Data analytics

Hoe bescherm je de privacy van je websitegebruikers?

0

In het digitale tijdperk is privacy meer dan een recht, het is een centraal element van klantvertrouwen en bedrijfsintegriteit. Maar hoe zorg je ervoor dat je gebruik kunt maken van de laatste marketing- en datatechnieken, zonder dat je de privacywetten schendt? Dat is tegenwoordig een ware kunst. Deze verantwoordelijkheid valt vaak in handen van dataspecialisten, webontwikkelaars, website-eigenaren en campagnemanagers.

Privacy een essentiële overweging die je niet mag negeren. Het is cruciaal om te voldoen aan de wettelijke vereisten en tegelijkertijd om de privacy van de gebruikers te beschermen. Als marketeer heb je toegang tot een reeks tools en technieken, maar de vraag blijft: zijn ze allemaal ethisch verantwoord? Dit artikel richt zich op enkele van de meest relevante thema’s in de hedendaagse privacy-discussie:

  1. Data Privacy Framework & Google Analytics
  2. Cookiebanners
  3. Google Consent Mode & Enhanced Conversions
  4. Server-side Tagging

1. Data Privacy Framework & Google Analytics

In juli kwam er vanuit Brussel een opvallend positief bericht. Het is namelijk weer toegestaan om vanuit de EU persoonsgegevens te versturen naar de VS onder het zogenoemde EU-US Data Privacy Framework. Het besluit werd al in 2022 aangekondigd, nadat er grote ophef was ontstaan in Europa over de persoonsgegevens die werden verstuurd naar de VS door onder andere Google en Meta. De Amerikaanse veiligheidsdiensten zouden deze gegevens moeiteloos kunnen inzien, wat leidde tot rechtszaken bij het Europese hof die eerdere overeenkomsten (Data Privacy Shield en Safe Harbor-deal) ongeldig verklaarden.

Met de nieuwe overeenkomsten kunnen de veiligheidsdiensten alleen de data inzien als dit strikt noodzakelijk en evenredig is. Amerikaanse bedrijven mogen dus weer persoonsgegevens uit de EU ontvangen zonder aan extra eisen te moeten voldoen, mits ze wel zijn aangesloten bij het Data Privacy Framework-netwerk.

Toch heeft privacy activist Max Schrems zich al uitgesproken tegen de nieuwe afspraken. En is hij van plan deze wederom voor het Europese Hof aan te vechten. Een traject waarop hij in het verleden al eens succes heeft geboekt. Desondanks blijft deze uitkomst nog even onzeker.

Praktische gevolgen van de nieuwe regels

De vraag blijft wat dit betekent voor het gebruik van diensten als Google Analytics (GA). Het lijkt erop dat het Data Privacy Framework voldoende bescherming biedt voor het gebruik van GA, waarvan de verbanning in sommige EU-landen voornamelijk te wijten was aan de onrechtmatige overdracht van EU-gegevens naar de VS. Toch blijft het gebruik van GA in sommige landen onder vuur liggen. Vaak vanwege andere overtredingen van de GDPR, zoals het ontbreken van cookiebanners die leiden tot het laden van gegevens zonder toestemming.

De Nederlandse Autoriteit Persoonsgegevens (NAP) heeft bij het schrijven van dit artikel nog geen definitief besluit genomen over het verbieden van Google Analytics. Andere landen zoals Oostenrijk, Frankrijk, Denemarken en Italië hebben al wel een verbod opgelegd aan het gebruik van Google Analytics. Het is belangrijk om de ontwikkelingen en wetgeving per land in de gaten te houden en juridisch advies in te winnen, vooral als je actief websites beheert in diverse EU-landen. Voor Nederlandse websites is het belangrijk om het advies op te volgen van de AP.

Mocht je echt niet willen wachten op het besluit van de NAP, kan je er natuurlijk ook voor kiezen om over te stappen naar een andere Analytics-tool zoals Matamo of Plausible Analytics. Deze tools claimen wel helemaal privacy friendly te zijn, zonder voorwaarden.

2. Cookiebanners

Afgelopen jaren is er een ware explosie geweest van cookiebanners. En dat is een positieve ontwikkeling voor de privacy van internetgebruikers. Cookie Management Platforms (CMP’s) zijn inmiddels uitgegroeid tot volwassen en kosteneffectieve oplossingen voor het beheer van cookies op websites, waardoor de noodzaak voor extra investeringen in ontwikkeling vaak overbodig wordt. Deze platforms bieden het gemak van automatische scans en updates van cookie-inventarissen, waardoor handmatige interventie niet langer vereist is. Bovendien bieden hulpmiddelen zoals Cookiebot en Onetrust uitgebreide opties voor het personaliseren van de uitstraling en het ontwerp van cookiebanners, waardoor ze moeiteloos op diverse websites geïntegreerd kunnen worden.

De ‘Weiger alle cookies’-knop

Er heerst enige onzekerheid over de verplichting van de ‘Weiger alle cookies’-knop in Nederland. Hoewel de verwachting is dat deze eis uiteindelijk zal worden ingevoerd, zoals nu al in verschillende aangrenzende landen het geval is. Het is een logische stap om gebruikers de keuze te bieden om cookies snel te accepteren of juist volledig af te wijzen. Vooral voor degenen die grote waarde hechten aan hun online privacy. In mijn ogen vormt dit de kernreden voor het bestaan van cookiebanners en daarom ondersteun ik persoonlijk de implementatie van een ‘Weiger alle cookies’-optie.

