Het is bijna een jaar geleden dat GDPR werd geïntroduceerd (25 mei 2018) om de gegevensprivacy van online gebruikers te versterken. Om dit te doen heeft de AVG twee routes uitgerold, namelijk. legitiem belang en toestemming. Beide routes waren erop gericht gebruikers/websitebezoekers te informeren over ‘wanneer en hoe hun gegevens zullen worden gebruikt’. De term GDPR-toestemmingsreeks werd rond deze tijd bedacht. Maar waarom?
Om ervoor te zorgen dat uitgevers voldoen aan de AVG, moesten ze kiezen tussen het legitieme belang of de toestemmingsroute. Gerechtvaardigd belang betekent websites die juridisch gerechtvaardigde redenen geven voor het verzamelen en gebruiken van hun gebruikersgegevens. Terwijl toestemming betekent websites die toestemming van de gebruikers moeten vragen voordat ze hun gegevens gaan gebruiken.
Als gevolg hiervan moesten veel uitgevers de toestemmingsroute volgen dankzij de richtlijnen die zijn gedefinieerd door de EU AVG. Dit is hoe de branche aan de AVG-toestemmingsreeks kwam. Laten we er meer over te weten komen.
Wat is AVG-toestemmingsreeks?
AVG-toestemmingsreeks is informatie die wordt gegenereerd door de uitgever toestemmingsbeheerplatform. De tekenreeks wordt gebruikt om de toestemmingsstatus te identificeren van de advertentietechnologieleverancier(s) die met de uitgevers samenwerken. Dit betekent dat de informatie laat zien of de leverancier wel of niet de toestemming heeft om de gebruikersgegevens te gebruiken voor het aanbieden van gepersonaliseerde advertenties of andere doeleinden.
De informatie in de toestemmingsreeks wordt vaak ook aangeroepen madeliefje, de technische naam ervan. Daisybit is de binaire vorm van informatie die wordt beschouwd als de toestemmingsstatus van een gebruiker die de website bezoekt. Het ziet eruit als een reeks getallen gemaakt van degenen en nullen一1 en 0 (we zullen dit in detail bespreken).
Wanneer de informatie wordt ontvangen en omgezet in Daisybit, wordt deze doorgegeven aan alle leveranciers in de advertentietoeleveringsketen. De Daisybit stelt vast 'welke leverancier de gebruikers kan bedienen met gepersonaliseerde advertenties, en welke niet.'
AVG-toestemmingsreeks, ook wel Daisybit genoemd, ligt in het AVG-toestemmingsframework. Het is dan ook de bedoeling om uitgevers te helpen bij het werken met het toestemmingsproces. Ook om iedereen in het digitale advertentie-ecosysteem te krijgen GDPR compliant.
Samenstelling van AVG-toestemmingsreeks
Een AVG-toestemmingsreeks slaat de volgende informatie op:
- Wie zijn de verkopers
- Hebben de leveranciers toestemming van de gebruiker of niet?
- Wat zijn de doeleinden van leveranciers met de gebruikersgegevens
Wie zijn de verkopers
De IAB Europe houdt een vernieuwde lijst met leveranciers bij, de zogenaamde mondiale leverancierslijst. De leveranciersnamen die in de AVG-toestemmingsreeks worden vermeld, zijn doorgaans leveranciers die deel uitmaken van de globale leverancierslijst. Al deze leveranciers maken deel uit van het transparantie- en toestemmingskader van IAB Europe en voldoen daarom aan de regels.
Uitgevers die de toestemmingsroute volgen, houden ook een openbare lijst bij van gebelde leveranciers pubvendors.json. Deze lijst vermeldt de gegevensrechten die uitgevers verlenen aan hun bestaande partners en uitgenodigde leveranciers.
Hebben de leveranciers toestemming van de gebruiker of niet?
