[onderzoek] Consumenten meer databewust, zorgen over privacy dalen

GDMA Global Privacy Monitor 2022: Wereldwijd privacy-onderzoek

De Global Privacy Monitor 2022, een in opdracht van GDMA (de koepelorganisatie van branchevereniging DDMA) uitgevoerd onderzoek onder respondenten uit 16 landen wereldwijd, laat zien dat consumenten zich meer bewust zijn van hun rechten over het delen van persoonsgegevens. Tegelijkertijd dalen de zorgen over privacy en ziet de meerderheid het delen van data als essentieel onderdeel van de huidige maatschappij. Consumentenvertrouwen en een relevant, gepersonaliseerd aanbod vormen daarbij belangrijke voorwaarden.

Facts & Figures

  • Bekendheid met AVG is verdubbeld in alle landen ten opzichte van 2018. Bijvoorbeeld in Nederland: van 28% naar 66%.
  • 74% ondervraagde consumenten ziet persoonlijke gegevens als hun eigendom en is bereid om die te delen als ze er iets voor terugkrijgen
  • Voor 38% is vertrouwen in organisatie de belangrijkste voorwaarde om gegevens te delen
  • Groep met ‘weinig tot geen zorgen over online privacy’ groeit. Stijgende trend van 26% naar 31%.
  • Transparantie is cruciaal: 77% van alle consumenten vindt het belangrijk om te weten hoe gegevens worden verzameld en gebruikt.

Dit artikel is geschreven door Matthijs van den Broek en verscheen eerder

Mogelijk verbod Google Analytics voorbode voor veel bredere impact

Wat zijn de gevolgen voor het gebruik van Google Analytics in Nederland?

Volgens een uitspraak van de Oostenrijkse privacytoezichthouder DSB van 13 januari 2022 overtreedt Google Analytics de GDPR wetgeving. Ook de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder, onderzoekt momenteel 2 klachten over het gebruik van Google Analytics. De impact van een dergelijke uitspraak is echter veel breder dan alleen Google Analytics. Mogelijk opent Europa de aanval op een veel grotere groep Amerikaanse techbedrijven.

Juridische context bij het verbod op Google Analytics

Op 13 januari deed de Oostenrijkse privacytoezichthouder DSB uitspraak in een zaak die is aangespannen door NOYB (None Of Your Business, een privacyorganisatie opgericht door privacyactivist Max Schrems), tegen de organisatie achter een niet nader genoemde website en Google LLC. In deze uitspraak wordt geconcludeerd dat Google Analytics inderdaad in strijd handelt met hoofdstuk V. art. 44 van de GDPR.De uitspraak kan als volgt worden uitgelegd.

Google Analytics verstuurt persoonsgegevens naar de Verenigde Staten. Hieronder vallen gegevens ten behoeve van gebruikersidentificatie, IP-adressen en browsergegevens. De Standard Contractual Clauses (SCC) die door Google gebruikt worden voor de doorgifte van persoonsgegevens bieden volgens de DSB onvoldoende privacybescherming. Dit oordeel heeft echter weinig te maken met de technische werking van Google Analytics, of de locatie waar data wordt uitgeslagen. En dat is precies de reden waarom de impact van een Europese adoptie van dit Oostenrijkse oordeel potentieel zeer impactvol is, en daarmee in veel bredere context dient te worden bezien dan uitsluitend die van Google Analytics. De uitspraak is namelijk gestoeld op 2 belangrijke conclusies:

Als ‘provider of electronic communication services’ valt Google onder de wetgeving 50 US Code § 1881 (b) (4). Deze wetgeving geeft Amerikaanse federale inlichtingendiensten op hun beurt de mogelijkheid om op grond van 50 US Code § 1881a (“FISA 702”) Google (en dus ook andere ‘provider(s) of electronic communication services’ te verplichten hen toegang tot data te verschaffen.

Let op: eerdere uitspraken in bijvoorbeeld zaken van de FBI vs. Microsoft lieten al zien dat het hier niet relevant is waar de data geografisch gezien is opgeslagen.