Chrome’s universele cookiebanner

Maar, de toename van cookiebanners heeft geleid tot een fenomeen dat bekendstaat als ‘consent moeheid’. Het constant moeten navigeren door een wirwar van cookiebanners, die bovendien vaak traag laden, draagt niet bij aan een positieve gebruikerservaring. Met deze gedachte zijn er ook geluiden dat Chrome werkt aan een universele cookiebanner die door websitebeheerders kan worden gebruikt. Het idee is dan dat je bij iedere browsersessie slechts eenmaal je cookievoorkeuren hoeft aan te klikken (in Chrome), en niet per apart websitebezoek.

Het nadeel zou dan wel kunnen zijn dat Chrome weer meer macht naar zich toe trekt. En je hebt natuurlijk ook nog andere browsers zoals Firefox, Edge etc. die deze techniek dan weer niet hanteren. Een website zou dan meerdere technieken moeten hebben ingesteld naargelang welke browser een gebruiker heeft. Dit lijkt niet echt praktisch, maar we zullen zien of dit project wellicht toch nog ooit gaat slagen.

3. Google Consent Mode & Enhanced Conversions

Consent Mode” is een methode om gegevens naar Google-diensten zoals Analytics, Ads en DV360 te sturen op basis van niet-identificeerbare informatie van de gebruiker. Dit betekent dat Google in deze modus geen cookies of andere identifiers gebruikt om gebruikers of sessies te herkennen. In plaats daarvan worden ‘cookieless’ pings gebruikt om statistieken zoals paginabezoeken en transacties te registreren. Google beweert dat er geen verdere gebruikersgegevens worden opgeslagen. Consent Mode kan worden geconfigureerd via Google Tag Manager en toegepast op alle Google Tags. Hierdoor kunnen gegevens naar Google verzonden worden. Zelfs als een gebruiker geen toestemming heeft gegeven.

Hoewel dit op technisch vlak een ideale oplossing lijkt, bestaat er onder data- en privacyexperts een levendige discussie over de ethische aspecten: is het verantwoord om gegevens te verzamelen van gebruikers die geen toestemming hebben gegeven? Deze vraag moeten organisaties zelf beantwoorden. Volgens Google voldoet deze techniek aan de GDPR, en momenteel is er geen overheidsverbod op deze praktijk.

Enhanced Conversions” van Google bevindt zich ook in een soort grijze zone. Deze methode stuurt gehashte e-mailadressen naar Google’s servers tijdens een conversie. Google kan deze gehashte gegevens vervolgens vergelijken met het gehashte e-mailadres van een gebruiker die in Chrome is ingelogd. Hierdoor functioneert dit op een soortgelijke manier als een third-party cookie, inclusief het traceren van gebruikers over verschillende domeinen. Dit proces verrijkt de algoritmen die worden ingezet voor Google’s campagnes. Het is daarom cruciaal dat je Google Tags die “Enhanced Conversions” gebruiken, goed geïntegreerd zijn met je cookiebanner. Je kan deze techniek namelijk beschouwen als een vorm van een digitale vingerafdruk.

Net zoals bij Consent Mode, is er over “Enhanced Conversions” een discussie over privacy gaande. Het is raadzaam om met een juridisch adviseur te overleggen om er zeker van te zijn dat je in overeenstemming met de regelgeving handelt.

4. Server-Side Tagging

Server-side Tagging (SST) wordt vaak aangeprezen als de sleutel tot het verminderen van afhankelijkheid van third-party cookies. Maar in werkelijkheid richt SST zich op first-party cookies die via een server container worden geplaatst, omdat een server container überhaupt geen third-party cookies kan plaatsen. Voor deskundigen op het gebied van webtracking is SST essentieel; het biedt mogelijkheden die onbereikbaar zijn met enkel client-side tracking-methodes.

Vanuit privacy-oogpunt is SST bijzonder waardevol. Normale client-side tracking laadt JavaScript libraries in (pixels) van leveranciers zoals Meta en Google. Deze libraries hebben potentieel toegang tot alle gebruikersgegevens die op dat moment beschikbaar zijn. In tegenstelling tot client-side tracking, waarbij JavaScript-pixels gebruikt worden, laat SST je zelf kiezen welke gegevens je verstuurt. Je creëert daarmee eigenlijk een filter voor je dataverzameling voordat het naar externe partijen gaat. Hierdoor heb je volledige controle over welke gegevens gedeeld worden.

Bovendien helpt SST om het zogenoemde ‘piggybacking’ te voorkomen, waarbij geplaatste pixels ongewild andere pixels inladen. SST is dus niet zozeer een alternatief voor third-party cookies, maar meer een methode om misbruik van deze cookies te beheersen en te beperken.

Vind de balans

De balans vinden tussen datagebruik en privacybescherming is een continue uitdaging voor digitale marketeers en websitebeheerders. Regelgevingen evolueren en consumenten zijn zich steeds meer bewust van hun digitale voetafdruk. Daarom moeten bedrijven ethische en transparante praktijken hanteren. Het gebruik van tools zoals alternatieve analytics-oplossingen, geavanceerde cookiebanners, Consent Mode, Enhanced Conversions en Server-side Tagging kan helpen bij het navigeren door het complexe landschap van digitale privacy. Toch is het essentieel om juridische compliance te waarborgen. En voorbereid te zijn op een toekomst waarin privacy nog centraler zal staan. Het succes ligt in de handen van diegenen die zich aanpassen aan de nieuwe realiteit, waarin respect voor de privacy van gebruikers de hoogste prioriteit heeft.