Overzicht Actueel

Compliant social targeting volgens de Europese privacytoezichthouders

Hoe ver kun je gaan in social targeting volgens de Europese privacytoezichthouders? De EDPB publiceerde vorige week de definitieve versie van hun guideline over adverteren via social media. Ten opzichte van de conceptversie van september 2020 is er weinig veranderd, maar het is een mooi moment om het geheugen even op te frissen. Hieronder lees je welke handvatten de guideline kan bieden voor jouw compliant marketingstrategie op social media.

Veranderingen
De definitieve versie omvat geen schokkende veranderingen t.o.v. de conceptversie. Wel zijn er nuanceringen aangebracht om meer duiding te geven. Zo is de mening van de EDPB over het gebruik van custom audiences onveranderd gebleven, maar benadrukken zij dat het informeren van betrokkenen over een verwerking niet ingezet kan worden als waarborg bij het gerechtvaardigd belang. Het is onder de AVG immers altijd verplicht om te informeren, dus dit kan niet als ‘extraatje’ opgevoerd worden bij de gerechtvaardigd belang afweging.

Wat zegt de guideline nu precies?
Rollen bij verwerkingen
Allereerst geeft de richtlijn meer duiding over hoe de rollen en verantwoordelijkheden zijn verdeeld bij het bouwen van profielen via data via social media of tracking pixels. Vaak is het namelijk niet helemaal duidelijk voor welke AVG-taken de adverteerder verantwoordelijk is en voor welke taken het platform. Dit is bijvoorbeeld van belang als je wil weten wie moet er informeren, wie inzage moet bieden bij een inzageverzoek en wanneer er toestemming nodig is.

De EDPB ziet daarbij adverteren breder dan alleen het selecteren van een groep of individu. Het omvat namelijk ook het hele proces dat daaraan vooraf gaat. Vervolgens moet voor iedere verwerking in dit proces afzonderlijk worden beoordeeld wie welke rol heeft. Het valt op dat de EDPB voor het merendeel van de verwerkingen vaststelt dat er sprake is van deze gezamenlijke verantwoordelijkheid. Daarom moeten het platform en de adverteerder afspraken maken in een verwerkersovereenkomst over wie verantwoordelijk is voor welke taken, zoals waar de betrokkene zijn AVG-rechten kan uitoefenen. In de praktijk is het vaak lastig om als adverteerder inspraak te hebben op die afspraken en ben je gebonden aan de voorwaarden die het platform je geeft.

Wijze van verkrijging
In dit proces speelt ook de manier waarop de gegevens zijn verkregen een belangrijke rol. De EDPB maakt hierbij onderscheid tussen 3 vormen van gegevens, op volgorde van privacy impact:

  1. Verstrekte data: bijvoorbeeld de ingevulde woonplaats op het platform, of het e-mailadres dat aan een adverteerder is verstrekt bij een aankoop en dat gebruikt wordt voor custom audiences.
  2. Geobserveerde data: gedrag op het platform, zoals het liken van bepaalde posts.
  3. Afgeleide data: conclusies op basis van gedrag. Bijvoorbeeld de tag ‘kunstliefhebber’ die het platform toekent aan gebruikers die actief zijn op bepaalde pagina’s.

Per type gegevens bespreekt de EDPB:

  1. Wat de AVG-rol is van de adverteerder en het platform voor de verschillende verwerkingen. Van het samenstellen van een audience tot de rapportage met statistieken na afloop.
  2. Wat de rechtsgrond is voor de verwerkingen. Voor de meeste vormen, waaronder Custom Audience, wordt zowel toestemming als het gerechtvaardigd belang als een optie genoemd. Uitvoering van de overeenkomst ziet de EDPB niet als een geschikte grondslag.

Custom Audiences
Naast de verduidelijking omtrent de AVG-rollen biedt guideline met name handvatten voor het werken met veelgebruikte advertentietools, zoals retargeting met custom audiences door het uploaden van e-mailadressen of het gebruik van cookiedata. Dit is ook een onderwerp waar we bij DDMA al jaren veel vragen over krijgen. Mede daarom hebben we na de publicatie van de conceptversie onze Explained: Custom Audiences bijgewerkt. De meest gestelde vraag is: moeten we toestemming vragen voor het gebruik van custom audiences? Dit is een simpele vraag met een ingewikkeld antwoord, maar de EDPB geeft met deze guideline nu meer duidelijkheid.

De EDPB spreekt in de guideline niet specifiek over custom audiences, maar benoemt een vorm van targeting waar custom audiences onder kan worden geschaard. Daarbij gaat het om persoonsgegevens die:

  1. de betrokkene aan een adverteerder heeft verstrekt (bijv. een e-mailadres of telefoonnummer); en
  2. die de adverteerder gebruikt om diezelfde betrokkene gerichte advertenties te laten zien.

