Privacyproof en effectief campagne voeren
De Rijksoverheid heeft bij het toepassen van regels een voorbeeldfunctie, ook voor het voeren van campagnes. We voeren daarom campagnes ‘in de geest’ (zoals de wetgever dit heeft bedoeld) en niet ‘naar de letter’ van de wet. Dat betekent als we kijken naar de Algemene Verordening Gegevensbescherming (AVG) dat we het belang van de betrokkenen voorop zetten en dus niet ons organisatorische belang.
Hanteer de volgende aanbevelingen om privacyproof én effectief campagne te voeren. Ga hierbij uit van zo min mogelijk inzet van persoonsgegevens.
Neem bij (twijfel over) het gebruik van persoonsgegevens altijd contact op met de privacyfunctionaris van je eigen organisatie.
Privacy by design en privacy by default
Communicatie bij de Rijksoverheid gaat uit van twee basisprincipes uit de AVG:
-
Privacy by design: kan het zonder persoonsgegevens?
Eerst zoekt de Rijksoverheid naar manieren om campagnes te ontwerpen zonder persoonsgegevens te hoeven gebruiken. Welke alternatieven zijn er? Kun je eigen kanalen gebruiken? Kun je samenwerken met partners en PR inzetten? -
Privacy by default: en als je toch persoonsgegevens nodig hebt…
Als je dan toch persoonsgegevens gebruikt, dan alleen de noodzakelijke, en wees hier transparant over. Werk verder samen met betrouwbare partijen.
Uitgangspunt is dat we handelen in de geest van de wet, in het belang van de burger. We benoemen wat wel en niet kan en wat de grijze gebieden zijn. Ervan afwijken mag, mits je goed uitlegt waarom je dit doet en dit ook vastlegt.
Wel |
Niet |
---|---|
Gebruik van persoonsgegevens indien er sprake is van expliciete toestemming. Dit zijn gegevens die tot een uniek persoon te herleiden zijn, zoals NAW-gegevens (naam, adres, woonplaats), e-mailadressen, IP-adressen, locatiegegevens en smartphone-identifiers. Of algemene gegevens die in combinatie tot een persoon te herleiden zijn. Bij online adverteren zet je dus per definitie persoonsgegevens in. |
Gebruik van persoonsgegevens waarvoor die persoon geen expliciete toestemming heeft gegeven. Dit zijn gegevens zoals leeftijd en geslacht, maar ook persoonsgegevens (interesses) die via surfgedrag worden opgebouwd (profielen). |
Wat betekent dit voor campagnes?
Voor campagnes gelden richtlijnen. De uitgebreide uitwerking hiervan vind je in de Checklist privacyproof campagnevoeren. Hieronder staan de richtlijnen samengevat.
Maak zo goed mogelijk gebruik van de (100% privacyproof) eigen kanalen van de Rijksoverheid
Wist je dat 58% van de Nederlanders maandelijks een website van de overheid bezoekt? Die kanalen zijn beter te benutten. Als je je eigen kanalen inzet, heb je de afspraken over gegevensgebruik in de hand. Ook is het goedkoper om te communiceren via eigen kanalen. Een campagneaanpak begint daarom altijd bij bij owned (eigen kanalen), earned (verdiend bereik: door publiciteit) en shared (gedeeld bereik: via partners) en daarna pas naar paid bereik (media-inkoop). Dat kan door relevante content te maken. Zie Crossmediale aanpak van campagnes.
Werk alleen samen met privacyproof partijen
Adverteer alleen op platformen die kunnen aantonen zich maximaal in te spannen om AVG-compliant te zijn. Voor media-inkoop door de Rijksoverheid heeft DPC een contract met mediabureau Initiative. Zij sluiten een verwerkersovereenkomst.
Adverteer of wees aanwezig daar waar mensen (op zoek) zijn
Adverteer daar waar mensen al zijn, breng je boodschap in de juiste omgeving of context. Welke zoekwoorden gebruiken mensen voor jouw onderwerp? Dan is het handig op die pagina’s te adverteren. Op welke momenten kun je aansluiten met je advertenties? Bijvoorbeeld: plaats een reisadvies op een reisforum, een waarschuwing voor heling op Marktplaats.
Een betaalde campagne van de Rijksoverheid gebruikt zo min mogelijk persoonsgegevens
Als je persoonsgegevens nodig hebt, gebruik er dan zo min mogelijk en alleen als er sprake is van expliciete toestemming. Het IP-adres is noodzakelijk om online te kunnen adverteren. Op bijzondere persoonsgegevens zoals afkomst, godsdienst of gezondheid mag je nooit adverteren of targeten.
Op dit moment weten we niet of mediapartijen op de juiste manier toestemming vragen voor het verzamelen van de gegevens waar je op kunt targeten. Daarom zijn we er terughoudend mee. We maken onderscheid tussen twee typen gegevens:
- zelf opgegeven gegevens, bijvoorbeeld als mensen een account aanmaken op social media;
- gegevens die zijn opgebouwd via surfgedrag, bijvoorbeeld als mensen bepaalde pagina’s liken op social media. Zo’n like wordt gelinkt aan een bepaalde interesse, terwijl ze die interesse niet zelf hebben aangegeven.
Praktisch gezien betekent dit dat we wel op sociaal-demografische gegevens targeten, zoals leeftijd, woonplaats, geslacht of opleiding; maar niet op interessegebieden. Als je ouders wilt bereiken, kon je voorheen selecteren op ‘interessegebied: ouders’, gebaseerd op iemands surfgedrag. Nu kun je beter een leeftijdscategorie selecteren waarin ouders vaak vallen. Nadeel is dat de boodschap niet voor iedereen in die leeftijdsgroep relevant zal zijn.
Voorbeeld campagne |
Aanpak voor de AVG |
Aanpak sinds de AVG |
---|---|---|
Check je huurprijs | Targeting op leeftijd (16-27 jaar) en locatie (studentensteden) | Kan zo blijven |
Studeren met een plan |
Targeting op leeftijd en opleidingsniveau Retargeting: als mensen een video voor 25% bekeken hebben, krijgen ze een advertentie te zien |
Retargeting mag niet meer (want dat gebeurt op basis van surfgedrag) Frequency cap mag wel: dat mensen een advertentie maar een aantal keer te zien krijgen (want dat is in het belang van de burger) |
Wijzer in geldzaken | Targeting op leeftijd (40-64 jaar) en interesse (pensioenen) | Zonder interesse. Dan wordt de groep veel groter (3,5 miljoen mensen in plaats van 130.000). Wel kun je dan slimmer selecteren, bijvoorbeeld alleen mannen |
Onderbouw je overwegingen en informeer de burger als je wél persoonsgegevens gebruikt
Als je wilt adverteren met gebruik van persoonsgegevens, maak dan je afwegingen openbaar, bijvoorbeeld in de privacyverklaring van je campagnesite. Als je afwijkt van de aanbevelingen en de AVG, ben je verplicht om dit vast te leggen en te onderbouwen.
Meet het effect van een campagne privacyproof
Ook bij vrijwel iedere vorm van communicatieonderzoek worden persoonsgegevens verwerkt. Denk aan kenmerken van respondenten in een panel, videoregistratie van een interview en IP-adressen in webstatistieken. DPC werkt met onderzoeksbureaus die hun AVG-zaken op orde hebben, en anonimiseert de webstatistieken. Tracking is geen bruikbare onderzoeksvorm meer, totdat we weten hoe we daarvoor op een goede manier toestemming krijgen van sitebezoekers. Zie Onderzoekstechnieken voor campagnes.