.
Lees hier de samenvattingen van alle presentaties en bekijk onderaan de after movie.
GDPR & legal | Esther Schnepper, advocate bij Bergh Stoop & Sanders
Om voor iedereen de feiten op een rij te zetten voordat we überhaupt gingen nadenken over de praktische toepassing van de nieuwe wetgeving, ging Esther in op de belangrijkste veranderingen die de GDPR teweeg brengt en waar de wetsverandering voor staat. Kort samengevat:
De drie belangrijkste doelen van de GDPR:
- Het uitbreiden en versterken van de rechten van de EU burger.
- Het verbeteren van het vrije data verkeer.
- Een effectievere handhaving.
Drie verschillende rollen:
- Verantwoordelijke = degene die bepaalt waarom en hoe data wordt verwerkt
- Dataverwerker = degene die namens de verantwoordelijke data verwerkt (Let op: een verwerker kan ook mede verantwoordelijk zijn).
- Betrokkene = degene wiens data wordt verwerkt
Wat verandert er inhoudelijk?
- De implied consent vervalt. Je mag er niet meer vanuit gaan dat mensen toestemming geven en je toestemming mag niet meer verstopt worden in de algemene voorwaarden. Je hebt altijd een aparte handeling nodig om toestemming te geven.
- Je moet in duidelijke, heldere taal aangeven waar mensen toestemming voor geven.
- Je moet kunnen bewijzen dat er toestemming is gegeven.
- Er komen meer wettelijke mogelijkheden om data door te geven aan derde landen.
- Tussen een verantwoordelijke en een verwerker moet een verwerkersovereenkomst afgesloten worden. De verantwoordelijke is verantwoordelijk voor de totstandkoming van deze overeenkomst.
- Zowel verantwoordelijken als verwerkers zijn ieder voor het geheel aansprakelijk in geval van schade en beide kunnen een boete krijgen.
- Een boete kan zo hoog op lopen als 20 miljoen of 4% van de wereldwijde omzet. De autoriteiten hoeven niet meer vooraf te waarschuwen.
Wat verandert rondom de rechten van de betrokkenen?
- Alle betrokkenen hebben het recht om vergeten te worden. Zodra een betrokkene aangeeft vergeten te willen worden moet jij als bedrijf in staat zijn om alle data te verwijderen en alle bedrijven die mogelijk deze data ook hebben, hierover in te lichten.
- Data portabiliteit: betrokkenen hebben het recht om hun data op te vragen of te verplaatsen.
- Gewone profiling mag mits jouw belang duidelijk de overhand heeft; Profiling met aanzienlijke gevolgen mag alleen als dat noodzakelijk is voor de uitoefening van een contract, of als je uitdrukkelijk toestemming hebt; Profiling voor direct marketing moet je na bezwaar altijd mee stoppen.
Wat verandert organisatorisch?
- Zorg dat je alles documenteert! Zo kun je laten zien wat je allemaal doet om de privacy van de betrokkenen te waarborgen.
- Verander de inhoudelijke eisen van je Privacy statement.
- Privacy by design/privacy by default: bij het ontwikkelen van nieuwe producten zorg je altijd dat de standaard instellingen zo veilig mogelijk zijn.
- Data protection impact assessment: een instrument om vooraf de privacyrisico’s van de gegevensverwerking in kaart te brengen.
- Data protection officer: functionaris verplicht voor bedrijven die vanwege aard of omvang op grote schaal persoonsgegevens verwerken en overheidsdiensten. Hij of zij adviseert het bedrijf over het gebruik van persoonsgegevens conform de privacywetgeving en toetst ook of het aan de wetgeving voldoet.
Omdat de nieuwe wetgeving misschien eng lijkt, was de laatste tip van Esther: ‘Be prepared, not scared!’ De vertaling van de wetgeving naar de praktijk is altijd ingewikkeld. Maar laat dit je niet afschrikken. Zorg in ieder geval dat je kunt aantonen dat je privacy serieus neemt.
GDPR en A/B-test tooling | Dennis van der Heijden, CEO en co-founder van Convert.com
Al sinds de aankondiging van de nieuwe wetgeving zijn ze bij de A/B testing tool Convert hard aan het werk om de tool klaar te maken voor 25 mei 2018. Op hun site vind je dan ook een 20 pagina lange GDPR roadmap waarin je precies ziet wat ze al hebben gedaan en wat ze nog moeten doen om de tool GDPR-proof te maken.
Convert is A/B testing without ‘personal data’
Niet wetende dat zijn tool voor 90% al klaar was met de voorbereiding, lag Dennis nachten lang te piekeren hoe een A/B test tool ooit GDPR compliant zou kunnen zijn. Want wat kan een tool als Convert doen om zich voor te bereiden op 25 mei? Hoe bescherm je de privacy van de betrokkenen het beste? Door alle mogelijke persoonlijke data die een tool zou kunnen opslaan of zou kunnen combineren weg te gooien?
Privacy by design!
