Bekende systemen in deze categorie zijn Hotjar of Microsoft Clarity, maar je kunt ook denken aan tools als LuckyOrange of CrazyEgg. In dit artikel lees je hoe je als marketeer het meeste uit deze tools haalt, zonder de privacy van je bezoekers uit het oog te verliezen. We bespreken wat de tools precies doen, wat de voordelen zijn en hoe je ze gebruikersvriendelijk én AVG-compliant inzet.
Wat voor privacyrisico’s bestaan er?
Systemen voor heatmaps en session recordings verzamelen gedragsdata die marketeers waardevolle inzichten geven, maar aan dit soort dataverzameling kleven ook risico’s. Gebruikers geven vaak geen toestemming voor dit soort verwerking, terwijl de verzamelde gegevens – zeker als ze gecombineerd worden met andere databronnen – herleidbaar kunnen zijn tot individuen. Bepaalde tools, zoals Clarity, behouden zich bovendien het recht voor om data te gebruiken voor advertentiedoeleinden. De bezoeker heeft hierin geen keuze; het is de website-eigenaar die bepaalt of deze tools worden ingezet.
De toegevoegde waarde van heatmap en session recording tools ligt in het visueel inzichtelijk maken van gebruikersinteracties. Denk aan bezoekers die vastlopen in een formulier of ongebruikelijk gedrag vertonen. Zo kunnen bestaande journeys behouden blijven waar ze goed werken en juist aangepast worden waar ze niet presteren. Heatmaps geven daarbij meer een geaggregeerd beeld van gebruikersgedrag: door de collectiviteit wordt duidelijk waar problemen zich voordoen. Recordings bieden daarnaast extra context die uit puur kwantitatieve data niet naar voren komt, waarbij wel informatie wordt gehaald uit individuele sessies. De meeste tools wijzen gebruikers een user-ID toe én bieden de mogelijkheid om sessies te maskeren, waardoor bepaalde gegevens niet zichtbaar zijn voor degene achter de tool. Toch blijft er risico bestaan: als een gebruiker zijn persoonsgegevens invoert op een website (bijvoorbeeld in een contactformulier) en masking niet goed werkt of niet goed staat ingesteld, dan kan die opname alsnog persoonsgegevens bevatten.
Cookies en toestemming
Voor het gebruik van heatmap en session recording tools worden cookies geplaatst op een website. De regels voor het plaatsten en gebruiken van cookies staan in de ‘Cookiewet’, artikel 11.7a van de Telecommunicatiewet. Uitzonderingen daargelaten, is toestemming van de gebruiker nodig voor het plaatsen van cookies én is het nodig dat de gebruiker hierover duidelijk en volledig is geïnformeerd.
De geplaatste cookies in de context van deze tools worden vaak als analytisch bestempeld, terwijl de functionaliteit van zo’n tool (deels) ook een marketing gerelateerd doel kan dienen. Het verschil is zowel technisch als juridisch relevant. Analytische cookies verzamelen data voor verbetering van de website, en vereisen in Nederland – mits de impact op de privacy van de gebruiker gering is – geen toestemming. Er is wél toestemming vereist voor het plaatsen van marketingcookies, waarbij data wordt gebruikt voor o.a. advertentiedoeleinden.
Waar ligt dan precies de grens tussen marketingcookies en analytische cookies? We leggen het uit aan de hand van de tool Microsoft Clarity.
Microsoft Clarity: wat betekent ‘gratis’ voor privacy?
Tools als Microsoft Clarity worden vaak gepresenteerd als analytische hulpmiddelen, en omdat sommige van deze tools gratis beschikbaar zijn, lijkt de inzet ervan laagdrempelig en onschuldig. Toch is het belangrijk om goed te kijken naar de voorwaarden die bij die ‘gratis’ toegang horen.
Clarity is gratis te gebruiken. Bij sommige gratis online diensten betaal je als gebruiker met je data, maar in het geval van Clarity is het de organisatie die de tool op haar website inzet die ‘betaalt’ met de data van bezoekers. In de algemene voorwaarden van Clarity is bovendien de volgende zin opgenomen:
Microsoft may use the Personal Data it collects in connection with the Offering for any purpose in accordance with the Microsoft Privacy Statement, including to provide the Offering; improve Microsoft’s products and services, including reporting and performance analysis; and create user profiles for purposes that include advertising. Microsoft may also use nonpersonal data it collects in connection with the Offering to provide and improve Microsoft’s products and services.
