U hebt waarschijnlijk gehoord van AVG, de nieuwe EU-verordening voor gegevensbescherming. Het doel ervan is de gegevensverzameling van personen binnen de Europese Unie te versterken en te verenigen en de verouderde gegevensbeschermingsrichtlijn 95/46/EG te vervangen.
Het is ook de strengste wet op de gegevensprivacy die ooit is ingevoerd. En hoewel de lijst met betrokken organisaties anders suggereert, is de territoriale reikwijdte van de nieuwe verordening erg breed.
AVG heeft niet alleen betrekking op in de EU gevestigde entiteiten, maar op vrijwel alle bedrijven die zich bezighouden met klanten (“betrokkenen”) binnen de Europese Unie – zowel gegevensverantwoordelijken (bijvoorbeeld bedrijven) als gegevensverwerkers (bijvoorbeeld cloud-softwareleveranciers).
Dus, als u zware boetes wilt vermijden, in sommige gevallen zo hoog als 4% van de jaaromzet van uw bedrijf of 20 miljoen euro, welke het hoogste is – au! – wordt het hoog tijd dat u uw gegevensverwerkingsbeleid aanpast aan de eisen van de nieuwe EU-wetgeving.
Laten we nu verder gaan met enkele meer gedetailleerde aspecten van AVG. In het volgende gedeelte van dit artikel laten we u zien hoe u het bijhouden van webanalyses kunt aanpassen aan de eisen van nieuwe wetgeving.
Allereerst laten we u kennis maken met twee concepten die cruciaal zijn voor webtracking onder AVG – persoonlijke gegevens en toestemming.
Geen van hen is zo duidelijk als ze op het eerste gezicht lijkt.
Wat zijn persoonlijke gegevens?
Laten we de overwegingen van de verordening betreffende persoonsgegevens nader bekijken. We zullen die onderzoeken die puur op de definitie van de term zijn gericht, aangezien het vrijwel onmogelijk zou zijn om alle vermeldingen van “persoonlijke gegevens” te onderzoeken wanneer men bedenkt dat dit begrip bijna 600 keer voorkomt in de tekst!
In artikel 4.1 van de algemene verordening gegevensbescherming kunnen we de volgende karakterisering vinden:
[…] alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Het is belangrijk om te benadrukken dat de verordening de definitie van persoonsgegevens aanzienlijk uitbreidt in vergelijking met de definitie die wordt gegeven door Richtlijn 95/46 /EG..
Ook zijn er twee bijzonder interessante punten in het geval van web-tracking:
- AVG beschouwt online-identificatiegegevens en locatiegegevens als persoonlijke gegevens en eist daarom dat deze op dezelfde manier worden beschermd als andere identificatiegegevens, zoals informatie over de genetische, economische of psychologische identiteit van een betrokkene.
- Cookies zijn ook inbegrepen in het bereik van online-ID’s!
AVG stelt dat alle cookies – zelfs pseudonieme – als persoonlijke gegevens kunnen worden beschouwd als er mogelijkheden zijn om deze te gebruiken om een persoon te herkennen of te identificeren. Dit wordt gedetailleerd beschreven in grond 30 van de nieuwe wet:
Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.
Wat betekent dit voor u? Dit betekent dat u uw cookiebeleid moet aanpassen om volledig aan de AVG-vereisten te voldoen!
Nu vraagt u zich wellicht af of de nieuwe wetgeving enig licht werpt op de manier waarop u dit moet doen – volgens de bestaande regels hoeven cookies immers niet per se toestemming te vereisen.
Gelukkig wel.
Een beetje.
Wat is toestemming?
Het zal geen verrassing zijn dat het begrip van toestemming en de bijbehorende vereisten zijn versterkt en uitgebreid. Artikel 4.11 van de nieuwe wetgeving definieert toestemming als:
[…] Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.
Belangrijke opmerking: zoals we kunnen zien, kenmerkt de wetgeving toestemming als een bevestigende actie die op ondubbelzinnige en geïnformeerde wijze wordt ondernomen. Het elimineert daarom automatisch een ‘implicatie van de overeenkomst’ uit de lijst met geaccepteerde vormen van toestemming. We komen hierop terug in een later gedeelte van het artikel.
In een andere paragraaf van de nieuwe verordening vinden we ook een beschrijving van het proces van het verkrijgen van toestemming. Het wordt gepresenteerd in grond 32 en luidt als volgt:
Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling […], waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling […]. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden.
De tekst van de verordening bevat geen specifieke instructies voor het verkrijgen van toestemming om persoonsgegevens te verwerken. AVG verduidelijkt echter dat de signalerende toestemming voor “positieve acties” het volgende kan omvatten:
- het selecteren van technische instellingen voor diensten van de informatiemaatschappij,
- het klikken op een vakje op een website, of
- een andere verklaring of handeling die de indicatie van toestemming verduidelijkt.
