De GDPR en affiliates – een industrie statement
Geschreven door Laurens Aalbers op 7 Minute read
Om onze publishers te helpen, hebben we met concurrerende netwerken en platformen samengewerkt om een gezamenlijke verklaring over de GDPR.
Zoals je wellicht weet, treedt de GDPR (General Data Protection Regulation) in werking op 25 mei 2018. De GDPR zal een van de meest invloedrijke stukken in datawetgeving worden in een generatie. Alle bedrijven, groot en klein, zijn verplicht ervoor te zorgen dat ze voldoen aan deze complexe wet wanneer deze van kracht wordt. Vanwege het belang van de naleving van deze regelgeving hebben een aantal Britse affiliate bedrijven samengewerkt om ervoor te zorgen dat je duidelijke, industrie-brede ondersteuning en een uniforme boodschap ontvangt van de bedrijven waarmee je werkt.
Die bedrijven zijn; affilinet, Awin, CJ Affiliate, Impact Radius, Optimize, Performance Horizon, Rakuten Affiliate Marketing, Skimlinks, Tradedoubler en Webgains.
Een van de redenen om met andere netwerken samen te werken is om er zo voor te zorgen dat een gestandaardiseerde boodschap naar de markt wordt gestuurd. Hoewel netwerken in de loop van de tijd verschillende adviezen kunnen bieden - en we ervoor zullen zorgen dat we die via onze GDPR-hub communiceren - zijn er gemeenschappelijke standpunten en vereisten waar we geen verwarring over wilden. Raadpleeg de hub voor meer informatie over de komende weken voordat de GDPR in mei van start gaat.
Wat is de GDPR?
De General Data Protection Regulation (GDPR), of de Algemene Verordening Gegevensbescherming (AVG), van de EU is de nieuwe regelgeving rondom het gebruik van persoonsgegevens op alle EU-markten. Je kunt het bekijken als een nieuwe set gegevenswetten die geschikt zijn voor het digitale tijdperk.
Het vervangt de huidige nationale gegevensbeschermingswetgeving en het bestaande EU-kader voor gegevensbescherming. De GDPR is ontworpen om consumenten meer controle te geven over hun persoonlijke informatie en geldt voor de hele Europese Unie. Ongeacht de toekomstige relatie van het Verenigd Koninkrijk met de EU, heeft de Britse regering verklaard dat zij van plan is de wetgeving gelijkelijk met de EU-lidstaten te implementeren. Het is van belang om te weten dat de GDPR verhoogde sancties introduceert; organisaties kunnen een boete opgelegd krijgen tot € 20 miljoen of 4% van de jaaromzet (waarbij de hoogste waarde wordt bereikt) als ze deze wet overtreden.
De nieuwe regels
Wij hebben de onderdelen van de GDPR geselecteerd die volgens ons op dit moment het meest relevant zijn voor de affiliate industrie. Het is echter belangrijk om jezelf vertrouwd te maken met alle details, aangezien er veel meer implicaties zijn die er moeten worden begrepen. Daarnaast hebben we ook enkele nuttige links aan het einde van dit artikel verstrekt.
Persoonlijke data
Persoonlijke gegevens van consumenten vormen de kern van de GDPR en de classificatie van persoonlijke gegevens is wordt onder de GDPR flink uitgebreid. Dit betekent dat data waarop de affiliate-industrie zich op baseert dat momenteel niet beschouwd wordt als persoonlijke gegevens, mogelijk onder de GDPR nu wel zo wordt geclassificeerd. Hoewel een definitieve lijst met persoonlijke identificatiegegevens niet bestaat voor affiliate marketeers, kunnen we aannemen dat deze informatie onderdelen zoals cookie-ID's, klantnummers, IP-adressen, apparaat-ID's enz. zal omvatten.
Dit zijn identificatiegegevens die veel netwerken en platforms vastleggen als onderdeel van hun standaardtracking. Publishers die gebruik maken van affiliatetracking, hebben daarom de plicht om ervoor te zorgen dat zij wettelijk voldoen aan deze nieuwe regelgeving.
Rechtsgronden voor het verwerken van persoonsgegevens
Bedrijven hebben een wettelijke basis nodig om persoonlijke data te verwerken. Er zijn zes rechtsgronden mogelijk; de twee meest gebruikte in de digitale advertentiesector zijn toestemming en legitiem belang.
Legitiem belang onderscheidt zich van toestemming. Volgens de ICO (Information Commissioner’s Office): "Het is waarschijnlijk het meest geschikt wanneer je de gegevens van mensen gebruikt op een manier die zij redelijkerwijs zouden verwachten en die een minimale privacy-impact hebben, of wanneer er een overtuigende rechtvaardiging is voor de verwerking". Als een bedrijf kiest voor legitiem belang, moeten ze met volle vertrouwen kunnen demonstreren dat dit een geschikte rechtsgrondslag is.
Waar toestemming noodzakelijk wordt geacht, verklaart de ICO: "Toestemming betekent dat individuen een echte keuze en controle krijgen. Oprechte toestemming moet individuen de leiding geven, bouw het vertrouwen en de betrokkenheid van klanten op en verbeter jouw reputatie".
