over mij

Going cookieless: online advertenties met gehashte klantgegevens

16 november 2021 | 10 minuten lezen | Deel dit blog viaFacebook,LinkedIn,Twitter,WhatsApp

In een (third-party) ‘cookieless wereld’ zijn marketeers naarstig op zoek naar de beste methoden om klanten of prospects met online advertenties te bereiken. Want zeg nu eerlijk, wie schiet met zijn of haar marketingbudget graag met hagel? De oplossing zit ‘m steeds vaker in het gebruik van first-party data, zoals emailadressen, telefoonnummers en surfgedrag. Hier volgt een overzicht waarom en hoe adverteerders klantgegevens wensen in te zetten voor online ads. En uiteraard ook waar je juridisch rekening mee moet houden.

Bron: Auteur onbekend (Pixabay)

Vooraf een leeswijzer:

  1. Over privacyvriendelijke browsers
  2. Wat kan je technisch doen?
  3. Maar wat zijn de regels?
  4. Bekijk de afspraken met Facebook of Google
  5. En dus...

Over privacyvriendelijke browsers

Het wordt steeds lastiger om aan de hand van alleen surfgedrag relevant te adverteren. Naast de AVG- en cookieregels moet er anno 2021 ook rekening worden gehouden met de steeds privacyvriendelijkere browsers (en iOS). De browsers Safari en Firefox staan sinds een aantal jaar geen third party cookies

Definities: Cookies betreffen een vorm van opslag in de browser. Er wordt een onderscheid gemaakt tussen first en third party cookies. Dat komt neer op het volgende:
  • First party: is afkomstig van de website die je bezoekt (bijv. deze website: franksblog.nl).
  • Third party: het cookie is afkomstig van een andere website/domein (bijv. google-analytics.nl) dan die je bezoekt.
Meer informatie in mijn eerdere blog.
(of andere lokale browseropslag) meer toe. Als gevolg van deze trend is het een stuk lastiger voor Facebook en Google Ads om het surfgedrag van gebruikers over verschillende websites (‘cross-site’) te volgen.

De advertentienetwerken hebben bij elke opvolgende beperking door de browsers technische aanpassingen gedaan om het effect op het advertentie businessmodel te beperken. In de praktijk verzachten deze maatregelen de pijn steeds een beetje. De websitepixels/-plugins van advertentienetwerken maken nu bijvoorbeeld gebruik van first party cookies om de beperkingen ten aanzien van third party cookies te omzeilen. Deze pleistermaatregelen zijn echter steeds minder effectief. Tijd voor actie zou je zeggen. Steeds meer bedrijven anticiperen dan ook op een (third party) cookieless wereld.

De gevolgen voor adverteerders zijn in Nederland nu nog relatief beperkt, omdat Chrome (circa 70% marktaandeel) waarschijnlijk pas in 2023 overstag gaat. Maar onderschat de gevolgen overigens niet. Als adverteerder wordt je nu ook al met steeds minder betrouwbare analytics inzichten geconfronteerd. Als marketeer is het hierdoor steeds lastiger om je meerwaarde voor een organisatie aan te tonen. Want hoe weet je nu of een Facebook campagne converteert wanneer de cookies al na 24 uur door de browser van de klant zijn weggegooid? Niet iedereen koopt een product direct na de eerste klik op je Facebook advertentie.

Wat kan je technisch doen?

Als gevolg van deze ontwikkeling gaan steeds meer organisaties dus “cookieless”. In de praktijk kan dit veel betekenen, denk hierbij concreet aan:

  1. Google Tag Manager, maar dan server-side i.p.v. client-side.
  2. Facebook Conversion API in plaats van, of in aanvulling, op het welbekende Pixel.
  3. Een serverlessfunctie die alle “third party” marketingcookies server-side (her)plaatst, zodat veel browser beperkingen geen invloed hebben op de bewaartermijn van de cookies.
  4. … of het delen van first party data met een advertentienetwerk
  5. enz. enz.