En onder de ontoereikende vormen van overeenstemming vermeldt de AVG:
- stilzwijgen,
- reeds aangekruiste vakjes, of
- inactiviteit.
Dat is nog steeds vrij dubbelzinnig, toch? Maak u geen zorgen, de algemeenheid van de richtlijnen van de nieuwe wetgeving zou u niet al te bezorgd moeten maken.
We moeten er immers rekening mee houden dat AVG een raamwerk is dat op een hoog niveau gericht is op het verwerken van persoonlijke gegevens in al zijn vormen. Er is ook gedetailleerdere wetgeving die samen met AVG van kracht gaat (we bedoelen de Privacy- en elektronische-communicatieverordening – bekend als e-privacyverordening).
De status van AVG-toestemming
Overzicht en score van hoe websites zich hebben aangepast aan regels voor gegevensprivacy
Toch zijn er in AVG zelf veel aanwijzingen over hoe de beste praktijken met betrekking tot het volgen van webanalyse eruit moeten zien.
We zullen proberen ze voor u samen te vatten en ze presenteren als bruikbare stappen die u kunt volgen om uw webanalyses voor te bereiden voor de komende wetgeving:
Webtracking onder AVG: 5 uitvoerbare stappen
Stap 1: Verwijder de cookievakke
Ja, deze vervelende kleine pop-ups moeten weg. Onder de nieuwe regels zal het voor de eerste keer bezoeken van uw website niet kwalificeren als toestemming voor het verwerken van de gegevens, zelfs als u hen informatie geeft zoals “Door deze site te gebruiken, accepteert u cookies”.
Als er geen actie wordt ondernomen om toestemming te geven, telt deze niet mee.
In plaats daarvan moet u een toestemmingsvenster gebruiken en deze weergeven aan elke gebruiker die uw website voor het eerst bezoekt. Weet u niet zeker hoe het eruit moet zien? Bekijk dit voorbeeld van een toestemmingsverzoek met een beetje hulp van Piwik PRO GDPR Consent Manager:
Dit is AVG-conform:
Vrijelijk gegeven – u maakt de toestemming geen voorwaarde voor uw diensten. U vraagt uw bezoekers gewoon beleefd om enkele van hun gegevens met u te delen.
Specifiek – u staat uw bezoekers toe om een afzonderlijke toestemming te geven voor elk type gegevensverwerking.
Geïnformeerd – u beschrijft elk doel van het verzamelen van bezoekersgegevens.
Ondubbelzinnig – uw bezoekers moeten een vakje aanvinken om akkoord te gaan met uw verzoek en uw toestemmingsverzoek is duidelijk te onderscheiden van andere zaken.
Belangrijke opmerking! Het blijkt dat niet voor elk type tracking toestemming van uw gebruikers nodig is. De experts voorspellen dat ePrivacy (verordening betreffende privacy en elektronische communicatie) een uitzondering zal maken voor persoonsgegevens die worden gebruikt voor webanalysedoeleinden. Als u dus gebruik maakt van een webanalysetool die de verzamelde gegevens alleen gebruikt om de prestaties van uw website te onderzoeken, hoeft u zich waarschijnlijk geen zorgen te maken over dit onderdeel.
Als u uw analysegegevens echter doorgeeft aan andere AdTech- en MarTech-platforms (zoals DSP of CDP), remarketingpixels en trackingcodes gebruikt of uw websiteinhoud personaliseert op basis van gebruikersgedrag, moet u zeker om toestemming vragen voor elk van deze activiteiten.
Als u meer wilt weten over de huidige status van e-privacyverordening, raden wij u aan deze blogposts te lezen:
Stap 2: Browserinstellingen worden behandeld als toestemming (waarschijnlijk)
In AVG zelf (om voor de hand liggende redenen) zullen we geen enkele melding van “browserinstellingen” vinden. Maar de meest recente versie van de e-privacyverordening suggereert dat in het geval van cookies die worden gebruikt voor tracking, u hoogstwaarschijnlijk uw bezoekers niet hoeft te informeren over de gebruikscookies als hun webbrowser is ingesteld om toestemming of weigering aan te geven. Gebruikers moeten het handmatig activeren, wat bevestigende actie aangeeft zoals beschreven in de tekst van AVG.
Het is belangrijk om te benadrukken dat u de keuze van uw bezoekers om niet getracked te worden moet respecteren, zelfs in het geval van eerder verleende toestemming!
Stap 3: Verantwoord en beschrijf elk doel van het gebruik van de persoonlijke gegevens die zijn verzameld van uw gebruikers
Volgens AVG moeten sites die verschillende soorten cookies gebruiken voor verschillende doeleinden, voor elk doel toestemming krijgen. Hoe hiermee om te gaan? We raden u aan ze allemaal op te nemen in het gedeelte Privacybeleid op uw website, zodat gebruikers er kennis mee kunnen nemen bij het bezoeken van uw pagina.
