“Google Analytics illegaal verklaard.” Een paniekgolf zoals we die sinds de invoering van de GDPR niet meer hebben gezien, trekt door de marketingwereld. Wat gebeurt er nu eigenlijk? En wat moet je doen?
Laten we beginnen met een simpele managementsamenvatting: Volgens de GDPR mag je geen persoonsgegevens delen met de VS, vanwege hun privacyschild, maar er is een wettelijke ontsnappingsmogelijkheid. Deze ontsnapping is nu aangevochten door een Oostenrijkse organisatie, die beweert dat Google Analytics nog steeds persoonsgegevens deelt met de VS. Dit is nu bevestigd door de AU Privacy Authority. En hoewel Google bezwaar maakt, evalueren andere EU-autoriteiten nu of ze ook het gebruik van Google Analytics moeten verbieden. Veel (advertentie)platforms zullen naar verwachting volgen.
Achtergrond
Op 25 mei 2018 treed de GDPR in werking. Een grote reeks maatregelen op het gebied van gegevensprivacy, waarvan toestemming voor cookies er slechts één van is. In juli 2020 maakt het Hof van Justitie van de EU (HvJ-EU) bekend dat de regels voor de overdracht van persoonsgegevens naar de VS in strijd is met de GDPR (de Schrems II-uitspraak). Volgens de Amerikaanse wet mogen Amerikaanse inlichtingendiensten toegang krijgen tot deze gegevens. Dit schendt de privacy van EU-burgers en verbiedt hen om hun rechten met betrekking tot hun gegevenseigendom uit te oefenen.
Al verbiedt dit direct het gebruik van tools zoals Google Analytics (GA) of adverteren bij partijen als Google of Facebook. Big tech providers antwoordden met de zogenaamde standaard contractuele clausules, eerder goedgekeurd door de EU. Dit biedt een nieuwe wettelijke basis om gebruik te maken van hun software.
Wat is er gebeurd?
Na de uitspraak van het HvJ-EU diende een in Oostenrijk gevestigde non-profitorganisatie, NOYB, een lijst met klachten in bij hun privacy-autoriteit. Ze vonden dat de meeste technologiebedrijven nog steeds de GDPR schenden en de standaardcontractbepalingen niet goed genoeg zijn om de gegevens van EU-burgers te beschermen. Deze voorkomen namelijk niet dat Amerikaanse inlichtingendiensten toegang krijgen tot de gegevens.
De Oostenrijkse privacy-autoriteit heeft nu besloten dat het delen van IP-adressen of andere identificatiegegevens aan GA inderdaad nog steeds in strijd is met de GDPR. Dit maakt het namelijk mogelijk om gebruikers te herkennen en dus wordt de privacy niet beschermd.
Google publiceerde een snelle reactie waarin ze enerzijds uitleggen hoeveel maatregelen ze hebben genomen, maar vooral benadrukken hoe ze weliswaar de tools aanbieden, maar dat het de gebruikers zijn, dus jij als bedrijf, die beslissen welke gegevens worden verzameld. Dus in het kort zeggen ze: “geef ons niet de schuld voor hoe onze gebruikers ons (verkeerd) gebruiken”.
Toch zijn andere privacy-autoriteiten, zoals de Nederlandse AP, nu aan het evalueren of ze het hiermee eens zijn en ook het gebruik van GA in strijd met de GDPR zullen verklaren.
Wat nu?
Ten eerste zullen we moeten wachten om te zien wat er besloten wordt in het eerste kwartaal in 2022. Of dit tegen GA is en of Google weer snel te hulp schiet met een juridische reactie.
Het is niet onwaarschijnlijk dat GA inderdaad verboden zal worden in zijn huidige opzet, en de resterende juridische gronden worden vrij dun. Zowel wij als Google kunnen ook een overgangsperiode verwachten om ons aan te passen aan de nieuwe situatie. Een technisch antwoord, ofwel het verder anonimiseren van gegevens, of het fysiek binnen de EU houden ervan, is niet zo gemakkelijk gemaakt of goedgekeurd.
