Conversions API: het privacyvriendelijke alternatief voor third-party cookies?

Achtergrond

Pixels zijn een onmisbaar onderdeel van onze social mediastrategieën geworden. Ze stellen ons in staat om onze campagnes effectief te meten (welke conversies vinden er plaats op onze website), doelgroepen op te bouwen, en om gepersonaliseerde advertenties aan onze doelgroep(en) te laten zien.

De toekomst van de pixel is echter niet langer zeker. Privacy wordt al jaren steeds belangrijker en cookies, waaronder de pixel, worden in de nabije toekomst door alle browsers uitgefaseerd. Dit betekent dat de data die we via de pixel verzamelen voor o.a. doelgroepopbouw, personalisatie en metingen, binnenkort niet meer inzichtelijk is. Dit heeft met name grote impact op bedrijven die sterk afhankelijk zijn van conversiecampagnes, zoals e-commercebedrijven. Zie daarvoor ook de vorig jaar gepubliceerde DDMA Whitepaper: Cookieless world – Dit moet je nu weten.

Gelukkig is er een alternatief: Conversions API, hierna CAPI. CAPI is een server-to-server-integratie waarmee gegevens van een bedrijf kunnen worden verzonden naar verschillende social platformen, zoals Meta, Pinterest of Snapchat. In tegenstelling tot de pixel – die via de browser werkt – is deze integratie future-proof; het uitfaseren van cookies heeft namelijk geen impact op de Conversions API. Én, de Conversion API heeft nog een aantal andere voordelen.

Toch merken we in de praktijk dat CAPI weerstand oproept. Volgt dit wel alle privacywetgeving? Delen we niet te veel met social platformen? Hoe verzenden we de data op een veilige manier?

Dat marketeers hier zo actief mee bezig zijn, is een positief teken. Het delen van data is een serieus onderwerp. We weten echter dat de CAPI is ontworpen om aan de privacywetgeving te voldoen, en dat deze oplossing zelfs meer mogelijkheden biedt dan de pixel, om data veilig te delen. De gegevens worden versleuteld (hashing) voordat ze worden verzonden. Bovendien worden gegevens via CAPI niet opgeslagen op de apparaten van gebruikers. Zo is de privacy van de gebruikers (nog) beter beschermd.

De vraag die overblijft: hoe kun je dit op de juiste manier overbrengen aan – hoogstwaarschijnlijk – je legal collega’s, zodat je de zorgen kan wegnemen en van start kan gaat met het implementatieproces, om de uitfasering van cookies voor te zijn?

Waarom je met CAPI aan de slag moet

Uit privacy-overwegingen
Inzetten van CAPI geeft je meer invloed op welke data van gebruikers je deelt. In de huidige setup van de pixel worden veel parameters direct doorgeschoten naar het social platform, waarmee een match kan worden gemaakt tussen de user bij de adverteerder en diezelfde user op het social platform. De diverse parameters hebben een verschillende invloed op de mate waarop deze match kan worden gemaakt. Niet elke parameter is daarbij altijd van even groot belang – en dit verschilt per adverteerder. Per adverteerder zijn er verschillende parameters beschikbaar en niet iedere adverteerder verzamelt dezelfde parameters van de gebruikers. Ook is niet voor iedere adverteerder de hoeveelheid vergaarde parameters gelijk. Veel platformen maken inzichtelijk in welke mate de geïmplementeerde parameters bijdragen aan het matchen van de gebruiker. Naast het feit dat elke adverteerder in een andere mate persoonsgegevens bezit van de gebruiker, is ook de achtergrond van de adverteerder belangrijk in het afwegen van het gewicht van de parameters. Een adverteerder die zich bevindt in de medische vertical, zal andere waardes toekennen, dan een adverteerder die in de fashion e-commerce zit.

Met CAPI kun je per parameter (per adverteerder) de afweging maken of je deze deelt met Meta, Pinterest of Snapchat. Dit geeft de adverteerder directe controle over de persoonsgegevens en de privacy-afwegingen die daarin gemaakt zijn. Maakt de adverteerder geen andere keuzes dan in de situatie vóór implementatie van CAPI (en blijft deze alle beschikbare parameters delen), dan is de oplossing niet privacyvriendelijker. Maar maak je als adverteerder wel degelijke actieve keuzes en handel je daarnaar, dan is CAPI een privacyvriendelijkere oplossing dan de pixel.