Dit artikel is geschreven door Wolter Tjeenk Willink en verscheen eerder op

Gebruik Google Analytics mogelijk binnenkort verboden, waarschuwt toezichthouder

De Autoriteit Persoonsgegevens heeft zijn technische handleiding een update gegeven naar aanleiding van een uitspraak in Oostenrijk.

Websites die gebruikmaken van Google Analytics, moeten opletten. Het gebruik van de analysesoftware wordt mogelijk snel verboden, waarschuwt de Nederlandse toezichthouder Autoriteit Persoonsgegevens (AP). De AP doet deze waarschuwing naar aanleiding van de uitspraak van de Oostenrijkse privacytoezichthouder, die oordeelt dat Google Analytics de Europese privacywet AVG schendt. Privacyorganisatie Noyb diende de klacht in Oostenrijk in en is tevreden met de uitspraak. 

Google Analytics-handleiding geüpdatet

De AP heeft zijn handleiding voor het privacyvriendelijk instellen van Google Analytics op 13 januari een update gegeven. Ook de websitepagina rondom Google Analytics is geüpdatet. De toezichthouder waarschuwt dat het gebruik van Google Analytics mogelijk binnenkort verboden wordt omdat de software volgens de Oostenrijkse toezichthouder onnodig informatie naar de Verenigde Staten stuurt, wat in strijd is met de AVG. 

Dit artikel verscheen eerder op

Privacy, de volgende P in de marketingmix?

Privacy was lange tijd een ondergeschoven kindje in marketing. En niet alleen voor marketeers, ook consumenten leken lange tijd meer geïnteresseerd in de voordelen van een product of dienst, dan dat ze zich druk maakten over of hun persoonsgegevens wel in veilige handen waren. Want zeg nou eerlijk, lees jij altijd de gebruikersvoorwaarden van begin tot eind? En klik je vervolgens dan weleens op ‘Niet accepteren’?

De laatste tijd zien we hier echter een kentering. Verschillende ontwikkelingen hebben hiervoor gezorgd. Zo veroorzaakte de Europese privacywet GDPR een ware stortvloed aan e-mails waarin allerhande dienstverleners en verkooppartijen toestemming vroegen aan hun (ooit) klanten om hun gegevens te mogen bewaren. Ongetwijfeld heeft dit tot meer bewustzijn geleid onder consumenten over hoeveel partijen weten wie ze zijn, en wat ze over hen weten.

Wat weet Mark?

Maar denk ook zeker aan de discussie rondom privacy en social media. Wat weet Mark Zuckerberg allemaal van ons en, nog belangrijker, wie heeft er nog meer toegang tot deze persoonlijke informatie? Het schandaal rond Cambridge Analytica heeft in ieder geval als positief effect gehad dat het privacybewustzijn van consumenten is vergroot.

Tegelijkertijd worden bedrijven zich ook steeds bewuster van het belang van privacy. Of in ieder geval van de toegenomen waarde die hun klanten hechten aan privacy. Goed voorbeeld hiervan is Apple. Tegenwoordig moeten iOS-apps expliciet om toestemming vragen voor het volgen van gedrag voor gepersonaliseerde advertenties. En in de komende iOS-update zullen meer privacy-opties beschikbaar zijn. Zo zal het Apple Privacy Report inzicht geven in welke apps toegang tot je contacten of locaties hebben.

Hoeder van privacy

Nu ligt de focus van het privacybeleid van Apple in dit geval voornamelijk op wat derde partijen ermee van plan zijn en draait het dus niet zozeer om hoe Apple zelf met de persoonlijke gegevens van gebruikers omgaat. Maar het past binnen de trend waarin steeds meer bedrijven zich profileren als ‘hoeder’ van jouw privacy. Tegelijkertijd ligt datzelfde Apple onder vuur vanwege hun plannen om foto’s op iPhones te monitoren op kinderporno. Experts betwijfelen of het bedrijf dit privacyvriendelijk voor elkaar kan krijgen. En de kritiek komt niet alleen van buiten, ook Apple-medewerkers zijn kritisch over de plannen.