Even kort over optie 1-3

De eerste drie optie zijn interessant, want hiermee omzeil je de browser beperkingen grotendeels. Maar in essentie zijn dit allemaal methoden om de oude ‘cookiedata’ op een andere manier (server-side i.p.v. client-side) alsnog met een advertentienetwerk te delen. Er moet dan nog steeds worden voldaan aan de juridische regels zoals die nu ook al gelden, namelijk de AVG en de techniekneutrale cookiebepaling Zie ook dit blog van mijzelf over de reikwijdte van de cookiebepaling..

Hoe werkt het delen van klantgegevens? (optie 4)

Laten we wat langer stil staan bij de vierde methode, welke overigens al enige tijd bestaat. Denk hierbij bijvoorbeeld aan Facebook Custom Audiences of Google Customer Match. Je zou kunnen zeggen dat deze methodiek nu opnieuw relevant is vanwege de cookieless trend. Bij deze methode deel je als marketeer first party data met het advertentienetwerk zodat deze jouw klanten met de eigen gebruikers kan matchen. Als we het hebben over first party data dan gaat dit over klantgegevens zoals:

  • Naam
  • Telefoonnummer
  • Email
  • Postcode
  • Adres

In feite gaat het dus om alle eigen (hence ‘first’ party) data welke direct afkomstig is van klanten door bijv. het invullen van een bestel- of contactformulier of het kopen van een product of abonnement in een winkel. Maar het kan ook gaan om het (herkende) surfgedrag Extra achtergrond: Gewoonlijk gebruikt een organisatie voor het online identificeren van bijv. ingelogde klanten een Customer Data Platform of een Data Management Platform.van diezelfde klanten. Tegenwoordig kan een adverteerder bij vrijwel elk advertentienetwerk een doelgroep definiëren, welke is gebaseerd op eigen klantgegevens. Het advertentienetwerk (bijv. Facebook) vergelijkt dan de eigen contactgegevens met de klantgegevens van de adverteerder. Overigens vergelijkt het advertentienetwerk niet het email an sich als plattetekst, maar enkel de hashwaardes

De hashwaarde of hash is het resultaat van een hashfunctie. Er zijn meerdere typen functies, zoals sha256 of md5. Als belangrijkste kenmerken geldt dat:
  • het aantal karakters van elke hashwaarde van een spectieke functie steeds gelijk is; en
  • een specifieke hashwaarde is bij dezelfde invoer altijd gelijk, maar er is geen (decryptie) functie waarmee de hashwaarde direct kan worden terug herleid naar de invoer.
Bijvoorbeeld: Bij gebruik van de hashfunctie sha256 is de hash van frank@home.nl dit: 58823cdf... enz enz.
van de emails en andere klant id's. De klantgegevens kunnen gecodeerd als hashwaarde worden aangeleverd, zodat het netwerk geen direct inzicht krijgt in de leesbare emailadressen van alle klanten. Google maakt het proces als volgt visueel:

Schematische weergave van Google hoe het delen van klantgegevens in de praktijk werkt.

Hieruit volgt een lijst met ‘matches', welke als advertentie doelgroep kan worden gebruikt om:

  • gericht advertentie te tonen aan klanten die ook gebruiker zijn van het netwerk; of
  • kosten te besparen door eigen klanten uit te sluiten van bepaalde campagnes.

Tevens kan je doelgroepen categoriseren aan de hand van inzichten uit je CRM en surfgedrag op de eigen website, bijvoorbeeld ‘Mannen > 40 met hoog inkomen in de regio Utrecht en die ook nog op pagina X hebben gekeken’. Kortom, de technische mogelijkheden zijn eindeloos als je het delen van first party data inzet. Maar wat mag je eigenlijk?

Maar wat zijn de regels?

Op het delen van klantgegevens met advertentienetwerken zijn uiteraard de AVG-regels van toepassing Ten overvloede: De cookiebepaling (art. 11.7 Tw) is ook relevant wanneer je het surfgedrag op de eigen website ook wil inzetten.. In een recente opinie deelt de European Data Protection Board (dit zijn kortgezegd alle nationale toezichthouders) haar visie op van online ads aan de hand van klantgegevens.

