GDPR, ePrivacy & Awin

Het is essentieel voor bedrijven in de digitale sector om zowel de details van de GDPR als ePrivacy te begrijpen. In dit whitepaper proberen we de gevolgen voor affiliate marketing te verklaren en praktisch advies te geven aan publishers en adverteerders.

Awin & de AVG
GDPR in een notendop
Het complete overzicht met ePrivacy
Wat is de impact van de GDPR op de affiliate marketing industrie?
Awin's voorbereiding op de AVG
Gebruik van persoonlijke gegevens
Consumentendata
Gegevensbeheerder of -verwerker?
Maar hoe zit het met netwerken en publishers? Zijn zij verwerkers of gezamenlijke beheerders met de adverteerder?
Hoe verschilt dit van de posities van andere netwerken?
Welke privacyregelingen heeft Awin?
Gerechtvaardigd belang en afwegingstoets
Waarom geen consent?
Consent respecteren
De ePrivacyrichtlijn
Waarom hebben we het steeds weer over Cookie consent?
Hoe beïnvloedt de AVG de cookie consent?
Dus hoe verschillen Cookie Consent en Data Consent van elkaar?
Hoe beïnvloedt dit de manier waarop publishers en adverteerders samenwerken met Awin?
De positie van Awin samengevat
Wat betekent dit allemaal als ik een adverteerder of publisher ben die met Awin werkt?
Waar kan ik meer te weten komen?

Awin & de AVG

De Algemene Verordening Gegevensbescherming (AVG) trad in werking op 25 mei 2018. Dit vertegenwoordigde een belangrijke verandering in de regulering van persoonlijke gegevens in de EU, ter vervanging van een bestaand juridisch kader dat de snelle groei van het gebruik van persoonlijke gegevens door bedrijven in de afgelopen 20 jaar of zo niet had voorzien.

GDPR represented a significant change to the way personal data is regulated in the EU.

In de periode voorafgaand aan de invoering van de AVG hebben alle affiliate marketingnetwerken en SaaS-platforms hun eigen zorgvuldigheidsonderzoek uitgevoerd en juridisch advies ingewonnen over hun positie inzake gegevensverwerking en hoe zij zichzelf zien passen binnen het ecosysteem van adverteerders en publishers.

Omdat er geen consistentie is in hoe affiliate netwerken data gebruiken, is er nog steeds geen consensus, wat onvermijdelijk verwarring kan veroorzaken binnen de industrie. Dit document probeert de logica achter de positie van Awin en onze verwachtingen van de bedrijven waarmee we samenwerken te schetsen.

1. AVG in een notendop

De AVG, inclusief de Britse GDPR, is ontworpen om consumenten in de EU en het VK meer macht te geven en hun rechten met betrekking tot de manier waarop hun gegevens worden gebruikt te verankeren. Voor de digitale industrie wordt dit steeds belangrijker, omdat de definitie van wat als persoonlijke gegevens wordt beschouwd, is uitgebreid tot alles wat een individu kan onderscheiden, maar niet noodzakelijkerwijs openlijk persoonlijk identificeerbaar is. Hoewel een e-mailadres uiteraard persoonlijke gegevens zijn, omvat de reikwijdte ook pseudonieme identificatiegegevens zoals een IP-adres of bestellings-ID.

Om deze gegevens te kunnen verwerken, moeten bedrijven een juridische grondslag kiezen, waarvan er zes zijn. Voor sommige activiteiten is dit duidelijk, maar veel digitale marketingbedrijven kiezen doorgaans voor 'consent' of 'gerechtvaardigd belang'. Hierover later meer.

Privacy by design vereist dat bedrijven fundamenteel opnieuw nadenken over de manier waarop ze nieuwe tools en technologie ontwikkelen, waarbij ze garanderen dat privacy- en gegevenscontroles deel uitmaken van het DNA van upgrades en releases.

