Checklist privacyproof campagnevoeren

Waar moet je op letten bij het maken van een online campagne? Hoe zit het met targeting? En welke regels zijn er voor bezoekersstatistieken? In de Checklist privacyproof campagnevoeren vind je het overzicht.  Deze is opgesteld aan de hand van de Rijksbrede richtlijnen voor privacyproof en effectief campagne voeren en gaat alleen over online media.

Maak zo goed mogelijk gebruik van de (100% privacyproof) eigen kanalen

Aan deze richtlijn voldoe je door onderstaande punten na te lopen:

Eigen websites

  • Websites van de Rijksoverheid maken alleen gebruik van cookies voor onderzoek en webstatistieken en geen trackingcookies.
  • Websites van de Rijksoverheid gebruiken geen Social Media Plugins. Bij het linken naar externe websites geven overheidswebsites alleen de domeinnaam van de eigen website mee.
  • De Rijksoverheid deelt nooit persoonsgegevens van websitebezoekers aan derden, zoals online-media-exploitanten.
  • De Rijksoverheid biedt informatie altijd aan op de eigen websites, zodat de bezoeker altijd toegang heeft tot de informatie zonder dat er persoonsgegevens verwerkt worden.
  • De Rijksoverheid gebruikt geen Google Analytics trackingscripts die gegevens van bezoekers verzamelen. Piwik analytics is de voorkeursteller die anoniem klikdata over het bezoek van de website verzamelt.
  • De Rijksoverheid gebruikt geen commerciële tagmanagers.
  • Bij het ontwikkelen van nieuwe websites wordt privacy by design gebruikt. Privacy by design houdt in dat je als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) volledige aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd.
  • Privacyverklaring: Op de eigen websites van de Rijksoverheid is deze verplicht, zie voorbeelden op rijksoverheid.nl/privacy. De privacyverklaring gaat in op de eigen gegevensverwerking en de export van gegevens naar externe internetbronnen.

Eigen nieuwsbrief

  • Mailings mogen verstuurd worden naar je huidige e-mailrelatielijst, maar alleen aan contacten die daarvoor expliciet toestemming hebben gegeven. Je hoeft geen toestemming te vragen voor een e-mailadres als ‘info@bedrijfsnaam’. Zo’n e-mailadres valt namelijk niet onder persoonsgegevens.
  • Je moet kunnen bewijzen hoe/wanneer/waarvoor de opt-in (nieuwsbrief inschrijving) is verkregen in het verleden. In de praktijk blijkt dit lastig te zijn. Als de opt-in niet aangetoond kan worden, moet opnieuw toestemming gevraagd worden (waarbij het even makkelijk moet zijn om ‘ja’ als ‘nee’ te kiezen, met bijvoorbeeld een ja- en een nee-button). Bij geen antwoord, moet je de personen uitschrijven uit je bestand.
  • Bij het versturen van nieuwe mailings naar bestaande relaties, moet steeds de mogelijkheid aangeboden worden om makkelijk uit te schrijven.
  • Als je nieuwe mailings naar nieuwe relaties wilt versturen, moet je van tevoren expliciet toestemming vragen op basis van heldere informatie ('voor marketingdoeleinden van derden' is geen heldere informatie).

Eigen app

  • Nieuwe app: privacy by design: Privacy by design houdt in dat je als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Privacy by default: privacy is de standaard instelling.
  • Gebruik alleen de absoluut noodzakelijke gegevens.

Eigen socialmediakanalen (content)

  • Informatie: de Rijksoverheid biedt informatie ook altijd aan op de eigen websites, zodat de bezoeker altijd toegang heeft tot de informatie zonder dat er persoonsgegevens verwerkt worden. Informatie aanbieden op social media is aanvullend hierop. Voor het aanbieden van informatie op social media is het wel mogelijk te variëren in vorm: content, middelen en acties die passen bij het medium en de doelgroep.
  • Reacties geven: wanneer reacties geven als doel heeft om te debatteren of discussiëren, biedt de Rijksoverheid de mogelijkheid tot reageren ook altijd aan op de eigen kanalen. Zodat de persoonsgegevens van de bezoeker niet door een commerciële partij verwerkt hoeven te worden en de Rijksoverheid er voor kan zorgen dat deze verwerkt worden volgens de privacywetgeving.
  • Verantwoording op socialmediapagina’s van de Rijksoverheid: op de eigen socialmediapagina’s nemen de Rijksoverheidsorganisaties uitleg op over de bijdrage die de Rijksoverheid doet aan de verwerking van persoonsgegevens door het socialmediaplatform en het gebruik van deze gegevens door targeting (adverteren).

