GDPR-implementatie door Google nader bekeken

General Data Protection Regulation (GDPR) zorgt bij vele Belgische bedrijven meer en meer voor beroering. Toch zijn er nog veel ondernemingen die niet wakker liggen van de nieuwe privacywetgeving en vinden dat Google en co zich eerst moeten aanpassen.

En dat klopt ook. De (zinloze?) kruisvaart tegen Facebook in verband met de Facebook Pixel bewijst dat onze Belgische privacycommissie zeker haar pijlen zal richten op de grote internetjongens.

Maar ook kleinere KMO's zullen toch echt aan de slag moeten met hun databescherming, privacybeleid en interne/externe security.

Wat niemand goed lijkt te beseffen is dat die grote jongens al grote stappen zetten om tegen mei 2018 in orde te zijn met de GDPR-wetgeving.

Zelf hield ik de stappen van Google al in het oog, en een besloten panelgesprek rond GDPR op hun Belgische hoofdzetel vandaag versterkte mijn gevoel.

 

Google en GDPR?

De volgende belangrijke zaken kwamen aan bod en zijn interessant om mee te nemen:

  • "It's a journey", vertelt Google zelf. Zijn ze al volledig in lijn met de nieuwe wetgeving? Neen, maar ze werken er wel hard aan.
  • Zowel Google als hun partneragencies hebben een gemengd verwerkingsverantwoordelijke/verwerker-statuut in de hele GDPR-wetgeving doorheen de hele keten van online advertenties.
  • de ePrivacywetgeving rond direct marketing gaat nog veel grotere gevolgen hebben, maar die zal waarschijnlijk pas tegen eind 2018 goedgekeurd worden om tegen 2020 in te gaan.
  • De VS staat niet op de safe country list voor GDPR, maar Google zit dan ook in het (soms omstreden) US-EU Privacy Shield-programma omdat er ook EU-gegevens op Amerikaanse servers staan.

 

Hieronder heb ik een lijst gemaakt met de kleine en grote stappen die Google nu al zet:
 

1. Consent management

Iets waar Google al enkele jaren hard aan werkt is toestemming verkrijgen van de gebruikers van hun diensten. Zowel bij consumenten als bij gebruikers van bijvoorbeeld AdWords.

Zo krijg je als Adwordspartner deze weken een mail met nieuwe contractuele voorwaarden (als controller en processor).

 consent.jpg

Of ontvang je als consument een melding als je voor het eerst op een Googledienst komt (zoals bij het gebruik van de incognito-feature van je browser).

YouTube consent.jpg

 

2. Speciale accounts voor kinderen onder de 13 jaar

Nog een oplossing voor een GDPR-probleem vinden we in de nieuwe family accounts voor kinderen onder de 13 jaar (een gevoelige categorie binnen GDPR).

Met de opkomst van Chromebooks (in scholen) en de opmars van YouTube bij jongeren moest er wel een oplossing komen.

google account kinderen.jpg

 

3. Privacydashboard voor alle gebruikers

Een belangrijk item bij elke GDPR-implementatie wordt een centraal privacy-/account-dashboard voor je gebruikers. Eén locatie waar ze meldingen en persoonlijke gegevens kunnen nakijken en beheren. Op deze manier cover je al het recht op inzage

Via https://myaccount.google.com kan je als internetgebruiker je data nakijken, verwijderen, pauzeren en zelfs advertentietracking uitzetten.

Google My_Account.jpg

Google vertelde me dat 1,6 miljard mensen dit vorig jaar gebruikten. 

 

4. Overdraagbaarheid van gegevens

Eén van de features van het myaccount-platform is het aanvragen van een archief van al jouw persoonlijke gegevens. Ook alle andere socialmediaplatformen hebben een gelijkaardige feature.

Google_-_Download_your_data.jpg

 

 

5. Gebruikerstransparantie in Google Analytics

Wie geregeld in Google Analytics werkt, heeft ongetwijfeld de boodschap over gebruikerstransparantie al gezien. Het is dan ook van groot belang om transparanter na te gaan wie er toegang heeft tot systemen met persoonsgegevens.

gdpr-analytics

Analytics zal meer transparantie en een beter beheer aanbieden, zodat duidelijker zal worden wie toegang heeft tot wat.

 User_visibility_-_Analytics

 

6. Samenstellen van verwerkingsregister

Als verwerkingsverantwoordelijk of verwerker zal je een verwerkingsregister moeten samenstellen. Ook Google is daar mee bezig. 

Onderstaande screenshots tonen hoe ook B2B Google Suite-gebruikers nu gevraagd wordt de nodige verwerkingsovereenkomsten te accepteren en indien nodig de gegevens van hun DPO (Data Privacy Officer) mee te delen aan Google (voor in hun register).

 

What you need to do
  1. Sign in to the Google Admin console.
  2. Go to Company profile > Profile.
  3. Opt in to DPA version 2.0.
  4. In the Legal & compliance section, enter details for your EU representative and DPO as needed. You might need to click Show more to see Legal & compliance.
  5. Click Save.

 

google suite DPO 2.jpg

google suite DPO.jpg

 

7. Conversion cookies op eigen domein plaatsen

Niet enkel vanuit de GDPR-wetgeving wordt er met scherp geschoten op zogenaamde third-party cookies, maar ook de nieuwe iOS11 gaat ze standaard na 24u blokkeren (zie hun Intelligent Tracking Prevention).

Gelukkig heeft Google hier al snel 3 oplossingen uitgewerkt, waarbij de nieuwe Conversion Linker tag in GTM momenteel mijn voorkeur geniet.

conversion linker tag

 

8. Retention period of bewaartermijn voor advertentiedata

De meeste mensen beseffen intussen wel dat consumenten aan de hand van hun online gedrag kunnen worden getarget. Google houdt deze gegevens trouwens maar 18 maanden bij voor gebruik in de ad-services.

Data over het blokkeren van "unwanted ads" houdt men wel langer bij dan die 18 maanden.

 

8. Push van HTTPS

Toevallig is vandaag Chrome versie 62 live gezet. Niet zo belangrijk denken de meeste consumenten, maar als webmaster zou ik toch maar eens je websites aflopen.

hrome 62.jpg

Vanaf nu markeert Chrome websites zonder HTTPS-certificaat, maar met een invoerveld (formulier, zoekveld,...), als onveilig. Lees er zeker onze blogpost van eind augustus nog eens op na. 

Op securityvlak kondigde Google gisteren ook de nieuwe high-security-mode voor accounts aan. Zo kan je als journalist, klokkenluider ... je Google-accounts nog beter beschermen.

 

En Intracto dan?

Zoals je kan zien is GDPR-compliancy meer dan wat documentatie en to-do's afvinken.

Bij Intracto zijn we al maanden bezig met het informeren van onze klanten (via klantenevents), eigen werknemers (via algemene bewustmakingssessies) en het in kaart brengen van ons landschap. Ons strategieteam werkt aan duidelijke GDPR-compliant templates voor alle nieuwe analysetrajecten van nieuwe platformen. 

Als belangrijke partner van Google werken we samen aan meer duidelijkheid voor onze klanten die bijvoorbeeld onze AdWordsdiensten gebruiken.

Meer weten? Contacteer ons!