De lijst met gegevens wordt vervolgens gematcht met de data van het platform, waarbij de matches worden gebruikt om doelgroepen samen te stellen of om personen uit te sluiten van een doelgroep. Om te verduidelijken welke mogelijkheden er zijn bij dergelijke verwerkingen geeft de EDPB twee voorbeelden:

Voorbeeld 1: Mevrouw A (geen klant) heeft per e-mail een afspraak voor een hypotheekgesprek met een bank. Na de afspraak besluit mevrouw A geen klant te worden en neemt geen contact meer op. De bank heeft het e-mailadres van mevrouw A in het CRM-systeem opgeslagen. De bank gebruikt het e-mailbestand om te zoeken naar een ‘match’ met de e-mailadressen van een social mediaplatform, om de prospects uit het bestand te targeten met advertenties van de bank.

Voorbeeld 2: Meneer B is al een jaar klant van een bank. Toen hij klant werd heeft hij zijn e-mailadres gedeeld met de bank. Op dat moment heeft de bank hem verteld dat a) zijn e-mailadres gebruikt zou worden voor advertenties met aanbiedingen van producten die passen bij het product dat hij al afneemt. En dat b) hij op ieder moment bezwaar kan maken tegen die verwerking van zijn e-mailadres. De bank heeft het e-mailadres van meneer B in het CRM-systeem opgeslagen. De bank gebruikt het e-mailbestand om te zoeken naar een ‘match’ met de e-mailadressen van een social media platform, om de prospects uit het bestand te targeten met advertenties van de bank.

Aan de hand van deze twee voorbeelden geeft de EDPB antwoord op de vragen wat jouw rol is als adverteerder en of je toestemming nodig hebt voor custom audiences.

Wat is jouw rol als adverteerder?
In beide voorbeelden is sprake van gezamenlijke verantwoordelijkheid: de bank is als adverteerder zelfstandig verwerkingsverantwoordelijke voor het verzamelen van de e-mailadressen en het uploaden daarvan naar de advertentietool van het platform, maar het platform is zelfstandig verantwoordelijke omdat het beslist om de gegevens van haar gebruikers beschikbaar te stellen in de advertentietool.

De adverteerder en het platform zijn daarom samen verantwoordelijk voor:

  • Het uploaden van de unieke ID’s (in de voorbeelden hierboven het e-mailadres).
  • Het matchingsproces
  • Selectie van targeting criteria
  • Het vertonen van de advertentie
  • De rapportage nadien met resultaten van de campagne

Kortom: vanaf het moment dat de e-mailadressen ingevoerd worden in de matchingtool van het platform tot aan de rapportage met resultaten, zijn het platform en de adverteerder volgens de EDPB samen verantwoordelijk.

Is er toestemming nodig voor custom audiences?
Volgens de EDPB kan de bank in voorbeeld 1 geen geslaagd beroep doen op het gerechtvaardigd belang als grondslag. Omdat mevrouw A geen klant is geworden is het volgens de toezichthouders niet aannemelijk dat mevrouw A nog verwacht dat haar e-mailadres gebruikt zou worden voor targeting op sociale media. De bank had mevrouw A om toestemming moeten vragen als ze het daar alsnog voor wilden gebruiken.

In voorbeeld 2 zou volgens de EDPB daarentegen geen toestemming vereist zijn. Het gebruik van custom audiences is dus mogelijk wanneer je in ieder geval voldoet aan de volgende 3 waarborgen:

  1. Bij de verkrijging van het e-mailadres is de betrokkene duidelijk geïnformeerd dat zijn e-mailadres gebruikt zou worden voor advertenties op sociale media voor vergelijkbare producten van jouw organisatie.
  2. De advertenties bevatten aanbiedingen voor producten en diensten die vergelijkbaar zijn met wat hij op dit moment al afneemt bij jouw organisatie.
  3. De betrokkene is op het moment van zijn inschrijving als klant in de gelegenheid gesteld om bezwaar te maken (opt-out) tegen het uploaden van zijn e-mailadres naar het platform.

Naast deze 3 belangrijke aandachtspunten is van belang dat je voorafgaand beargumenteert en vastlegt:

  • Dat het gebruik van custom audiences noodzakelijk is voor de doelen die jouw organisatie nastreeft, en dat dit doel niet bereikt kan worden op een manier met minder privacy-impact;
  • Dat er een zorgvuldige belangenafweging heeft plaatsgevonden, waarbij de belangen van jouw organisatie voor het gericht adverteren op sociale media worden afgewogen tegen de effecten op de privacy van de betrokken.

Voor een volledig beeld van het juridische kader van de inzet van custom audiences verwijzen we je graag door naar onze geüpdatete handleiding. Daarnaast hebben wij een template dat je misschien kan helpen bij het maken van een zorgvuldige belangenafweging. Als lid van DDMA kun je deze aanvragen via legal@ddma.nl. Hier kun je ook terecht voor al je juridische vragen.

Online Masterclass Privacy – Adverteren op social media
Meer weten over de juiste juridische afweging bij de inzet van custom audiences? Meld je aan voor de Online Masterclass Privacy – Adverteren op social media (met korting voor leden). Aan de hand van praktijkcases komt de theorie tot leven en krijg je informatie die direct toepasbaar is voor jouw marketingpraktijk.