Uitspraken Autoriteit Persoonsgegevens zijn leidend

Wanneer de handhaver van de wet, de Autoriteit Persoonsgegevens (AP), een negatief advies uitbrengt over een online platform, netwerk, organisatie of kanaal, dan volgt de Rijksoverheid direct. Het betekent dat de Rijksoverheid in dat geval – tot nader bericht van de AP – de samenwerking stopt.

Werk alleen samen met privacyproof partijen

Uitspraken Autoriteit Persoonsgegevens zijn leidend

Ook bij het inkopen van online media is de AP leidend. Zodra de AP een negatief advies geeft over een online platform of netwerk, dan volgen de adverteerders van de Rijksoverheid direct. Het betekent dat overheidsadverteerders in dat geval – tot nader bericht van de AP – geen paid-media meer inkopen bij dat platform. Regelmatige afstemming met de AP is nodig om, waar nodig inkoopmaatregelen te kunnen voorbereiden.

Rijksbrede lijst van toegestane data-methoden en technieken (binnen ethisch kader)

Het mediabureau Initiative heeft een lijst met toegestane data-methoden en technieken.

Adverteer of wees aanwezig daar waar mensen (op zoek) zijn

Redactioneel

Optimaliseer de organische vindbaarheid van je campagnesite door: 

  • zoekwoordenanalyse
  • goede landingspagina’s die aansluiten bij de vraag van de bezoeker
  • SEO vriendelijke teksten (zoektermen verwerkt in tekst en titel van de pagina, H1 en H2)
  • unieke content
  • actuele content
  • linkbuilding
  • werkende links
  • goede meta descriptions
  • korte en duidelijke URL’s met de juiste zoektermen erin verwerkt
  • structuur en intern linken van andere relevante pagina’s
  • featured snippets (wat-, hoe-, waarom- en wanneer-vraag)
  • geef bestandnamen van beeld een relevante zoekterm.

Technische verbeteringen organische vindbaarheid:

  • Maak gebruik van digitale toegankelijkheid: WCAG 2.1, als onderdeel van EN 301 549.
  • Valide HTML/CSS/JS.
  • Snelle websites: Check
  • Mobile friendly websites: Check
  • Alle URL’s van een website toevoegen aan search-engines, bijvoorbeeld via sitemap.xml protocol.
  • Maak gebruik van Schema.org vocabulaires: Check
  • Veilige websites: HTTPS met de juiste TLS settings
  • UX design (met een UX ontwerp kan iedereen een website goed gebruiken, zonder frustraties of onduidelijkheden).

Inzet betaalde vindbaarheid (Google)

  • Als belangrijke informatie niet vindbaar is in de top 3 van de zoekresultaten van Google.
  • Als de informatie korte tijd aandacht nodig heeft in verband met de actualiteit (vuurwerkregels, huurverhoging, CITO).
  • Als de informatie nieuw op de site is en direct onder de aandacht gebracht moet worden (maatschappelijk belang van het onderwerp). Bijvoorbeeld bij jodiumtabletten.
  • Bij onderwerpen waar meerdere organisaties informatie over hebben, zoals de AOW. En het onderwerp niet organisch vindbaar is vanwege concurrentie.
  • Bij seizoensgebonden interesse van informatie (schoolvakanties).
  • Als een (politieke) boodschap onder de aandacht moet worden gebracht (verbod op plastic tasjes, verkiezingen).

