Het verzamelen en analyseren van gegevens is voor vrijwel elke organisatie een essentieel onderdeel van de business geworden. Cookies en fingerprinting behoren tot de populairste technieken en zijn de basis voor veel trackingmethoden. In deze tweedelige serie bekijk ik zes verschillende methoden om bezoekers- en gebruikersdata te verzamelen.
In deze eerste aflevering bekijk ik analytics trackers, first-party tracking/cookies en privacyvriendelijke analytics. In het volgende deel ga ik verder in op methoden als ‘cookie-loze’ tracking, opt-in only tracking en het verzamelen van anonieme data.
- Analytics tracker: het fundament van dataverzameling
De kern van ieder analytics platform is een tracker, een algoritme die verschillende mogelijkheden biedt om data te verzamelen. Als gebruiker bepaal je welke gegevens er wel en niet worden bijgehouden. Door de AVG/GDPR is het essentieel voor organisaties dat ze precies weten welke gegevens ze verzamelen en hoe ze dat precies doen. Tegelijkertijd is het hebben van goede data belangrijker dan ooit voor beslissingsprocessen, zowel in de publieke als de private sector.
Gelukkig kunnen trackers zo worden ingesteld dat ze nuttige gegevens verzamelen en tegelijkertijd voldoen aan de privacyregelgeving. Het woord ‘tracken’ is daarbij eigenlijk een beetje misleidend. Je zou kunnen denken dat alle trackers mensen op internet volgen en persoonlijke gegevens verzamelen. In sommige gevallen is dat inderdaad het geval. Maar er zijn ook veel trackers die in eerste instantie alleen anonieme gegevens verzamelen en alleen persoonlijke gegevens verzamelen als daar duidelijke toestemming voor is. Er is wat onduidelijkheid over welke trackers dit nu compliant doen. Sommige trackers zonder cookies beweren bijvoorbeeld ten onrechte dat ze alleen anonieme gegevens verzamelen. En ook voor sommige methoden die geen cookies gebruiken is toch toestemming nodig, omdat ze wel persoonlijke gegevens verzamelen.
Veel trackers zijn ontwikkeld met slechts één doel: zo veel mogelijk gegevens verzamelen, met weinig aandacht voor de privacy. Adtech-leveranciers verzamelen bijvoorbeeld grote hoeveelheden data en bieden adverteerders daarmee een makkelijke manier om zich op specifieke doelgroepen te richten. De meest agressieve spelers in deze markt zijn groot en winstgevend geworden door zo veel mogelijk data te verzamelen. Daarbij is het respecteren van onze privacy van secundair belang, ondanks herhaalde oproepen van consumenten- en privacyorganisaties.
Ook sommige bekende analytics platforms, zoals Google Analytics, maken deel uit van dit adtech-ecosysteem en hebben trackers die zijn ontworpen om zoveel mogelijk gegevens te verzamelen, wat vaak ten koste gaat van de gegevensprivacy. Hoewel dit niet meteen hoeft te betekenen dat ze niet-compliant zijn, werpen ze wel een aantal serieuze hindernissen op als het gaat om het privacyvriendelijk verzamelen van data.
- First-party tracking en privacyvriendelijke analytics
Sinds de introductie van wetten zoals de AVG/GDPR en het blokkeren van third-party identifiers, kijken marketeers en analisten steeds vaker naar een ‘first-party’-aanpak. Maar wat is dat precies? Artikel 5, lid 3 van de e-privacy-richtlijn 2002/58/EG stelt: ‘[…] toegang tot informatie die is opgeslagen in de apparatuur van een abonnee of gebruiker is alleen toegestaan op voorwaarde dat de betrokken abonnee of gebruiker duidelijke en uitgebreide informatie krijgt […] over de doeleinden van de verwerking, en het recht krijgen om dergelijke verwerking door de data controller weigeren.’
Met andere woorden: voor het volgen en verzamelen van gegevens over het gedrag van bezoekers/gebruikers is eerst toestemming van de betrokkene nodig. Maar naast die feitelijke toestemming kent een first-party en privacyvriendelijke benadering van gegevensverzameling nog een aantal andere belangrijke aspecten waar organisaties zich bewust van moeten zijn:
-
Bedrijven moeten honderd procent controle over data bieden, vooral als het gaat om persoonlijke gegevens. Betrokkenen moeten duidelijk geïnformeerd worden over de doeleinden van de gegevensverzameling en waar deze data worden opgeslagen. Bij cloud-oplossingen is het verstandig om landen te vermijden waar de lokale regelgeving niet hetzelfde niveau van privacybescherming biedt als de AVG/GDPR.
-
Er mogen geen gegevens doorgegeven worden aan derden en deze mogen niet gebruikt worden voor andere doeleinden dan welke genoemd zijn bij het vragen van toestemming. Dit geldt ook voor de gegevensverwerker.