Convert is een van de goedkopere A/B test tools omdat ze nauwelijks data opslaan. Dit werd voornamelijk gezien als nadeel van de tool doordat het voor de gebruikers niet mogelijk is om eindeloos te segmenteren en terug te zoeken in de data na afloop van een A/B test. Maar het kost wel minder geld. Nu blijkt dat deze vorm van kostenbesparing er juist voor zorgt dat de tool voor een groot deel al GDPR compliant is! Zonder persoonsgegevens kunnen mensen deze namelijk ook niet opvragen of wijzigen.
Maar wat is nu een persoonsgegeven?
“Veel”, zegt Dennis van der Heijden. Een combinatie van een aantal datapunten wordt al heel snel persoonlijke data, zonder dat je het zelf door hebt. Met zo weinig als drie of vier datapunten kun je inzoomen op een persoon. En in een A/B test tool kan dit al snel voor problemen zorgen. Je wilt steeds diepere analyses maken dus je gaat steeds verder segmenteren. Groepen worden kleiner en voor je het weet kun je de data herleiden tot een persoon. Om gebruikers van de tool hiervoor te beschermen hebben ze een waarschuwing ingebouwd die gebruikers een seintje geeft als groepen te klein dreigen te worden.
Worry when they say “don’t worry we will be GDPR compliant”
Net als Esther geeft Dennis als tip mee dat je als bedrijf vooral moet laten zien dat je de nieuwe wetgeving serieus neemt en dat je hard bezig bent met het begrijpen en doorvoeren van de nieuwe regelgeving. Laat zien dat je om de privacy van je bezoeker geeft. En als je denkt dat de GDPR eng is, wacht dan op de vervanger van de cookiewetgeving: de ePrivacy Regulations. Helaas laat deze nog even op zich wachten waardoor de oude cookiewetgeving tegelijkertijd met de nieuwe GDPR zal gelden.
GDPR en praktisch tips & tricks voor GA en GTM | Michel Vennema, oprichter van De Statistiekfabriek
In zijn werk voor vele verschillende organisaties is Michel al enige tijd bezig met het praktiseren van de nieuwe privacy wetgeving. Vanuit deze ervaring deelde hij tijdens de Dialogue Donderdag 9 praktische tips en tricks voor Google Analytics en Google Tag Manager.
Tip 1: Denk als een burger
Geef jij zomaar je contactgegevens van een vriend aan een onbekende? Wil je graag de keuze hebben om geremarket te worden? Ben je liever wel dan niet op de hoogte van wat iemand doet met jouw gegevens voor je akkoord geeft? En wil je graag de optie hebben om uit je filterbubbel te stappen?
Tip 2: Wees terughoudend in het geven van toegang tot je data.
Waarschijnlijk ben je het ermee eens dat je niet zomaar iedereen toegang moet geven tot je data. Maar vaak vergeten we achteraf aan wie we deze toegang hebben verleend (oude collega’s?). Om dit in de toekomst te voorkomen kun je een ‘Organisatie’ aanmaken in Google Analytics. Stel duidelijke regels op voor toegang en check periodiek de lijst met gebruikers.
Tip 3: Verwijder parameters uit Google Analytics
Of nog beter: verwijder überhaupt persoonlijke informatie uit URL’s en blijf controleren of alles op de site goed gaat (bijvoorbeeld via een simpele IFTTT trigger).
Tip 4: Maak optimaal gebruik van Google Tag Manager
Blokkeer Google Tag Manager niet. Gebruik in plaats daarvan slimme triggers zodat alleen de juiste tags worden afgevuurd.
Tip 5: Lees uit of iemand gebruik maakt van een Ad Blocker en/of van de Do Not Track functie.
En ja, je moet nog steeds expliciete toestemming vragen, ook al lees de de DNT-optie uit.
Tip 6: Zet remarketing opties en demografische gegevens aan zodra je toestemming hebt.
Je kunt Google Analytics namelijk flexibel instellen om met deze keuzes om te gaan
Tip 7: Hash de persoonlijk identificeerbare informatie
Hashen is een vorm van pseudonimiseren. Je kunt een mailadres omzetten naar een reeks tekens, waarmee het mailadres niet meer te herleiden is, maar wel gebruikt kan worden als een unieke identifier. Hoe noodzakelijk is het om PII-informatie in GA te hebben? Wil je het helemaal netjes doen, hash dan ook transactieId’s en klantnummers.
Tip 8: Be like Google & Facebook
Het is nog steeds jouw site dus jij bepaalt wat je doet, maar vergeet niet op voorhand te delen waarvoor je de data verzameld en zorg altijd dat je aantoonbare toestemming hebt.
Tip 9: Check by legal!
Ask them anything
De dag werd afgesloten met een paneldiscussie waarbij alle nog onbeantwoorde vragen vanuit het publiek een antwoord kregen. Het panel bestond uit alle drie de sprekers en Simon Vreeman, die met zijn praktijkkennis als Senior CRO Analist bij fietsenwinkel.nl een mooie aanvulling was op het geheel.
After movie
Romedia maakte onderstaande impressie van DiDo#26: