Publisher begeleiding voor GDPR en toestemming
Geschreven door Kelly van der Kaap op 8 minute read
Binnen een maand treedt de AVG officieel in werking, dus het is belangrijk dat uitgevers bekend zijn met de wettelijke verplichtingen.
Een van de GDPR-concepten die uitvoerig is besproken en wellicht algemeen bekend is, is ‘toestemming’ en de vraag of dit van consumenten moet worden verkregen om affiliate-marketingactiviteiten te kunnen blijven uitvoeren.
In dit artikel leggen we je beknopt uit hoe toestemming nou precies werkt en wat Awins positie hierin is. We geven ook aan welke stappen publishers kunnen nemen om aan de nieuwe privacywetgeving te voldoen.
Definities van toestemming
Allereerst is het belangrijk om te vermelden dat er veel verwarring is rond het begrip toestemming. Dit is deels te wijten aan het feit dat er in de industrie geen consensus over dit onderwerp bestaat, maar vooral doordat we naast de GDPR-toestemming óók toestemming kennen met betrekking tot de bestaande ePrivacywetgeving (ook wel cookiewetgeving genoemd).
Deze wetten staan los van elkaar, maar bestaan ook naast elkaar. Als de privacy van gegevens als een geheel beschouwd wordt, vat de GDPR-verordening dan op als allesomvattend en breed omtrent alle aspecten van gegevens. ePrivacy houdt zich daarentegen specifiek met Direct Marketing en de functies van online tracking bezig.
Het is onvermijdelijk dat er overlap van de twee is aangezien cookies persoonlijke gegevens bevatten, maar het is een vergissing om te veronderstellen dat cookies en persoonlijke gegevens hetzelfde zijn.
In dit artikel verwijzen we naar:
- Toestemming voor het gebruik van cookies in het kader van de ePrivacyrichtlijn als Cookie-toestemming
- Toestemming voor de verwerking van persoonsgegevens in het kader van de GDPR als Data-toestemming
Hoewel er twee soorten toestemming zijn, is het niet noodzakelijkerwijs, gemakkelijk of vereist om beide tegelijkertijd te verkrijgen.
Onder de GDPR zijn er meerdere manieren om persoonsgegevens legaal te verwerken, zonder een beroep op data-toestemming te doen.
In feite kan er worden gezegd dat data-toestemming de minst geschikte en meest belastende rechtsgrondslag voor gegevensverwerking is.
Lees hier meer over de zes rechtsgrondslagen voor de verwerking van persoonsgegevens.
Volgens de ePrivacy-richtlijn van 2012 is cookie-toestemming altijd vereist voor het plaatsen van cookies, tenzij de cookies strikt noodzakelijk zijn voor het leveren van een service die door de persoon werd verzocht. Daarom hebben cashback en loyalty publishers bijvoorbeeld mogelijk geen toestemming nodig voor affiliate cookies, omdat affiliate cookies noodzakelijk zijn voor het functioneren van een cashback of loyalty dienst.
Data-toestemming onder de GDPR
Het verkrijgen van data-toestemming komt niet zonder uitdagingen. Naast een mogelijk negatieve invloed die het kan hebben op de on-site gebruikerservaring, kan de consument bovendien weigeren om überhaupt toestemming te verlenen.
Wanneer persoonsgegevens worden verwerkt op basis van de data-toestemming, verkrijgt de betrokkene meer rechten op het gebied van gegevens die vanaf dan moeten worden gerespecteerd. Bovendien moet de data-toestemming op een specifiek gedetailleerde manier worden beheerd en geregistreerd. Daarbij kan het leveren van content of een dienst aan consumenten en gebruikers niet worden geweigerd omdat zij geen toestemming voor het verwerken van persoonsgegevens willen geven, tenzij de dienst afhankelijk is van die toestemming.
Misschien wel het allerbelangrijkste: om geldige data-toestemming te verkrijgen, moet de betrokkene voldoende informatie krijgen om een weloverwogen keuze te kunnen maken.
Daarom gebruikt Awin een andere rechtsgrondslag voor de verwerking van persoonsgegevens onder de GDPR, bekend als rechtmatig belang, en heeft Awin geen data-toestemming nodig van publishers of adverteerders om legaal transacties te volgen.
Dit geldt voor de verwerking van persoonsgegevens wanneer personen van de website van de publisher naar websites van de adverteerder reizen, via onze domeinen, waarbij de bevestiging van de transactie wordt gemeten en de daaropvolgende beschikbare rapportage in de gebruikersinterface.
Awin kan deze aanpak hanteren, omdat we een ‘pureplay’ affiliate netwerk zijn.
Awin gebruikt persoonsgegevens voor het tracken van verwijzingen naar adverteerderwebsites, de daaruit voortvloeiende transacties en onze rapportages, maar we gebruiken deze gegevens nooit opnieuw om:
- Gedragsmatige gebruikersprofielen op te stellen
- Gedrag te profileren
- Te commercialiseren voor andere doeleinden
Voor dergelijke vormen van verwerking is doorgaans data-toestemming vereist, omdat er wordt aangenomen dat zij een grotere impact hebben op de privacy van een individu.
Door dit soort verwerking niet toe te passen, kan Awin zich op rechtmatig belang beroepen om de verwerking te rechtvaardigen en hoeft het hierdoor niet te voldoen aan de eisen voor data-toestemming.
De ICO-definitie van rechtmatig belang is hier beschikbaar.
Cookie-toestemming onder ePrivacy
Aangezien de ePrivacyrichtlijn in de nationale wetgeving in de hele EU werd opgenomen, is toestemming voor het gebruik van cookies vereist bij het plaatsen van cookies.
Op dit moment gebeurt dit vaak impliciet; de persoon krijgt een melding dat er cookies worden geplaatst, maar hoeft geen stappen te ondernemen om zijn toestemming voor cookies te bevestigen, (dit wordt meestal gedaan door zich aan te melden). De aard van een richtlijn is dat de juridische interpretatie ervan van land tot land kan verschillen.
In sommige rechtsgebieden van de EU is de impliciete toestemming van een individu niet aanvaardbaar en daarom wordt hem al enkele jaren gevraagd om zijn toestemming voor het gebruik van cookies te bevestigen, maar deze rechtsgebieden zijn in de minderheid.
Sinds 2012 eist Awin van publishers dat zij onder onze voorwaarden toestemming voor cookies vragen. Dit om ervoor te zorgen dat publishers zich aan deze regels houden, maar ook om namens Awin cookie-toestemming te verkrijgen voor de cookies die door Awin worden geplaatst. Dit is eigen voor netwerken zoals het onze, die geen natuurlijke of geschikte kans hebben om met individuen in contact te komen om toestemming voor het gebruik van cookies te verkrijgen.
Waarom hebben we het opnieuw over cookie-toestemming?!
Toestemmingen voor het gebruik van cookies zijn weer het onderwerp van discussie, omdat in de meeste EU-lidstaten de wetgevingen die de ePrivacyrichtlijn implementeren, afhankelijk zijn van de toestemmingsdefinitie in de lokale datawetgeving voor het opstellen van de definitie van cookie-toestemming.
Wanneer de GDPR dus lokale gegevenswetten vervangt, wordt ook de definitie voor cookie-toestemming vervangen.
Dit is belangrijk, omdat de toestemmingsnorm die nodig is voor de GDPR hoger is dan onder de bestaande lokale datawetten; het belangrijkste verschil is dat de toestemming ondubbelzinnig dient te zijn.
Wat is de impact van de GDPR op cookie-toestemming?
Het gevolg is dat het verkrijgen van toestemming voor cookies nu een grotere rol speelt. Het specifieke verschil is dat, omdat de cookie-toestemming ondubbelzinnig moet zijn, de gemeenschappelijke aanpak van het gebruik van impliciete toestemming waarschijnlijk niet voldoende is. Toestemming voor het gebruik van cookies moet ook worden gegeven voordat cookies worden ingesteld.
Om een geldige toestemming voor het gebruik van cookies onder de nieuwe toestemmingsdefinitie te verkrijgen, moet de persoon iets doen om aan te geven dat hij hiermee instemt. Je bent wellicht bekend met een groeiende focus op universele toestemmingstools; een stukje technologie dat een boodschap toont wanneer een gebruiker op een website aankomt en toestemming vraagt om de on-site activiteit van die consument te volgen.
Publishers kunnen er daarom voor kiezen om gebruik te maken van toestemmingstools, maar er kan ook toestemming worden verkregen door bijvoorbeeld verder op een website te navigeren door op interne of externe links te klikken (mits er geen cookies vóór dit punt zijn geplaatst).
Dus hoe zijn cookie-toestemming en data-toestemming dan anders?
Omdat cookies inherent minder ingewikkeld zijn dan alle dingen die met persoonsgegevens kunnen worden gedaan, is het voldoen aan de hogere toestemmingsstandaarden veel gemakkelijker bij het verkrijgen van cookie-toestemming dan bij het verkrijgen van data-toestemming voor cookies.
Er moet minder worden uitgelegd aan de persoon, er zijn minder verplichtingen met betrekking tot het bewaren van gegevens en minder aanvullende rechten om de persoon aan te bieden.
Het nalevingsrisico is ook veel kleiner, omdat de enorme boetes die de GDPR oplegt niet van toepassing zijn op cookie-toestemming, in tegenstelling tot data-toestemming gebruikt voor cookies.
Hoewel de wetten ter uitvoering van de ePrivacyrichtlijn afhankelijk zijn van de GDPR voor wat betreft de definitie van toestemming, hebben zij nog steeds hun eigen boetes en sancties als deze niet worden nageleefd.
Hoe verandert dit de manier waarop ik met Awin werk?
Wij erkennen dat door de wijziging in de definitie van toestemming het moeilijker is geworden om aan jouw bestaande verplichtingen te voldoen. Tenzij je natuurlijk actief bent in een rechtsgebied als Nederland, waar personen al verplicht zijn hun toestemming voor cookies te geven.
Cookie-toestemming blijft door Awin vereist voor haar publishers om zowel toestemming voor zichzelf als voor de cookies die door het domein van Awin worden geplaatst te verkrijgen.
We zullen ook op de naleving van deze vereisten door publishers blijven toezien en hen vragen op de juiste wijze toestemming voor cookies te verkrijgen als blijkt dat dit niet het geval is.
Awin schrijft echter niet voor hoe cookie-toestemming moet worden verkregen.
Awin biedt een toestemmingsinstrument aan dat voor cookie-toestemming kan worden gebruikt, maar wij vinden het ook goed als je andere toestemmingsinstrumenten gebruikt of op andere manieren geldige toestemming verkrijgt. Het zal bijvoorbeeld in de meeste gevallen voldoende zijn om bestaande cookie-meldingen te wijzigen om uit te leggen dat een individu zijn of haar toestemming geeft voor een affiliate tracking cookie als hij of zij op een externe link klikt zonder zijn of haar browser cookie-instellingen te wijzigen. De aanpak van Awin zal deze methodologie volgen.
We begrijpen dat de GDPR niet eenvoudig is, vooral niet voor kleinere publishers en we proberen de nalevingslasten voor onze publishers dan ook op alle mogelijke manieren tot een minimum te beperken.
Eén manier is om onze gegevensverwerking op basis van rechtmatige belangen te verantwoorden, zodat we publishers niet hoeven te vragen om data-toestemming voor ons te verkrijgen. Dit geldt niet voor cookie-toestemming; als een bedrijf de cookie niet hoeft te plaatsen om een dienst te leveren die door een individu werd gevraagd, dan kan cookie-toestemming niet worden vermeden. Maar aangezien cookie-toestemming eenvoudiger is dan data-toestemming voor het gebruik van cookies, kunnen we op zijn minst flexibel zijn in de methoden van wettelijke cookie-toestemming die voor ons aanvaardbaar zijn.
We zullen in de aanloop naar 25 mei 2018 richtlijnen blijven geven om zowel publishers als adverteerders te helpen, inclusief details over ons toestemmingsinstrument.
Wij hopen dat je begrijpt dat wij niet in de positie zijn om juridisch advies te kunnen geven.