De EDPB stelt dat aparte toestemming voor het gebruik van klantgegevens om klanten in (sociale) netwerken te identificeren voor advertentiedoeleinden niet een vereiste is. Dit is commercieel bezien uiteraard een positief vertrekpunt. Er moet wel sprake zijn van een ‘gerechtvaardigd belang’. Dit belang kan eigenlijk van alles en nog wat zijn, maar is meestal van commerciële aard. Om je op deze grondslag te kunnen baseren moet je de ‘gerechtvaardigd belang toets Tip: gebruik het template van de DDMA om de toets uit te voeren.’ doorlopen en de uitkomst hiervan vastleggen. Doe dit per specifieke use-case, want er zijn steeds andere belangen in het spel. Een belang om ads te targetten is immers wat anders dan het uitsluiten van bestaande klanten in campagnes. Als ik let op het advies van de EDPB dan is in ieder geval steeds het volgende vereist:

  1. Informeer zichtbaar - dus niet alleen in het privacy statement - op het moment dat je de contactgegevens ook voor online advertenties verzamelt. Doe dit bijvoorbeeld dus al in je bestelformulier.
  2. Stel ook een eenvoudige afmeldmogelijkheid (ook wel ‘soft opt-in’) beschikbaar op hetzelfde moment dat je de klant informeert, zodat een klant zich gelijk (en ook later) by design kan afmelden voor dit type online advertenties.
  3. Draag zorg voor relevante advertenties die geen verrassing zijn, wanneer de klant deze ziet verschijnen in het advertentienetwerk. De EDPB geeft als voorbeeld een advertentie die gaat over een product of dienst die vergelijkbaar (‘soortgelijk’) is met wat de bestaande klant al heeft gekocht.
  4. Maak afspraken over de gezamenlijke verantwoordelijkheid voor de verwerking van persoonsgegevens met het advertentienetwerk. Hierna volgt nog wat meer informatie over dit punt.

Update 21/11/2021: Verder is het altijd van belang om na te denken over zaken als data-minimalisatie, de indringendheid van je advertenties en tracking. Mijn advies zou zijn om voor de selecties/use-case zo min mogelijk (gevoelige) gegevens van je klanten te gebruiken. En deel sowieso zo weinig mogelijk informatie met de advertentienetwerken. Vraag je bijvoorbeeld af wat de meerwaarde is om conversies in Google Ads bij te houden. Is Google Analytics niet voldoende? Hiermee geef je ook zoveel mogelijk gehoor aan het meest recente standpunt van de EDPB De EDPB in dit statement over de Data Services Act (DSA): "The EDPB also considers that online targeted advertising should be regulated more strictly in the DSA in favour of less intrusive forms of advertising that do not require any tracking of user interaction with content andurgesthe co-legislature to consider a phase-out leading to a prohibition of targeted advertising on the basis of pervasive tracking while the profiling of children should overall be prohibited.", welk graag ziet dat "pervasive tracking" (indringend volgen) voor advertenties verboden wordt.

Sidenote prospects vs. klanten

De EDPB heeft in haar opinie alleen groen licht gegeven voor het benaderen van klanten op deze wijze. Uit de voorbeelden van de EDPB volgt echter niet dat prospects helemaal niet op deze wijze mogen worden benaderd. Wel moet er net als bij de klanten een toets in de vorm van een belangenafweging te worden uitgevoerd. De belangenafweging is wezenlijk anders. Het belang zal bijvoorbeeld minder groot zijn wanneer een prospect al nadrukkelijk te kennen heeft gegeven niet geïnteresseerd te zijn in het product.