-
De gegevens mogen niet verplaatst worden buiten de grenzen van het rechtsgebied waar ze zijn verzameld. Als dit toch nodig is, moet daar eerst toestemming voor komen en moet de bestemming de juiste waarborgen (privacywetten) bieden voor gegevensbescherming.
-
De gegevens dienen verzameld te zijn tijdens een directe interactie tussen de website of een product en de betrokkenen.
-
De rechten of vrijheden van de betrokkenen mogen op geen enkele manier beperkt worden. Ze moeten toestemming kunnen geven voor specifieke doeleinden voor de gegevensverzameling en moeten hun beslissing op ieder moment makkelijk kunnen wijzigen.
-
De data controller dient een helder privacy beleid te bieden om betrokkenen op de hoogte te houden. Dit is belangrijk om te kunnen voldoen aan de AVG?GDPR en andere regelgeving op het gebied van privacy.
Daarnaast is het verplicht om goed bij te houden welke toestemmingen betrokkenen hebben gegeven en welke verzoeken er zijn geweest voor het verzamelen van gegevens. Daarvoor zou een aparte consent manager geïmplementeerd kunnen worden die gekoppeld wordt aan analytics tools. Een andere mogelijkheid is gebruik van een analytics-platform met een geïntegreerde consent manager.
Bij het gebruik van een aparte consentmanager in combinatie met analytics-platform moet er wel voor worden gezorgd dat die manager alleen de juiste informatie doorgeeft aan het platform, dat precies moet weten welke gegevens er – op basis van toestemming – bijgehouden mogen worden. Deze integratie vraagt vaak om specifieke expertise.
Daarbij is een eenvoudige banner om toestemming te vragen, niet voldoende. Om aan de wettelijke vereisten te voldoen, moeten gebruikers/bezoekers een duidelijke keuze krijgen en moet het makkelijk zijn om die toestemming te weigeren (het is bijvoorbeeld niet toegestaan om de mogelijkheid om toestemming te weigeren ergens diep in een menu te ‘verbergen’.
- Tracking met first-party cookies
Cookies zijn al jaren het meest gebruikte mechanisme om gebruikers te identificeren en te volgen. Om deze reden hebben de meeste cookies toestemming nodig van de betrokkenen, vooral als het gaat om cookies met een levensduur die langer is dan één bezoek of sessie.
De AVG/GDPR en de e-privacy-richtlijn erkennen ook zogenaamde functionele cookies, die nodig zijn voor een goede werking van een site of applicatie of om een door de gebruiker gevraagde dienst te kunnen leveren. Deze cookies hebben over het algemeen geen toestemming nodig, omdat ze essentieel zijn voor de basisfunctionaliteit. Dit kunnen bijvoorbeeld ook cookies zijn die onthouden welke items een bezoeker in een online winkelmandje heeft geplaatst, of die een sessie voor een ingelogde gebruiker gaande houden. Functionele cookies mogen echter niet worden gebruikt om persoonlijke gegevens te verzamelen. In sommige landen mogen ze zelfs helemaal geen analytische gegevens verzamelen, zelfs als deze anoniem zijn.
Wanneer cookies correct en met de juiste toestemming worden toegepast, bieden ze wel degelijk voordelen:
-
Het bedrijf ontvangt gegevens over het gedrag en de route die klanten op een website volgen, die zijn te analyseren om producten en diensten te verbeteren.
-
Klanten krijgen een betere ervaring. Ze krijgen sneller de informatie die ze nodig hebben en vinden gemakkelijker de producten of informatie die ze zoeken.
Toch moet er bij het gebruik van cookies altijd goed worden nagedacht. Third-party cookies worden bijvoorbeeld uitgegeven door een externe partij, vaak een advertentieplatform, waarop de bezoeker zich op dat moment niet bevindt. Bezoekers weten in dat geval niet wie hun data gaat gebruiken en voor welke doeleinden. Het gebruik van niet-functionele first-party cookies en third-party cookies is daarom toegestaan onder de ‘consent-first’ regelgeving zoals de AVG/GDPR, mits de betrokkenen daar expliciet toestemming voor geven. De AVG/GDPR vereist dat bedrijven precies bijhouden welke gegevens zijn doorgegeven aan derden, in het geval dat iemand vraagt om het wijzigen of verwijderen van zijn gegevens. Dat is een groot nadeel van het gebruik van third-party cookies, omdat dit het beheer van de gegevens aanzienlijk complexer maakt.
Steeds meer populaire browsers blokkeren third-party cookies, waaronder Safari, Firefox, Microsoft Edge en Google Chrome (vanaf medio 2023).
In de volgende aflevering van deze serie ga ik onder andere in op ‘cookie-loze’ tracking, opt-in only tracking en het verzamelen van anonieme data.
Je kunt ook matomo downloaden en op je server installeren. Oostenrijk heeft Google analytics al als “niet AVG-Konform” gebrandmerkt en het gebruik daarmee strafbaar gemaakt.