Omdat er steeds minder gebruik kan worden gemaakt van cookies voor het verzamelen van informatie van websitebezoekers, maakt Google gebruik van Enhanced Conversions. Met Enhanced Conversions kan Google conversies registreren op basis van persoonsgegevens van de websitebezoeker. Deze persoonsgegevens zijn echter niet afkomstig uit cookies.
Google werkt dan namelijk met gehashte gebruikersgegevens zoals een e-mailadres of telefoonnummer. Met Enhanced Conversions kan Google een conversie aan een klik toewijzen door een gebruiker te identificeren aan de hand van de gegevens die hij of zij op de website heeft achtergelaten. Zelfs als een gebruiker zijn cookies heeft verwijderd of van apparaat is gewisseld.
Veel marketingpartijen zien dit als een mooie ontwikkeling. Dit zorgt er namelijk voor dat nog meer conversies kwalitatief goed kunnen worden gemeten. En dat kan natuurlijk weer gebruikt worden voor marketing campagnes, zoals Google Ads.
Wat verzamelt Google Enhanced Conversions?
Persoonsgegevens die door een websitebezoeker op de website worden achtergelaten, worden door jou als website eigenaar naar Google doorgestuurd. Denk aan een e-mailadres in een contactveld, of een telefoonnummer in het bestelproces. Dit zorgt ervoor dat steeds verder af wordt gestapt van third-party cookies.
Google stelt dat, zodra dit bij Google terecht komt, geen direct herleidbare gegevens meer zijn. Dat komt omdat de gegevens worden versleuteld middels een hash-algoritme genaamd SHA256. Doordat deze hash one-way is, kan Google de gegevens niet ontsluiten.
Zijn gepseudonimiseerde gegevens persoonsgegevens?
In een recent arrest van het Europese Hof van Justitie (GAR/EDPS), wordt duidelijk dat gepseudonimiseerde gegevens voor een ontvanger geen persoonsgegevens hoeven te zijn. Het is dus goed mogelijk dat, door het toevoegen van de hash, Google geen persoonsgegevens in handen heeft. Dit is echter moeilijk te achterhalen.
De verzender van de gegevens (de websitehouder) is verplicht om te onderzoeken of Google daadwerkelijk geen enkele mogelijkheid heeft om de persoonsgegevens te achterhalen. En gezien Google houder is van de hash-code, heeft Google de technische mogelijkheid. Daar komt bij dat, doordat de conversie telkens dezelfde hash-waarde krijgt, de gegevens (na een bepaalde periode) kunnen worden gecombineerd met persoonlijke informatie. Denk aan: welke websites worden vaak bezocht, wat is de Geolocatie van de gebruiker, etc.
Dit maakt dat de gepseudonimiseerde gegevens op den duur door Google toch herleidbaar zijn naar een individu. En daarmee is de AVG van toepassing. Dit betekent dat aan de websitebezoeker toestemming moet worden gevraagd voor Enhanced conversions.
Toestemming voor Google Enhanced Conversions en informeren
Google Enhanced Conversions sluit technisch aan op de Consent Mode van Google. Zolang geen toestemming is gegeven, haalt Google geen persoonsgegevens van de websitebezoeker op. Hiermee dekt Google zich gedeeltelijk in voor onrechtmatige gegevensverwerking.
Google geeft zelf daarnaast verschillende tips hoe aan Europese wet- en regelgeving te voldoen. Dat zijn tips als:
- Zorg dat bezoekers geïnformeerd worden (bijvoorbeeld in de privacyverklaring) dat hun gegevens met derden (namelijk Google en eventueel advertentiepartners) worden gedeeld om advertentiemetingsdiensten uit te voeren.
- Zorg voor rechtmatige toestemming voor het doorsturen van persoonsgegevens voor advertentiedoeleinden.
- Je mag geen informatie uploaden die bij wet verboden is, inclusief informatie over minderjarigen.
- Je mag geen transactiegegevens uploaden die betrekking hebben op de gevoelige categorieën, die hieronder worden beschreven.
Verboden uploads van gevoelige gegevens
Uploads van gevoelige categorieën persoonsgegevens mogen van Google niet worden gebruikt voor metingen bij verbeterde conversies of winkelverkopen. Dat is bijvoorbeeld interesse in of deelname aan activiteiten voor volwassenen, zoals gokken, daten met seksuele ontmoetingen, daten met geseksualiseerde thema’s, seksueel amusement, pornografie.
Maar ook de verwerking van bijzondere of gevoelige persoonsgegevens moet worden utigesloten van doorzending. Dat zijn gegevens die betrekking hebben op seksueel gedrag of geaardheid, raciale of etnische informatie, politieke voorkeur en lidmaatschap of aansluiting bij een vakbond, religie of religieuze overtuiging, negatieve financiële status of situatie, gezondheids- of medische informatie, het plegen of vermeend plegen van een misdrijf en echtscheiding.
Dat betekent dat je moet waarborgen dat deze gegevens niet naar Google worden gestuurd. Dit kan door technische maatregelen te nemen, of door geen Enhanced Conversions te gebruiken op websites of pagina’s waar gevoelige informatie wordt achtergelaten.
Wil je ook gaan werken met Customer Match? Lees hier meer.
Vragen over dit blog? Ideeën of opmerkingen?
"*" geeft vereiste velden aan