Zoals hierboven besproken, bestaat de GDPR-toestemmingsreeks/daisybit uit een reeks enen en nullen. Deze serie helpt bij het identificeren of de verkoper toestemming heeft gekregen of niet. Hier staan de enen en nullen bekend als bits.
Een uitgever kan bijvoorbeeld met tien verschillende leveranciers werken. Deze leveranciers hebben toegang tot zijn/haar bezoekersgegevens en kunnen deze targeten met gepersonaliseerde advertenties. Hier krijgen de gebruikers de mogelijkheid om toestemming aan elke leverancier afzonderlijk toe te staan of te weigeren.
Volgens het proces wordt op basis van gebruikersinvoer een seriebit of toestemmingsreeks gegenereerd die er als volgt uit kan zien: 1100100101. Dit is een tiencijferige combinatie waarbij elk nummer de inhoudsstatus impliceert die door de gebruiker voor een leverancier is opgegeven.
Als we naar deze cijfercombinatie kijken, kunnen we begrijpen dat 1 gelijk is aan 'Ja' (toestemming toegestaan), terwijl 0 gelijk is aan 'Nee' (toestemming geweigerd).
Wat zijn de doeleinden van leveranciers met de gebruikersgegevens
In de AVG-toestemmingsreeks betekent een 'doel' de reden van de leverancier om de gebruikersgegevens te verzamelen. Het doel kan van alles zijn, zoals het volgen van gebruikers op internet voor retargeting, het aanbieden van gepersonaliseerde en gerichte advertenties, het volgen van websessies van gebruikers, enz. De IAB wijst ook een afzonderlijke ID toe om gegevensdoeleinden te identificeren.
Hoe werkt het voor uitgevers?
De AVG-toestemmingsreeks begint met het toestemmingsbeheerplatform van een uitgever voordat deze via de leverancier(s) gaat en uiteindelijk de DSP bereikt. Zodra de string is gegenereerd, onderzoekt IAB de invoer om te identificeren welke leveranciers van advertentietechnologie wel of geen toestemming hebben gekregen.
Over het algemeen is er een groot aantal leveranciers te identificeren aan de hand van bulktoestemmingsreeksen die door meerdere uitgevers worden verzonden. Daarom wijst IAB in eerste instantie unieke ID's toe aan alle deelnemende leveranciers in de globale leverancierslijst, zodat elke leverancier gemakkelijk kan worden geïdentificeerd.
De aanvankelijk toegewezen lijst met ID's wordt geïntegreerd met de ontvangen toestemmingsreeks om elke leverancier in één keer te identificeren. Zodra leveranciers zijn geïdentificeerd, helpt de syntaxis van getallen in de string, zoals 1100100101, hen te bevestigen welke leveranciers toestemming van de gebruiker hebben gekregen en welke niet. Uit de informatie blijkt ook het doel van de leverancier met het verzamelen van de gegevens.
Via dit proces wordt de definitieve toestemmingsstatus voor elke advertentietechnologieleverancier aan de leveranciers en uitgevers doorgegeven. De toestemmingsreeks is meestal zichtbaar. Zowel uitgevers als leveranciers kunnen de toestemmingsstatus van andere uitgevers en leveranciers zien.
Verkopers kunnen de gegevens echter niet zien doeleinden van andere leveranciers en uitgevers. Zowel de toestemmingsstatus als het doel van elk domein, of dit nu van de uitgever of van de leverancier is, zijn alleen leesbaar voor het CMP.
De rol van cookies in de AVG-toestemmingsreeks
Er zijn nog meer aspecten die uitgevers moeten weten over de AVG-toestemmingsreeks.
We hebben inmiddels begrepen dat het proces van de AVG-toestemmingsreeks begint met het ontvangen van de toestemmingsstatus van de gebruikers/bezoekers die op een website komen. Het cookiebeleid (toestemmingsroute) van een uitgever vraagt de gebruikers om hun mening te geven over hoe zij het liefst willen dat hun gegevens worden gebruikt. Maar het verkrijgen van de gebruikersinvoer is het eerste wat nodig is.
