De GDPR wet binnen social advertising

Nog twee dagen en dan is het zover, dan gaat de wetgeving Algemene Vordering Gegevensbescherming (AVG, ook wel GDPR in Europa) van start. Via deze blogreeks proberen wij een antwoord te geven op een aantal veelgestelde vragen rondom dit onderwerp. 

In dit “hoofdstuk” zoomen we in op de GDPR in combinatie met social advertising

Als platform gaan we voor het gemak uit van Facebook, aangezien binnen dit platform de meeste targetingmogelijkheden wel aan bod komen. Binnen Facebook heb je als adverteerder legio mogelijkheden om de juiste doelgroep te bereiken. Denk bijvoorbeeld aan het uploaden van een eigen klantenbestand o.b.v. e-mailadressen of een remarketing campagne op basis van bepaalde website data. Onderstaand gaan we een aantal van deze targeting mogelijkheden benoemen en gaan we bekijken in hoeverre de GDPR hierop van toepassing is.

1) Open targeting
Facebook biedt standaard een groot aantal targetingmogelijkheden, gebaseerd op de informatie die Facebook van jou als gebruiker heeft. Denk hierbij aan targeting op leeftijd, geslacht en/of interesses. Als adverteerder zijnde hoef jij je niet al te druk te maken over de verzameling van deze data. Dit wordt zelf door Facebook verzameld en vanuit Facebook aan jou als adverteerder beschikbaar gesteld. In dit geval is Facebook de gegevensbeheerder en dus ook direct de verantwoordelijke partij met betrekking tot het verkrijgen van de juiste toestemming. Vanuit Facebook wordt er, richting haar gebruikers, de mogelijkheid geboden om de advertentie voorkeuren in te stellen.

2) Customer match + Look-a-like audiences
Op het moment dat jij als adverteerder zelf data naar Facebook schiet wordt het uiteraard een ander verhaal. Van deze persoonlijke data heb jij als adverteerder zijnde de toestemming verplichting. De adverteerder is de gegevensbeheerder, waarbij Facebook de gegevensverwerker is.

Om gebruik te mogen maken van deze data dien je als adverteerder aan een aantal voorwaarden te voldoen:
– De eigenaar van het e-mailadres (of telefoonnummer, etc.) moet ondubbelzinnig toestemming verleend hebben voor het gebruik van zijn of haar gegevens;
– In het privacy statement van de website (of in de overeenkomst wanneer het om offline verzamelde gegevens gaat) moet duidelijk vermeld worden dat deze gegevens verzameld worden en waarom dit gedaan wordt;
– De gegevens moeten gehasht worden op het moment dat ze in bijvoorbeeld Facebook ingeladen worden.

Een customer match wordt vaak als basis gebruikt om vervolgens een campagne op een look=a-like audience te targetten. De adverteerder dient in deze zorg te dragen dat de toestemming van de eigen data in orde is, waarbij Facebook zorgt dient te dragen dat de toestemming van de look-a-like audience in orde is. Jij kan als adverteerder zijnde namelijk geen toestemming ontvangen van personen die je nog niet eerder bereikt hebt (vergelijkbare gebruikers t.o.v. je eigen klantenbestand).

Voor het gebruik van een look-a-like audience dient eveneens aan een aantal voorwaarden te worden voldaan:
– De personen die als bron ingezet worden (bijvoorbeeld een klantenbestand, website bezoekers, etc.) moeten ondubbelzinnig toestemming verleend hebben voor het gebruik van zijn of haar gegevens;
– In het privacy statement moet duidelijk vermeld worden dat deze gegevens verzameld worden en waarom dit gedaan wordt;
– In het privacy statement moet eveneens vermeld worden dat deze gegevens gedeeld worden met een derde partij zoals Facebook;
– De gegevens moeten gehasht worden op het moment dat ze in Facebook ingeladen worden.

3) Remarketing binnen Facebook + remarketing o.b.v. eigen data
In het geval van remarketing hebben weglobaal twee smaken; 1) remarketing binnen Facebook en 2) remarketing o.b.v. eigen data.

– Remarketing binnen Facebook
Facebook biedt jou als adverteerder de mogelijkheid om gebruikers, die interactie gehad hebben met je content, opnieuw te bereiken. Wanneer jij bijvoorbeeld een video hebt geplaatst, kan je als adverteerder een remarketingcampagne opstellen waarmee je alle gebruikers wilt benaderen die deze video bekeken hebben. Facebook verzameld in deze situatie de data binnen het eigen platform, waarnaar deze aan de adverteerder beschikbaar gesteld wordt. Dit zorgt ervoor dat Facebook de verantwoordelijkheid heeft voor het verkrijgen van de toestemming.

– Remarketing o.b.v. eigen data
Uiteraard is het binnen Facebook ook mogelijk om personen te bereiken die bijvoorbeeld interactie gehad hebben met je website. Jij bent als adverteerder de gegevensbeheerder aangezien het verzamelen van deze gegevens plaatsvindt op het “domein” van de adverteerder. In dit geval heb jij als adverteerder dus de verplichting om ondubbelzinnig toestemming te verkrijgen van deze gebruikers. Een cookiemelding of cookiebar is in deze situatie dus ook verplicht waarbij de gebruiker uitleg krijgt over de gegevens die verzameld worden en waar deze gegevens voor gebruikt gaan worden. Uiteraard dient de gebruiker ook daadwerkelijk op “toestemming verlenen” te klikken.

Facebook zelf uiteraard zelf ook al enige tijd bezig met de informatieverstrekking rondom de GDRP in combinatie met haar eigen platform. Deze informatie is onder andere hier te vinden.
Vragen? Neem dan vrijblijvend contact met ons op.

Disclaimer: we hebben uitgebreid onderzoek gedaan bij het opstellen van deze blogs. Echter zijn we niet juridisch aansprakelijk voor de inhoud en hier kunnen geen rechten aan worden ontleend. 

Laat een reactie achter

Neem contact met ons op

We zijn op dit moment niet online. Mail een bericht en we nemen zo spoedig mogelijk contact met je op.

Geef een zoekterm en druk op enter