Data minimalisatie vereist dat bedrijven alleen de gegevens volgen die ze nodig hebben om de beschreven verwerkingsfunctie uit te voeren.

Bovendien zijn de opleiding van werknemers en de benoeming van personen die verantwoordelijk zijn voor handhaving twee belangrijke aspecten om te overwegen.

Afgezien van de wettelijke basis zijn er ook enkele kernprincipes vastgelegd in de AVG.

Het niet volgen van de regels kan resulteren in de zwaarste straf; hoge boetes.

De AVG is dus verstrekkend en alomvattend. Maar naast dit stuk wetgeving moeten ook de bestaande regels rond digitale marketing, vastgelegd in de wetten van de lidstaten ter implementatie van de e-privacyrichtlijn, diepgaand worden bekeken.

2. Het volledige plaatje met ePrivacy

De ePrivacy-richtlijn (of kortweg ePrivacy) geeft mensen specifieke privacyrechten met betrekking tot elektronische communicatie, het meest significante gebied voor affiliate marketing is het gebruik van cookies en vergelijkbare technologieën. In het VK worden deze regels uiteengezet in PECR, de Privacy and Electronic Communications Regulations. Hier zullen we consistent verwijzen naar de ePrivacy-richtlijn.

 De ePrivacy-richtlijn is een aanvulling op de algemene wetgeving inzake gegevensbescherming en bevat meer specifieke privacyrechten op elektronische communicatie. Er is sprake van complexiteit bij het begrijpen van wat ePrivacy betekent voor Awin en elk bedrijf dat actief is in de EU, wat voortkomt uit de aard van de wet.

 Terwijl de AVG, zoals de naam al aangeeft, een verordening is en als zodanig rechtstreeks van toepassing is, is ePrivacy in zijn huidige vorm slechts een richtlijn, waarbij de implementatie aan de lidstaten wordt overgelaten. De definitieve tekst van de ePrivacy-wet is dus bepaald door de individuele lidstaten en als gevolg daarvan zijn de eisen rond cookies (en soortgelijke technologieën) in heel Europa aan verschillende eisen onderworpen.

Hoewel de AVG universeel wordt aangenomen, is ePrivacy onderhevig aan lokale interpretatie.

Deze juridische onzekerheid zal worden opgelost zodra de langverwachte ePrivacy-verordening van kracht wordt. Tot die tijd moeten bedrijven die in meerdere rechtsgebieden actief zijn echter overwegen om lokale begeleiding te zoeken om naleving te garanderen.

Om nog meer verwarring te creëren: AVG en ePrivacy kunnen niet afzonderlijk worden geïnterpreteerd.

In sommige rechtsgebieden kan ePrivacy consent op AVG-niveau vereisen voor cookies (ongeacht of persoonlijke gegevens via die cookie worden verzameld of niet). We hebben geprobeerd een duidelijk onderscheid te maken tussen deze twee wanneer we hieronder ingaan op gegevenstoestemming en cookieconsent.

Daarom, hoewel deze richtlijnen bedoeld zijn om de impact van de AVG op affiliate marketing aan te pakken, zullen we ook verwijzingen naar ePrivacy maken om de gegevensregulatie in zijn geheel aan te pakken.

3. Welke invloed heeft de AVG op de affiliate marketingindustrie?

De grotere reikwijdte en toepassing van de AVG op soorten persoonlijke gegevens betekende dat, afhankelijk van de context, bepaalde soorten gegevens die voorheen mogelijk niet door de privacywetten waren gereguleerd, aan regelgeving werden onderworpen. Dit omvat apparaat-ID's, cashback-lid-ID, klantreferentienummers en andere technische identificatiegegevens. Bovendien stelt de AVG strengere eisen aan het verkrijgen van toestemming van gebruikers voor de verwerking van persoonsgegevens.

Het is belangrijk om op te merken dat in zijn zuiverste vorm en in relatie tot de specifieke diensten van Awin, de aard van de persoonlijke gegevens die worden verwerkt voor affiliate marketing niet-gevoelig en grotendeels technisch is.

