General Data Protection Regulation (GDPR) ook wel bekend als Algemene Verordening Gegevensbescherming (AVG) is een wet over de verwerking van persoonsgegevens. De nieuwe wet heeft grote impact op hoe bedrijven om moeten gaan met persoonsgegevens van klanten. De nieuwe wet is sinds 25 mei 2018 van kracht in Nederland en andere Europese landen. Ben je hier al van op de hoogte en is je bedrijf al klaar voor de nieuwe wet? In dit artikel licht ik de wet en veranderingen nader toe en laat ik zien welke invloed dit heeft op het beheren van een website en de marketinguitingen.
De digitale wereld verandert snel. Dit betekent dat de wetgeving mee moet veranderen. Waar voorheen Wet Bescherming Persoonsgegevens (WBP) ons sinds 1999 tegen misbruik van persoonsgegevens beschermt, gaat de GDPR deze taak overnemen. Door de GDPR moeten bedrijven nog inzichtelijker maken wat ze met persoonsgegevens doen en hebben ze specifieke toestemming nodig om de gegevens te gebruiken.
Als je persoonsgegevens wilt gebruiken/verwerken is toestemming nodig. Het moet in duidelijk en begrijpelijke taal staan en de gebruiker moet een actie verrichten om toestemming te geven. Dit betekent bijvoorbeeld dat op websites vinkjes die betrekking hebben op persoonsgegevens niet standaard aan mogen staan.
Met ‘persoonsgegevens’ wordt alle data gerelateerd aan een gebruiker bedoeld. Dus niet alleen een naam en geodata maar alles waarmee een gebruiker uit een groep gehaald kan worden. Denk bij WordPress bijvoorbeeld aan de gebruikersnaam of gebruikers ID van een bepaald persoon. Maar ook een IP-adres dat via Google Analytics wordt opgeslagen.
Eenmaal in het bezit van de persoonsgegevens, na toestemming gehad te hebben, zitten er ook strenge regels vast aan de omgang met deze gegevens. De gegevens mogen alleen gebruikt worden voor hetgeen waar toestemming voor verleend is en enkel noodzakelijke gegevens mogen worden verwerkt. Zijn er bepaalde gegevens niet nodig? Dan mogen deze ook niet verwerkt worden is het bedrijf verplicht deze te verwijderen.
De gebruikers van je website of de klanten van je bedrijf krijgen met de GDPR meer rechten om het gebruik van hun gegevens tegen te gaan. De gebruikers hebben het recht om vergeten te worden. Concreet betekent dit dat elke gebruiker recht heeft het volledig wissen van zijn of haar persoonsgegevens.
Als bedrijf ben je verplicht aan te kunnen tonen dat je voldoet aan alle regelgevingen van de GDPR. Dit betekent dat je de volgende onderdelen moet kunnen aantonen:
Overtreding van de GDPR wet wil je voorkomen aangezien de boete op kan lopen tot 20 miljoen euro of 4% van de wereldwijde omzet.
De GDPR is veel meer dan alleen de data verzameling op een website. Omdat we als webdevelopers vooral te maken hebben met de verzameling van data op een website zal ik hier alleen ingaan op de aspecten die gerelateerd zijn aan websites.
Nieuwsbrieven beginnen vaak met inschrijvingen via de website. Hoewel er al wel specifieke regels waren over het gebruik van e-mailadressen voor nieuwsbrieven wordt dit met de GDPR nog verder aangescherpt. De volgende onderdelen staan hierover vermeld:
Tools om het gedrag van websitebezoekers te meten maken intensief gebruik van data. De cookiewet die in 2012 verplicht werd had al als doel om deze gebruikersdata beter te beschermen, maar er werd niet op gehandhaafd waarna in 2015 de wetgeving werd versoepeld. Met de nieuwe GDPR wet worden de regels voor analytische tools weer aangescherpt. Om te voldoen aan de wetgeving is het belangrijk om de volgende stappen te nemen bij Google Analytics en Hotjar.
Google Analytics bouwt data op aan de hand van IP-adressen. Met aanvullende informatie zijn deze IP-adressen te herleiden naar fysieke adressen en dus naar personen. In de GDPR wet wordt dit gezien als pseudo anonieme data waar de gebruiker expliciet toegang voor moet geven. Omdat een proactieve goedkeuring van bezoekers niet bepaald bevorderend werkt voor de conversie is het belangrijk om de data anoniem te maken. Dit kan in Google Analytics door de volgende stappen te nemen:
window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments)}; gtag('js', new Date()); gtag('config', 'GA_TRACKING_ID', { 'anonymize_ip': true });
Een andere populaire tool is Hotjar. Hierbij kunnen sessies van gebruikers opgenomen worden. Hier wordt ook gebruik gemaakt van registratie via het IP-adres. Hotjar heeft zelf al veel acties ondernomen om GPDR-proof te zijn. Op de website van Hotjar wordt inzicht gegeven in de voortgang van de werkzaamheden. Als gebruiker van Hotjar moet je overigens nog steeds duidelijk communiceren dat je gebruik maakt van de gebruikersdata en moet je net als bij Google Analytics een bewerkersovereenkomst met Google afsluiten.
Met behulp van tracking cookies voeren online marketeers veel marketingcampagnes uit. Denk bijvoorbeeld aan remarketing campagnes waar bezoekers van je website opnieuw worden benaderd. Gebruikers moeten hier per 25 mei 2018 expliciet toegang voor geven. Wanneer de bezoekers de cookies niet accepteren, dan moet er nog steeds een volledig functionerende website verschijnen. Bovendien moeten de gebruikers van de website ten alle tijden de mogelijkheid hebben om de tracking cookies uit te schakelen.
Met de GDPR voor de deur lijkt de cookiemelding dus weer op iedere website terug te komen. Als website eigenaar ben je volgens de GDPR namelijk verplicht om te vermelden welke data je opslaat en welke doelen je daarmee hebt. Tot het moment dat bezoekers de cookies accepteren moeten de cookies geblokkeerd zijn. Bovendien moet de bezoeker op ieder mogelijk moment de cookies uit kunnen schakelen. Waar de cookiemelding nu vaak nog verdwijnt als je op ‘accepteren’ hebt geklikt, zal de pagina met privacybeleid vanaf 25 mei 2018 via iedere pagina bereikbaar moeten zijn. Bovendien moet de website ook blijven functioneren als de gebruiker de cookies weigert.