Dus wat als er geen input wordt ontvangen? Wanneer er een invoer wordt ontvangen, wordt er een cookie gegenereerd die het gebruikersantwoord (1 of 0) bevat. Bij geen invoer of bij een eerste bezoeker wordt er dus geen cookie gegenereerd. Als gevolg hiervan wordt de inhoudsreeks niet gestart en wordt de gebruiker opnieuw gevraagd zijn/haar antwoord in te voeren.
Merk ook op dat de gebruikersinvoer die op de website wordt ontvangen, dat wel is cookie-informatie die verder door de CMP wordt gebruikt om de toestemmingsreeks te genereren. Daarom wordt de cookie onderworpen aan het wissen of wissen van cookies.
Dit geeft aan dat een gebruiker die mogelijk bij zijn eerste invoer 1 heeft ingevoerd, dat wil zeggen toestemming is toegestaan en een week later zijn cookies wist, opnieuw wordt gevraagd een reactie op het cookiebeleid in te voeren. En deze keer is het mogelijk dat de gebruiker een 0 invoert bij zijn tweede invoer, dat wil zeggen: toestemming geweigerd.
Wanneer hebben uitgevers een toestemmingsreeks nodig?
Uitgevers die de toestemmingsroute volgen, hebben een AVG-toestemmingsreeks nodig. Uitgevers met een legitiem belang houden zich niet bezig met de AVG-toestemmingsreeks, omdat de reeks alleen gebruikerskeuzes weergeeft. In geval van legitiem belang geven gebruikers automatisch toestemming door het cookiebeleid van de website te accepteren, waardoor de keuze van de gebruiker hier geen rol speelt.
Bovendien werken uitgevers met meerdere leveranciers. Ze weten dat elke leverancier toegang heeft tot zijn gebruikersgegevens, die ze voor hun eigen doeleinden kunnen gebruiken. Daarom is het definiëren van een controlepunt noodzakelijk om ethisch te kunnen opereren in het digitale advertentie-ecosysteem.
Om dit te doen, verwijzen uitgevers naar de toestemmingsreeks. De string fungeert als een diagram waarmee ze kunnen bijhouden welke gegevensgebruiksrechten aan welke leverancier moeten worden gegeven. Ten slotte worden uitgevers die dit niet doen kwetsbaar voor niet-naleving van de AVG en riskeren ze zware straffen/boetes.
De Conclusie
Uitgevers die actief betrokken zijn bij het GDPR-toestemmingsreeks-/daisybit-proces hebben hun zorgen geuit AVG-toestemmingsreeksfraude. Het grootste probleem is of het knoeien met de AVG-toestemmingsreeks bedreigend is of niet.
Is het mogelijk om een invoer 'toestemming geweigerd' te veranderen in een invoer 'toestemming toegestaan' tijdens het verwerken van de toestemmingsreeks; helemaal van een CMP naar een leverancier naar een DSP? Technisch gezien wel. Experts uit de sector zeggen echter ook dat er nieuwe veiligheidsmaatregelen op komst zijn die inmenging in de AVG-toestemmingsreeks moeilijk, zo niet onmogelijk zullen maken.
In de toekomst zal het toestemmingsraamwerk naar verwachting een nieuwe beschermingslaag toevoegen en de adoptie onder kleine en middelgrote uitgevers vergroten, en hen helpen genoegen te nemen met een oplossing voor toestemmingsbeheer en een standaardproces te volgen.
Shubham is een digitale marketeer met rijke ervaring in de advertentietechnologie-industrie. Hij heeft ruime ervaring in de programmatische industrie, waar hij de bedrijfsstrategie en schaalfuncties aanstuurt, inclusief maar niet beperkt tot groei en marketing, operations, procesoptimalisatie en verkoop.