Vergelijk het kanaal met andere kanalen die persoonlijke gegevens gebruiken om consumentenprofielen te creëren voor gerichte advertenties; doorgaans worden remarketing of programmatic technieken niet gebruikt in affiliate marketing.

Desalniettemin zullen sommige merken samenwerken met affiliates die dergelijke activiteiten op een CPA-basis via het affiliate kanaal uitvoeren. In bepaalde gevallen zijn gedragsgerichte reclame en andere marketing gebaseerd op prestaties, die sterk leunen op het profileren van gebruikers voor het versturen van gerichte reclame, onderworpen aan strengere regelgevende verplichtingen.

Sommige andere affiliate netwerken gebruiken door affiliates gegenereerde gegevens om profielen te bouwen voor personalisatie en remarketing diensten. Daarom kunnen zij het gevoel hebben dat ze een andere juridische basis nodig hebben dan legitiem belang om dit te doen, wat op zijn beurt weer andere regelgevende verplichtingen met zich meebrengt waaraan affiliates zich moeten houden

Daarom zullen publishers onvermijdelijk in een positie terechtkomen waarin de verplichtingen van het ene netwerk anders zijn dan die van het andere. Toen AVG in maart 2018 van kracht werd, probeerden affiliatenetwerken, onder leiding van Awin, een consensus binnen de branche te creëren door bij elkaar te komen om tot een consistente aanpak te komen. Hoewel dit niet mogelijk was, stemden alle deelnemers ermee in om hun naam te verbinden aan een  brancheverklaring.

Awin's aanbeveling voor publishers is om contact op te nemen met alle netwerken waarmee ze werken en duidelijk te zijn over wat de privacyvereisten van die netwerken zijn en waarom.

4. Awin's voorbereiding op de AVG

Een van de belangrijkste gevolgen van de AVG was dat alle bedrijven verplicht waren om hun gebruik van persoonsgegevens te onderzoeken in de context van de reikwijdte, principes en rechten die de AVG biedt. Awin heeft deze beoordeling uitgevoerd in het kader van een gedetailleerde Privacy Impact Assessment (PIA). De PIA van Awin heeft meerdere doelstellingen, onder andere om:

1. Maak een gedetailleerd overzicht van alle gegevens die zijn verzameld tijdens de trackingactiviteiten van Awin
2. Beoordeel of Awin optreedt als beheerder of verwerker van die gegevens
3. Beoordeel het doel en de wettelijke basis van elke verwerkingsactiviteit
4. Voer een 'balanstest' uit waarbij het legitieme belang is geïdentificeerd als de juridische basis voor verwerking.*
5. Bepaal welke beveiligingsmaatregelen nodig zijn om de gegevens te beschermen
6. Probeer het gebruik van persoonlijke gegevens zo veel mogelijk te beperken

*Deze test wordt gebruikt om te controleren of de veronderstellingen van Awin bij het kiezen van een gerechtvaardigd belang correct zijn.

Het is belangrijk om te begrijpen hoe Awin persoonsgegevens verwerkt en welke impact dat heeft op de privacy van de individuen, om Awin's positie onder de AVG te interpreteren.

5. Gebruik van persoonlijke gegevens

In de normale gang van zaken verwerkt Awin gegevens over de volgende categorieën personen:

1. Awin personeel, Personeel van de publisher, adverteerder en leverancier
2. Publishers waarbij de publisher een individu is
3. Consumenten wiens aankopen worden getracked door Awin

Voor de doeleinden van dit artikel zullen we alleen de trackingactiviteiten beschrijven waarmee persoonsgegevens van consumenten worden verwerkt. De reden hiervoor is dat alle andere verwerkingsactiviteiten uitsluitend worden uitgevoerd voor zakelijke doeleinden en dat het op grond van de wettelijke richtlijnen onwaarschijnlijk wordt geacht dat dergelijke gegevens een hoog risico voor individuen met zich mee zullen brengen.