Daarbij wordt gecontroleerd of er geen andere (rijks)overheidspartij is die dezelfde informatie ook biedt en of deze informatie goed organisch vindbaar is en/of er search advertising wordt ingezet;

Een betaalde campagne van de Rijksoverheid gebruikt zo min mogelijk persoonsgegevens

Bij online adverteren gebruik je datapunten. Sommige van deze datapunten zijn noodzakelijk om online te adverteren. Deze datapunten hebben we opgesomd onder het kopje ‘Basisdata’. Wil je verschillende doelgroepen gaan bereiken, dan ga je al snel gebruikmaken van targetingmogelijkheden, waarvoor je extra datapunten gaat inzetten. Deze vind je onder het kopje ‘Targeting Data'. Daar kun je zien welke data wel of niet ingezet kunnen worden voor targeting.

Basisdata

Bij online adverteren komt bijna altijd targeting om de hoek kijken, maar je kunt ook online adverteren zonder gebruik van targeting data. Dit kan door fixed inkopen. Dit betekent dat je afspreekt dat voor een bepaalde periode je uiting voor iedereen te zien is die op de site komt.

De creatie wordt hierbij verwerkt in een hosting systeem (adserver) waar het omgezet wordt tot een stukje code dat naar de publisher wordt gestuurd. Vanuit de adserver kunnen alle geleverde impressies en clicks gerapporteerd worden.

Welke datapunten zijn minimaal noodzakelijk voor adverteren?

HTTP Protocol Data:

  • IP Address
  • Browser (User Agent)
  • Referring URL
  • Cookie ID (desktop, tablet)
  • Ad ID (mobiel)

Waarom zijn deze datapunten noodzakelijk voor adverteren?

  • Advertentie verschijnt NIET tussen ongewenste content (drugs, geweld, porno, gokken).
  • Advertentie verschijnt aan publiek in Nederland.
  • Rapporteren van het aantal geleverde impressies.

Wanneer er een Demand Side Platform gebruikt wordt (DSP), waarbij alleen de basisdata worden gebruikt:

  • Advertentie kan een maximaal frequency cap krijgen over alle mediapartijen.
  • Het afrekenen van de advertentie.

Targeting data

Welke data kan worden toegevoegd om te kunnen targeten? Het zijn data die niet te herleiden zijn tot een unieke persoon (gegevens). De meest voorkomende targetingmogelijkheden en de mogelijke wijze van inzetten door de Rijksoverheid staan hieronder beschreven. 

Targetingmogelijkheden die onder voorwaarden zijn toegestaan:

Targetingmogelijkheden die binnen de Rijksoverheid NIET zijn toegestaan:

Vraag bij twijfel over online targeting altijd de privacyfunctionaris van je organisatie om advies.

Onderbouw je overwegingen en informeer de burger als je wél persoonsgegevens gebruikt

Als je afwijkt van de aanbevelingen en de AVG, ben je verplicht om dit vast te leggen en te onderbouwen. Informeer de burger bijvoorbeeld via de privacyverklaring op je website. Betrek ook altijd de privacyfunctionaris van je eigen organisatie bij het maken van deze overweging en vraag deze om advies. 

Meet het effect van een campagne privacyproof

Alleen werken met anonieme webstatistieken

Voor het bijhouden van bezoekstatistieken van een website is er een bijzondere situatie. Het is belangrijk dat mogelijke persoonsgegevens, zoals een IP-adres of een geo-locatie, direct uit de registratie van een bezoeksessie gewist worden. Op die manier gaat het over anonieme webstatistieken en die kunnen zonder voorafgaande toestemming van de bezoeker vastgelegd worden. Dienst Publiek en Communicatie werkt met de software Piwik Analytics die zo is ingericht dat het aan deze voorwaarden voldoet.

Geen crossmedia-analyses op basis van pixels

Sommige onderzoeksvormen brengen per persoon de historie van campagnecontacten in kaart om conclusies te kunnen trekken over de perfecte mediamix om het campagnedoel te bereiken. Een voorbeeld van dit onderzoekstype is crossmedia-analyse. Met trackingpixels wordt het online gedrag van personen over verschillende websites heen gevolgd. Wanneer er sprake is van tracking in het kader van onderzoek, dan verschilt dat feitelijk niet met tracking voor targeting of andere marketingdoeleinden en gelden ook hier de regels van de AVG, waaronder expliciete toestemming. Dat maakt dat deze onderzoeksvorm in de huidige vorm onbruikbaar wordt.