Steeds meer bedrijven stellen zich op als ‘hoeder’ van jouw privacy

Het weerhield de techreus er in ieder geval niet van om een campagne te lanceren onder de noemer ‘Privacy. That’s iPhone’. Wederom een voorbeeld dat privacy als een onderscheidende factor wordt beschouwd. Eerder was topman Tim Cook al duidelijk over het belang dat Apple hecht aan de privacy van zijn gebruikers: “The truth is we could make a ton of money if we monetized our customer, if our customer was our product. We’ve elected not to do that.

Goed voorbeeld doet volgen

Gezien de voortrekkersrol van Apple is het niet vreemd de verwachting uit te spreken dat andere bedrijven dit voorbeeld volgen, ook omdat de verwachtingen van klanten veranderen. Dit heeft gevolgen voor bedrijven en sectoren waar de nadruk ligt op het binnenhalen van persoonsgegevens van klanten en gebruikers. Een klantgedreven privacybeleid kan een concurrentievoordeel opleveren.

Het verklaart ook de opkomst van nieuwe technologieën zoals Self Sovereign Identity (SSI), waarmee gebruikers zelf de controle over hun persoonlijke gegevens behouden. In plaats van volledig inzicht te geven aan bedrijven (of overheden) in alle persoonlijke data, bepalen gebruikers met zelf welke gegevens ze willen delen en met wie. Als bijvoorbeeld alleen maar bewezen hoeft te worden dat iemand ouder is dan 18, dan is het delen van een geverifieerde geboortedatum voldoende – of zelfs alleen de melding dat de persoon ouder dan 18 is, zonder dat de geboortedatum zelf gedeeld hoeft te worden. En bij contact met de gemeente over een melding van overlast in de straat, volstaat het delen van de postcode.

Omgang met persoonsgegevens verandert

Het lijken simpele voorbeelden, maar ze veranderen de essentie van hoe organisaties omgaan met persoonlijke gegevens. Niet alleen ligt de regie bij de gebruiker (en dus de eigenaar van de gegevens), het dwingt organisaties ook om nog beter na te denken over welke gegevens ze van hun klanten nodig hebben om tot een betere dienstverlening te komen.

Organisaties moeten beter nadenken over welke gegevens ze van hun klanten nodig hebben voor betere dienstverlening

Wat vervolgens weer invloed heeft op hoe de marketingstrategie wordt ingericht. Want wanneer keuzes worden gemaakt met betrekking tot de gegevens die van klanten worden gevraagd, betekent dat automatisch dat klantprofielen minder specifiek zijn.

Is dat erg? Nee, in mijn optiek niet. Want het dwingt marketeers om scherp te zijn op welke informatie ze nodig hebben om hun klanten goed van dienst te kunnen zijn. Bovendien, het één (jezelf profileren als privacybewuste onderneming) kan niet zonder het ander (kritisch zijn op welke data van klanten en gebruikers wordt gevraagd). Practice what you preach, in goed Nederlands. Hoog tijd dus dat de P van Privacy wordt toegevoegd aan de marketingmix.

Dit artikel is geschreven door Michiel Henneke en verscheen eerder op

Privacy Shield ongeldig verklaard: zo word je weer compliant met de AVG


De uitspraak van het Europese Hof van Justitie gaat een enorme impact hebben op organisaties die data delen buiten de EU.

Op 16 juli 2020 deed het Europese Hof van Justitie een uitspraak met enorme consequenties voor het internationale dataverkeer. Het Hof zette een streep door het Privacy Shield, de opvolger van het in 2015 ongeldig verklaarde Safe Harbor. Dit zorgt ervoor dat de doorgifte van data aan ruim 5.500 Amerikaanse organisaties (waaronder de meest gebruikte marketingtools) per direct een overtreding van de AVG is. Hoe nu verder? In dit artikel geef ik je vijf tips waarmee je de impact in kaart kunt brengen en stappen kunt zetten richting AVG-compliance.

Lees dit artikel op