Dus als dit gebeurt, wat kun je dan doen? Want dit heeft natuurlijk een enorme impact op welke technologie er nog beschikbaar is om je digitale marketing te kunnen doen. Op het gebied van analytics onderscheiden we vier alternatieven:
Verschillende leveranciers van analysesuites
Bekende alternatieven zijn bedrijven zoals Adobe (ook in de VS) of Webtrekk (in de EU/DE). Het risico, in ieder geval voor de grotere VS alternatieven, is dat deze de volgende kunnen zijn, dus kiezen voor een EU-aanbieder is een veiligere keuze.
Cloud hosted provider van op maat gemaakte analyses
De meeste cloudproviders (GCP, Azure of AWS) bieden opties om de locatie van je gegevens te bepalen, je kan ook kiezen voor een EU-cloudprovider. Door de EU gebaseerde opslag te combineren met een tool als Snowplow, kun je je eigen, op de EU gebaseerde dataset met gedragsgegevens maken, zoals je gewend bent in Analytics. Hoewel je nog steeds het risico loopt dat ook deze providers of tools de volgende zijn, is dit een duidelijke stap om je gegevens te bewaren waar ze horen te zijn.
Zelf gehost analytics platform
Als je het risico dat derden worden verboden volledig wilt beperken, kun je altijd terugvallen op een zelf gehoste oplossing zoals Piwik of Matomo. Dit vereist dat je je eigen hosting en onderhoud opzet, maar bied je nog steeds professionele rapportagemogelijkheden.
Wacht op Google
Google laat de EU-markt niet zomaar vallen. Je mag van hen verwachten dat ze met een oplossing komen, hetzij juridisch op korte termijn, technisch op de lange termijn, of beide. Toch kan het zijn dat je in de tussentijd in een zwart gat terecht komt.
Let op: ga niet overhaast te werk. Het is raadzaam om de ontwikkelingen van de komende dagen/weken af te wachten. Zorg ervoor dat je volgende stappen overlegt met je marketingafdeling, maar ook met juridische partners.
Wat brengt de toekomst?
GDPR, ITP, IDFA, HvJ-EU, NOYB, het wordt steeds moeilijker om alle afkortingen met betrekking tot gegevensbescherming bij te houden. Feit is dat zowel juridisch als technisch de hoeveelheid gegevens die je mag of kan verwerken alleen maar verder wordt beperkt. Voor elk bedrijf is het aan te raden om verder te gaan in de richting van een first-party datastrategie.
Vraag je gebruikers om gegevens met je te delen en zorg ervoor dat je aantrekkelijke voordelen hebt om hen te overtuigen om dit te doen. We zullen continu de nieuwe realiteit moeten accepteren waarin de gangbare opvatting over privacy in de offline wereld ook online wordt toegepast.
Offline kan ik gewoon elke winkel binnenlopen, rondsnuffelen en weggaan zonder dat de winkeleigenaar mij kan volgen of targeten. Maar als ik een vraag heb, zal ik een verkoper benaderen, een persoonlijk gesprek voeren en mogelijk volgt er een transactie of zakelijke relatie. Online moeten we een vergelijkbaar anoniem volume accepteren en onze focus verleggen naar het helpen van die gebruikers die zich bij ons bekend maken.
Laatste opmerkingen
Sinds de invoering van de GDPR bevinden we ons in een enorm grijs gebied. En om eerlijk te zijn, stappen zoals deze helpen wel om duidelijk te krijgen waar de rode lijnen liggen. Ze geven tech-aanbieders duidelijkheid over hoe ze deze wet moeten volgen en aan bedrijven over wat ze wel en niet mogen doen.
Of we het als marketeers nu eens zijn over wat er gebeurt of niet, we delen allemaal een ethische verantwoordelijkheid voor wat we maken en wat we daarvoor gebruiken. We zullen ons moeten aanpassen. En als het stof van de GDPR en ITP is neergedaald, zullen dingen drastisch veranderen. De toekomst zal zeker weten nog steeds data en digital marketing bevatten.
Personalisatie met respect voor privacy?
To be continued…
Plaats als eerste een reactie
Ook een reactie plaatsen? Word lid van Adformatie!