Hierin staat beschreven dat persoonsgegevens die via Clarity worden verzameld, onder andere kunnen worden gedeeld met Microsoft én door hen ingezet kunnen worden voor het opstellen van gebruikersprofielen voor advertentiedoeleinden. Voor dit soort gegevensverwerking is toestemming van de gebruiker vereist, zoals uiteengezet in de Cookiewet, waarvoor Microsoft de verantwoordelijkheid legt bij de websitebeheerders.
Dus hoewel de functionaliteit van een tool analytisch oogt, kan de onderliggende gegevensverwerking verder gaan dan puur analyse – en dus ook voor advertentiedoeleinden. In dat geval gaat het niet langer om enkel analytische cookies, maar om marketingcookies waarvoor voorafgaande toestemming nodig is.
Andere belangrijke lessen voor privacyvriendelijk gebruik van deze tools
Voor een verantwoorde inzet van heatmap- en session recording tools is het essentieel om vanaf het begin een aantal best practices te volgen:
- Begin altijd met het formuleren van een duidelijke onderzoeksvraag
Dit voorkomt het verzamelen van overbodige data en zorgt dat alleen relevante sessies en heatmaps worden geanalyseerd. Bovendien bespaart het veel tijd als je niet hoeft te zoeken in een eindeloze reeks opnames, zonder te weten waar je precies naar op zoek bent. - Gebruik inzichten uit on-site feedback in combinatie met sessie-opnames
Door bijvoorbeeld een gehashte user ID te koppelen, kan relevante context worden toegevoegd zonder dat persoonsgegevens worden opgeslagen of herleidbaar zijn. - Beoordeel tijdens de oriëntatiefase of de tool voldoende mogelijkheden biedt voor privacyvriendelijke instellingen, zoals geavanceerde maskingopties
Stel de tool pas in gebruik nadat alle privacyinstellingen correct en volledig zijn geconfigureerd. Kies altijd voor tooling die ondersteuning biedt bij privacyvriendelijke implementatie, in plaats van ‘plug-and-play’ oplossingen die weinig grip geven op gegevensverwerking. De meeste recording tools staan standaard ingesteld op strenge maskering, zodat ingevulde persoonsgegevens in een contact- of bestelformulier niet zichtbaar zijn op de opname. - Check wanneer je toestemming nodig hebt voor het gebruik van bepaalde tools
Wees bewust van de technische aspecten van heatmap en session recording tools en de verschillen hiertussen, om zo goed in te kunnen schatten of gegevens worden verzameld via analytische of marketing cookies. Onderzoek de tools, richt daarop je cookiebanner in en vraag toestemming wanneer nodig. - Laat voorafgaand aan implementatie een jurist meekijken naar de voorwaarden en de privacyverklaring van de tool
Indien nodig moeten contracten, algemene voorwaarden of het privacy statement worden aangepast voordat gebruik plaatsvindt. - Creëer een open meldcultuur binnen het team
Gebruikers van de tool moeten worden aangemoedigd om te rapporteren wanneer zij vermoeden dat er onbedoeld persoonsgegevens zichtbaar zijn in recordings of heatmaps. - Hanteer een duidelijke gelaagdheid in toegang
Geef alleen specifieke beheerders toegang tot de instellingen, terwijl andere gebruikers beperkt blijven tot analysefuncties zoals het bekijken van heatmaps en opnames. - Blijf op de hoogte van de laatste ontwikkelingen rondom cookies en privacywetgeving
Mis niets rondom een thema als cookies en schrijf je in voor de maandelijkse legal nieuwsbrief van DDMA.
Robert de Kok
Isa Nieuwstad
Ook interessant
Heatmap en session recording tools: hoe houd je rekening met gebruikersprivacy?
Nieuwe leden voor de DDMA Commissie Experimentation & Optimisation