In grond 32 van de nieuwe wet staat:
Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Als de toestemming van de betrokkene wordt gegeven na een verzoek met elektronische middelen, moet het verzoek duidelijk en beknopt zijn en niet onnodig verstorend voor het gebruik van de dienst waarvoor het wordt verstrekt.
Hoewel het op dit moment niet helemaal duidelijk is hoe de beschrijving van elk doel eruit zou moeten zien, zijn er een paar voorbeelden van goede praktijken die u zou kunnen volgen.
Bijvoorbeeld, dit is de manier waarop PayPal het probleem heeft opgelost.
Stap 4: Nooit meer legale praat!
Let op de manier waarop u communiceert met uw gebruikers via het privacybeleid dat op uw website is gepubliceerd. De nieuwe verordening verbiedt u berichten te formuleren op een manier die niet begrijpelijk is voor ‘Jan met de pet’ van het internet.
We kunnen immers niet spreken van echte toestemming als bezoekers niet weten waar ze zich echt voor aanmelden. Deze verklaring wordt ook ondersteund door het transparantiebeginsel zoals beschreven in grond 58 van de AVG:
Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek of voor de betrokkene beknopt, eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal en, in voorkomend geval, aanvullendvisualisatie worden gebruikt. […] Dit geldt in het bijzonder voor situaties, waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld, zoals bij onlineadvertenties.
Stap 5: Uw bezoekers moeten ELKE keer kunnen afmelden
Zelfs nadat u een geldige toestemming hebt verkregen, moeten uw bezoekers op een eenvoudige manier van gedachten kunnen veranderen. Het zou net zo gemakkelijk moeten zijn om toestemming in te trekken als om het te geven.
Artikel 7.3 van de nieuwe uitspraak karakteriseert het als volgt:
De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
Weet u niet zeker hoe u deze regel moet toepassen?
In Piwik PRO hebben we dit probleem opgelost door een Privacyinstellingen-widget te maken om op uw pagina met privacybeleid te installeren. Het is een van de kenmerken van AVG Consent Manager – een nieuwe toevoeging aan de Piwik PRO Analytics Suite, waarmee onze klanten AVG-toestemmingen kunnen verzamelen, beheren en opslaan, en aanvragen voor gegevensonderwerpen op een wettige manier kunnen verwerken.
Respecteer de rechten van betrokkenen!
Er is ook een ongelooflijk belangrijk aspect van AVG waar u grondig over moet nadenken. AVG introduceert een lijst met rechten van betrokkenen die moeten worden nageleefd door zowel gegevensverwerkers als gegevensverzamelaars. De lijst bevat:
- Recht van inzage van de betrokkene (afdeling 2, artikel 15).
- Recht op rectificatie (afdeling 3, art 16).
- Recht van bezwaar tegen verwerking (Paragraaf 4, Art 21).
- Recht op gegevenswissing (“recht op vergetelheid”) (afdeling 3, art 17).
- Recht op beperking van de verwerking (afdeling 3, artikel 18).
- Recht op overdraagbaarheid van gegevens (afdeling 3, artikel 20).
Aangezien het onderwerp van de rechten van een betrokkene erg breed is (en ook nogal gecompliceerd), beloven we het om het in een afzonderlijke blogpost te behandelen.
Wat u nu moet weten, is dat u zelf beslist of u deze regels wilt toepassen en wilt reageren op verzoeken van uw gebruikers. Maar het spreekt voor zich dat de juiste leverancier van webanalyses u moet ondersteunen bij het nakomen van de verplichtingen die AVG u oplegt.
Hoe weet u of uw zakenpartner een oor heeft op het terrein en goed voorbereid is op de aankomende wetgeving?
De status van AVG-toestemming
Overzicht en score van hoe websites zich hebben aangepast aan regels voor gegevensprivacy
We raden u aan contact op te nemen met uw webanalyseverkoper en na te gaan hoe zij dit probleem zullen aanpakken. Als ze uw vragen niet kunnen beantwoorden, betekent dit dat het tijd is om te overwegen een meer privacyvriendelijke oplossing te vinden die u een manier biedt om te voldoen aan de nieuwe wet (zoals Piwik PRO Consent Manager).
Het is nu tijd om te handelen!
We hopen dat de bovenstaande tips u zullen helpen om uw webanalyse-trackingmethoden aan te passen aan de eisen van de nieuwe wet. Natuurlijk weten we dat het onmogelijk is om alle vragen die u heeft in een enkele blogpost te beantwoorden.
Dus als u nog steeds niet zeker weet hoe u uw analyses voor privacyconformiteit kunt optimaliseren, wanhoop dan niet. Piwik PRO-experts zijn hier om u te helpen – neem gerust contact met ons op!
We moedigen u ook aan om u te abonneren op onze nieuwsbrief – we houden u op de hoogte van alle updates met betrekking tot AVG, de e-privacyverordening (waarvan de tweede versie momenteel wordt beoordeeld!) en andere voorschriften inzake gegevensbescherming die invloed kunnen hebben op uw bedrijf.