6. Consumentendata

Awin gebruikt voornamelijk consumentengegevens voor tracking. Tracking stelt Awin in staat om de online reis van een consument over bepaalde websites te begrijpen nadat een advertentie is bekeken of aangeklikt. Het doel van tracking is om verkopen en marketinginspanningen door een publisher toe te schrijven aan een specifieke transactie, zodat adverteerders publishers per transactie kunnen belonen. Tracking stelt Awin ook in staat om publishers en adverteerders gerelateerde rapporten te verstrekken.

Cross Device Tracking stelt Awin in staat om de reis van een consument te begrijpen wanneer deze begint op het ene apparaat, met een transactie die op een ander apparaat wordt voltooid.

Om tracking uit te voeren, gebruikt Awin tracking domain cookies, journey tags en apparaatvingerafdrukken. Hier is een korte uitleg over hoe deze technologieën werken:

• Tracking domein cookies: Cookies die door het Awin-domein worden aangeboden wanneer een consument op een advertentie klikt die wordt weergegeven op een dienst van een publisher.
• Journey tags: JavaScript-code geïntegreerd in de website van de adverteerder, om Awin in staat te stellen transactie-informatie te ontvangen.
• Device fingerprinting: Methode waarmee Awin een apparaat uniek kan identificeren door bepaalde kenmerken te overwegen (incl. schermgrootte/resolutie en gebruikersconfiguraties).

Cross Device Tracking maakt gebruik van de cookies van het trackingdomein en de journey-tag, op dezelfde manier en voor dezelfde doeleinden als tracking. Bovendien ontwikkelt Cross Device Tracking pseudonieme consumentenprofielen, die vervolgens worden gebruikt om meerdere apparaten aan één consument te koppelen.

Alle gegevens die Awin gebruikt voor tracking zijn pseudoniem, niet-gevoelig, grotendeels technisch en niet gerelateerd aan gedrag, of voorspellingen of beoordelingen van consumentenbelang of persoonlijkheden.

7. Gegevensbeheerder of -verwerker?

Elk bedrijf dat met gegevens omgaat, moet bepalen welke rol zij spelen bij het verwerken van die gegevens.

Dit is een belangrijke overweging omdat er verschillende gevolgen zijn afhankelijk van de rol die je speelt. Beslissen of je een 'beheerder' of 'verwerker' van gegevens bent, hangt logisch samen met wat je doet met de gevolgde gegevens en de beslissingen die je erover neemt.

Je wordt een controller als je bepaalt:

• Waarom gegevens moeten worden verwerkt; en/of
• Hoe het dient verwerkt te worden om het gewenste doel te bereiken.

Processors, aan de andere kant, beslissen nooit waarom ze gegevens verwerken, ze laten dit over aan de controller die hen heeft geïnstrueerd. Processors kunnen beperkte beslissingen nemen over hoe ze gegevens verwerken voor de doeleinden die door de controller zijn bepaald, maar dit kunnen alleen 'niet-essentiële' beslissingen zijn.

Dit betekent dat essentiële beslissingen altijd aan de controller moeten worden overgelaten, inclusief beslissingen over welke gegevens te verwerken om het doel van de controller te bereiken of het economische model van het nagestreefde doel.

Het belangrijkste om in gedachten te houden is dat de rollen worden toegewezen op basis van feiten.

Het is niet mogelijk om een contract af te sluiten dat bijvoorbeeld zegt: "X zal de beheerder zijn, Y zal de verwerker zijn", als Y in feite beslissingen heeft genomen over welke gegevens te verwerken voor de doeleinden van X; in dit geval zal Y eindigen in de rol van gezamenlijke beheerder naast X. Als Y besluit gegevens te verwerken voor hun eigen doeleinden, zullen zij een enkele beheerder zijn voor dat nieuwe doel.