Omdat third-party cookies echt gaan verdwijnen
Al vanaf 2010 gaan er geluiden op om third-party cookies te gaan verbieden. De laatste jaren zijn de geluiden vanuit de industrie zelf ook steeds luider, om de third-party cookies uit te gaan faseren. Dit komt veelal voort de groeiende zorgen bij het grote publiek over de privacy richting grote tech partijen. Op dit moment is Google Chrome de grootste browser, waarbij Google de uitfasering al enkele keren heeft uitgesteld. De laatste stand van zaken is dat Google begin 2024 echt begint met de uitfasering.

Naast deze beweging vanuit de industrie zelf worden er door beleidsmakers en privacyvoorvechters vraagtekens gezet bij de huidige opzet van trackingpixels. Druk vanuit deze hoek kan de uitfasering versnellen en de overgang naar server-to-server oplossingen in een stroomversnelling plaatsen. Door dit uitfaseren behoort ook automatisch het gebruik van pixels tot het verleden. Vanaf dat moment is het dus niet meer mogelijk om via een andere manier dan CAPI gebruikers te identificeren. Dit heeft direct invloed op retargeting-tactieken, die niet meer mogelijk zullen zijn. Maar ook bij campagnes die gericht zijn op conversies zullen de resultaten verminderen. Conversies kunnen dan namelijk niet meer gemeten worden. Daarnaast zal rapportage enkel nog op in-platform metrics mogelijk zijn, waardoor ROAS (Return on Ad Spend) niet meer (direct) te herleiden is.

Niet alleen op social platformen heeft het uitfaseren van third-party cookies veel invloed. Ook andere kanalen gaan hierdoor veranderingen ondervinden. Op deze andere platformen is nog niet een andere vorm van tracking ontwikkeld, waardoor het implementeren van CAPI initieel tijd kan vergen. Maar mocht er op deze platformen een vergelijkbare oplossing worden uitgerold, dan is het alleen maar voordelig als je CAPI al hebt geïmplementeerd.

Zo gebruik je CAPI zo privacyvriendelijk mogelijk

Zoals aangegeven kán CAPI privacyvriendelijker zijn dan de pixel, als je als adverteerder de juiste stappen neemt. De AVG is hierbij van toepassing, omdat er bij CAPI sprake is van het verzamelen en verwerken van persoonsgegevens. Persoonsgegevens zijn alle gegevens (of parameters/attributen) die zijn te herleiden tot een individu. Zijn de met het socialmediaplatform gedeelde parameters door een adverteerder ook altijd persoonsgegevens? Hierover kun je discussiëren, maar de lat ligt in de praktijk laag. Uit recente uitspraken van toezichthouders blijkt dat online id’s (cookies, IP-adressen) of zelfs de combinatie van verschillende parameters al snel als persoonsgegeven worden opgevat. Dat zal in het geval van CAPI dus ook het geval zijn.

Sommige data kan gehasht worden aangeleverd. Dat is een privacybevorderende ontwikkeling, maar het is een misvatting dat het hashen van data (direct) betekent dat je niet meer met persoonsgegevens werkt. Wel is het hashen positief voor het beveiligen van de gegevens en daarmee de privacy van de klant en socialmediagebruiker. Onderstaande stappen helpen je daarnaast om de privacy van beschermers nog beter in acht te nemen en CAPI écht privacyvriendelijk te maken

1. Minimaliseer de parameters die je deelt (“dataminimalisatie”)
Het startpunt is het bepalen van het doeleinde voor het gebruik van de CAPI. Dit kan per adverteerder verschillen . Denk hierbij aan het matchen van klant id’s, measurement, analyse of targeting van advertenties. Deel alleen de gegevens die noodzakelijk zijn om dit specifieke doel te bereiken.

2. Bepaal de databron(nen) van de parameters
Daarnaast is de bron van de parameters van belang. De gegevens kunnen (net als bij de pixel trouwens) afkomstig zijn uit verschillende databronnen, waar ook weer specifieke regels voor kunnen gelden. We lichten er hieronder 3 uit.