"Contract" is ook een juridische basis die in sommige gevallen van toepassing kan zijn. Het verwijst naar gevallen waarin er specifieke contractovereenkomsten zijn tussen een bedrijf en zijn klanten (betrokkenen) die het bedrijf in staat stellen om persoonlijke gegevens te verzamelen en te verwerken. Sommige publishers (zoals cashback-bedrijven) hebben misschien wel zo'n overeenkomst opgesteld met hun gebruikers.
Gezien de uiteenlopende aard van het affiliate kanaal en de verscheidenheid aan digitale kanalen die affiliates gebruiken om omzet te genereren, is het voor netwerken moeilijk om aanbevelingen te geven. Waar voorgeschreven vereisten nodig zijn, zullen individuele netwerken dit op tijd aangeven.
U vindt hier (EN) alle informatie over de rechtsgronden.
De ePrivacy Richtlijn
De ePrivacy-richtlijn (cookiewet) wordt grotendeels geassocieerd met de banners en pop-ups die worden weergegeven bij het bekijken van websites die consumenten informeren over het gebruik van cookies om online activiteiten bij te houden. (De richtlijn is ook van toepassing op e-mail, sms en call marketing toestemming, die van toepassing zijn op sommige bedrijven die affiliate campagnes uitvoeren).
De GDPR vervangt de e-privacyrichtlijn niet, maar loopt tegelijkertijd. Deze richtlijn wordt momenteel herzien om ervoor te zorgen dat deze wordt afgestemd op de GDPR, zodra deze is voltooid. Een aandachtspunt van de herziening is het verbeteren van de transparantie voor consumenten en het introduceren van strengere opt-ins voor cookies (en vergelijkbare volgtechnologieën). Op grond van de bestaande e-privacyrichtlijn heeft de ICO duidelijk gemaakt (EN) dat toestemming nodig is voor "cookies en soortgelijke technologieën". Dus, ongeacht welke rechtsgrondslag gebruikt wordt voor de verwerking van persoonlijke data volgens de GDPR-regels, blijft de ePrivacy-richtlijn van kracht, wat betekent dat ondubbelzinnige toestemming vereist is voor het gebruik van veel cookies omdat de GDPR alleen toestemming voldoende acht als deze "ondubbelzinnig" is. Dit betekent dat publishers hun toestemmingsmechanismen moeten herzien samen onder begeleiding van de ICO en zo overeenkomende wijzigingen aanbrengen.
Een Industrie toestemming oplossing
Gezien de mogelijk aanzienlijke impact op alle vormen van online adverteren heeft de industrie samengewerkt om algemene standaarden en benaderingen te creëren. In november 2017 heeft IAB Europe een technische standaard voor online toestemming aangekondigd en industrie stakeholders zijn een toestemmingsinstrument aan het bouwen dat bedoeld is om te er voor te zorgen dat de GDPR- en e-privacyrichtlijn tijdig worden nageleefd voor de deadline in mei. Meld je hier (EN) aan voor updates.
Als je ervoor kiest om een toestemmingsoplossing op jouw website weer te geven, kun je mogelijk gratis versies gebruiken die online beschikbaar zijn. Een aantal bedrijven zijn toestemmingsinstrumenten aan het ontwikkelen; wij adviseren je om ook andere mogelijke toestemmingsoplossingen te evalueren die geschikt zijn voor jouw bedrijf. Er is een verscheidenheid aan opties en hulpmiddelen beschikbaar online en we adviseren je om verschillende oplossingen qf te wegen om ervoor te zorgen dat ze naargelang de voorschriften kunnen worden geïmplimenteerd.
Daarbovenop is het collectief van de bovengenoemde bedrijven hier om ondersteuning te bieden.
Next Steps Checklist voor Publishers
- Publishers moeten bepalen hoe de GDPR hun bedrijfsactiviteiten beïnvloedt en moeten de maatregelen documenteren die genomen zijn om aan de regels te voldoen.
- Publishers zouden aandacht moeten schenken om transparantie voor de consument te garanderen en zouden de meest geschikte rechtsgrondslag moeten bepalen voor het verzamelen en verwerken van persoonlijke data van website bezoekers.
- Publishers moeten privacybeleid en cookie-kennisgevingen evalueren en upgraden om transparantie te bieden en de toestemming verstrekking te verbeteren.
- Publishers moeten hun eigen juridisch advies zoeken. Deze boodschap moet niet als juridisch advies worden gezien.
De GDPR betekent dat alle bedrijven veranderingen zullen moeten meemaken en in dit stadium is de impact op de sector nog onzeker. Deze effecten kunnen echter wel worden verzacht door begrip aan te tonen, inspanningen te doen en maatregelen te nemen om aan de regels te voldoen. Terwijl de deadline 25 mei 2018 is, markeert dit de start van het nieuwe tijdperk van gegevens privacy.
Het is belangrijk dat je jouw verplichtingen als bedrijf voor de GDPR begrijpt en de nodige wijzigingen aanbrengt om hieraan te voldoen. Raadpleeg de onderstaande links voor meer informatie en overweeg zeker om ons advies hierboven op te volgen.
Handige links:
ePrivacy Directive IAB factsheet