Bekijk de afspraken met Facebook of Google

Wat betreft de afspraken over de ‘gezamenlijke verantwoordelijkheid’ ben je erg afhankelijk van het advertentienetwerk. Dit is (voor zover ik weet) gewoon een ‘take it or leave it’ aanbod. Denk maar niet dat Facebook de voorwaarden voor jouw organisatie op maat zal aanpassen. Hier zul je dus moeten toetsen of de afspraken juridisch voldoen. De EDPB stelt dat de afspraken over de gezamenlijk verantwoordelijkheid betrekking behoren te hebben op het:

  1. uploaden van de klantgegevens door de adverteerder
  2. matchen van de klantgegevens met die van het netwerk door het advertentienetwerk.
  3. beschikbaar stellen van de selectiecriteria door het advertentienetwerk en het gebruik daarvan door de adverteerder.
  4. tonen van de advertentie aan de doelgroep die volgt uit de selectiecriteria door het advertentienetwerk.
  5. het rapporteren over de effectiviteit van een campagne.

De adverteerder is dus alleen verantwoordelijk voor het verzamelen van de gegevens voorafgaand aan stap 1-5. Op zijn beurt is het netwerk verantwoordelijk voor eventuele verwerkingen na de afronding van de rapportage en campagne, waaronder bijv. het verrijken van het profiel van een Facebook gebruiker.

Je zult dus in de voorwaarden van (onder meer) de Facebooks en Googles moeten duiken om te begrijpen of de afspraken juridisch kloppen. De vraag is dan: zijn bovenstaande 5 punten in de overeenkomst benoemd en zijn de partijen daarvoor ook contractueel gezamenlijk verantwoordelijk? Bij een vluchtige lezing van Facebook haar voorwaarden valt op dat men zichzelf als verwerker ziet voor het matchen van de klantgegevens:

“De partijen erkennen en gaan ermee akkoord dat jij de Verwerkingsverantwoordelijke bent met betrekking tot de Verwerking van Persoonsgegevens in Gegevens van Bedrijfshulpmiddelen ten behoeve van de levering van matching-, meet- en analysediensten … en dat je Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ierland ('Facebook Ireland') opdraagt deze Persoonsgegevens voor die doeleinden namens jou als jouw Verwerker te Verwerken op grond van deze Voorwaarden voor Bedrijfshulpmiddelen en de Voorwaarden voor Gegevensverwerking van Facebook. De Voorwaarden voor Gegevensverwerking zijn hierin door middel van verwijzing uitdrukkelijk opgenomen en zijn samen met deze Voorwaarden voor Bedrijfshulpmiddelen van toepassing tussen jou en Facebook Ireland.

De door Facebook veronderstelde rol van verwerker komt dus niet overeen met de opinie van de EDPB die stelt dat ook het ‘matchen’ een onderdeel is van de gezamenlijk verantwoordelijkheid.

En dus….

Van de ‘verkeerde rolverdeling’ kan je veel vinden, maar het gaat de essentie van dit blog te buiten om dit helemaal uit te diepen. Mijn mening is kort gezegd dat het veronderstellen van gezamenlijke verantwoordelijkheid voor het matchen inderdaad zuiverder is, omdat de adverteerder en het advertentienetwerk “het doel en de middelen" van de verwerking als onlosmakelijk geheel samen definiëren. Het is nog geen uitgemaakte zaak en er valt wel wat voor te zeggen dat het ‘matching’-gedeelte juist wel een verwerking in opdracht - met Facebook als verwerker - van de adverteerder betreft. Verder is het natuurlijk geen ramp, want er is ieder geval een afspraak over de omgang met persoonsgegevens. Altijd beter dan geen. De rechter heeft hierin uiteindelijk het laatste woord... mocht het zover komen. Kortom, een adverteerder kan de opinie van de EDPB (in samenspraak met een jurist) gemotiveerd terzijde schuiven.

Het belangrijkste advies is om voor ieder use-case de uitkomst en precieze afweging voor het gebruik van klantgegevens gedetailleerd vast te leggen.

Als disclaimer dan nog deze dooddoener: Als we het hebben over advertenties bij Google en Facebook is los van de van juridische vraag “mag het?” de meer ethische vraag “maar… willen we het ook?” ondertussen minstens zo relevant. Kom je er niet uit, zoek dan dus een jurist met gevoel voor ethiek (of andersom). Succes!

Meer lezen?

Bekijk mijn andere blogs.

© 2021 Frank de Vries. Alle rechten voorbehouden
Privacy
RSS Feed