1. Cookiedata
   Gegevens die iets zeggen over het gebruik van een website of app (bijv. Facebook-id, mobiele advertentie id, IP-adres, browser- en besturingssysteem)
   
   Check je cookiebanner voor het delen van website- en appgegevens
   Het is goed om te realiseren dat de cookieregels niet alleen van toepassing zijn op ‘cookies’, maar ook vergelijkbare technieken: alle andere technieken waarmee een organisatie gegevens opslaat op of uitleest uit iemands computer of smartphone. De CAPI is voorbeeld van een techniek die vergelijkbaar is met cookies. De cookieregels vereisen toestemming, tenzij de CAPI technisch noodzakelijk is of voor het verzamelen van statistieken wordt ingezet.
   
   Dit betekent dat het cookiebeleid en de -banner van een organisatie up-to-date moet zijn. Het komt daarbij nogal eens voor dat cookies toch al geplaatst worden voordat de gebruiker de cookies heeft geaccepteerd. Let daar ook op.

2. Gehashte klantgegevens
   Uit bijvoorbeeld een CRM (bijv. naam, adres, e-mail);
   
   Delen van klantgegevens voor matching
   Op het delen van (CRM) klantgegevens met Meta zijn de cookieregels niet van toepassing. Het delen van een (hashed) email of telefoonnummer doet een adverteerder ook met een andere reden, namelijk ‘matching’. De European Data Protection Board (alle Europese privacy toezichthouders) geeft aan dat het gerechtvaardigd belang naast toestemming een geldige grondslag kan zijn. Voor een geslaagd beroep op het gerechtvaardigd belang is een driestaptoets vereist. DDMA heeft voor haar leden een template in de kennisbank beschikbaar gesteld, waarmee deze toets relatief eenvoudig kan worden uitgevoerd.

3. Andere bron, bijvoorbeeld een derde partij.

3. Update je privacy statement: informeer de gebruikers van je website of app en klanten
Het is altijd van belang om klanten, website- en/of appbezoekers te informeren over de activiteiten met een socialmediaplatform. Dit volgt vaak ook direct ook uit de overeenkomst met het platform. Meta zegt bijvoorbeeld dat de adverteerder moet informeren over:

“That Meta Ireland is a Joint Controller of the Joint Processing and that the information required by Article 13(1)(a) and (b) GDPR can be found in Meta Ireland’s Privacy Policy at https://www.facebook.com/about/privacy.”

Het privacybeleid van Meta beschrijft onder meer wat zij doen met de van de adverteerder ontvangen gegevens, maar ook hoe een gebruiker zich kan afmelden voor gebruik van het tonen van gepersonaliseerde advertenties. Zorg ervoor dat je deze informatie ook in je eigen privacy statement meeneemt of verwijs naar het privacy statement van het platform. Ook moet je altijd een afmeldmogelijkheid meenemen.

4. Houd de juridische ontwikkelingen over datadoorgifte in de gaten
Het gebruik van pixels staat al enige tijd onder druk. We schreven recent over een besluit van de Oostenrijkse toezichthouders waarin het gebruik van de Facebook-pixel niet bleek toegestaan. De reden hiervoor was dat gegevens naar de VS werden doorgestuurd. Dit betrof echter een specifieke situatie. Het is daarom niet te zeggen of er een verbod is op het gebruik van de pixels van Amerikaanse platformen, en de technieken die zij aanbieden, zoals de CAPI. 

Het is verstandig om intern een kritische blik te werpen en te overwegen of je data echt moet doorsturen naar een platform. We verwachten dat de discussie over de bescherming van persoonsgegevens in de VS nog wel even zal duren. Verzamel en verwerk daarom alleen de persoonsgegevens die absoluut noodzakelijk zijn en neem extra maatregelen indien nodig.

Concluderend

Marketeers die social media serieus inzetten, kunnen er eigenlijk niet omheen: Conversions API. Het biedt dezelfde mogelijkheden als de pixel nu wat betreft het meten van campagnes over platformen heen, het opbouwen van doelgroepen en personaliseren van advertenties. Daarnaast is CAPI ook privacyvriendelijker dan de pixel, omdat je meer controle hebt over welke gegevens je deelt met Meta, Pinterest of Snapchat. Om die privacybelofte waar te maken, moet je als adverteerder wél actief aan de slag gaan. Mooie kans om je marketingactiviteiten weer een stuk privacyvriendelijker in te richten!

Dionne van Dijk

Head of Social Advertising bij Accenture Song (voorzitter)

Joris Mulders

Global Paid Social Media Manager bij KLM

Frank de Vries

Team lead legal | Senior legal counsel