In affiliate marketing heeft de adverteerder altijd de controle, omdat alleen de adverteerder kan bepalen 'waarom' gegevens verwerkt moeten worden; bijvoorbeeld, alleen de adverteerder kan besluiten "Laten we wat online marketing doen en commissies uitbetalen op een CPA-basis".

8. Maar hoe zit het met netwerken en publishers? Zijn zij verwerkers of gezamenlijke beheerders met de adverteerder?

Awin's positie is dat Awin een gezamenlijke beheerder (joint controller) is met de adverteerder, samen met de publishers. Er is in feite een gezamenlijke beheerdersrelatie tussen alle drie de partijen.

Dit komt omdat Awin het economische model heeft bepaald, en zowel Awin als de publishers beslissen welke gegevens te verwerken om de affiliate marketing campagne van de adverteerder te leveren.

Dit komt door de manier waarop transacties worden gevolgd, opgevraagd en gerapporteerd.

We denken dat deze conclusie de enige is die nauwkeurig weergeeft hoe dingen in de praktijk werken.

Als, laten we zeggen, Awin of publishers zouden proberen te werken binnen de beperkingen van een gegevensverwerker rol, zouden ze elke nieuwe gegevensverwerking vooraf moeten laten goedkeuren door elke respectievelijke adverteerder. Ze kunnen deze beslissingen niet zelf nemen; dit lijkt zowel onpraktisch als onwerkbaar.

9. Hoe verschilt dit van de posities van andere netwerken?

Sommige netwerken hebben gekozen voor een positie als gegevensverwerker, wat betekent dat ze dan geen rechtsgrondslag hoeven te bepalen voor het verwerken van gegevens en dus geen rechtsgrondslag kunnen bepalen voor hun publishers.

Zij kunnen ervoor kiezen om ervoor te zorgen dat adverteerders direct contact opnemen met publishers om ervoor te zorgen dat zij niet aansprakelijk zijn voor een mogelijke datalek door een publisher, waardoor zij zichzelf direct uit de relatie tussen publisher/adverteerder verwijderen.

Eén van de extra uitdagingen van het zijn van een gegevensverwerker is de mogelijke impact op je vermogen om beslissingen te nemen over de toekomstige ontwikkeling van je diensten en technologie.

Bijvoorbeeld, Awin zou adverteerders moeten informeren als we een gegevensverwerkingsovereenkomst met hen aangaan, dat ze geen gebruik kunnen maken van bugfixes, updates, upgrades of extra functies van Awin's producten of diensten totdat de adverteerder Awin schriftelijk heeft geïnstrueerd om dit te doen.

Het is belangrijk om te onthouden dat de interpretatie van Awin over de positie van de processor/controller verschilt van andere netwerken. Na juridisch advies te hebben ingewonnen, zijn we ervan overtuigd dat onze positie de juiste status weerspiegelt.

In essentie zijn wij van mening dat de volgende verklaringen onze positie als controller schetsen:

1. Adverteerders beslissen niet wat er wordt getrackt. Ze kiezen een netwerk, maar het netwerk beslist hoe hun technologie werkt en welke gegevens worden gebruikt. Zonder deze status zou een netwerk nooit in staat zijn om nieuwe technologie te implementeren zonder een nieuwe verwerkersovereenkomst te verkrijgen van elke partner.
2. Netwerken bepalen het economische model.
3. Netwerken instrueren adverteerders, zoals hen vertellen om de tracking actief en draaiende te houden

Directe marketing kan worden gedaan met een enkel stukje data (zoals een e-mailadres). Dit maakt het haalbaar voor een controller om tegen de processor/direct marketing bedrijf te zeggen: "stuur e-mails naar deze lijst met e-mailadressen". Affiliate marketing is complexer, wat ervoor zorgt dat het onwerkbaar is dat de adverteerder alle instructies aan al hun affiliates geeft.

10. Welke privacyregelingen heeft Awin?

Als gezamenlijke controllers zijn de respectievelijke partijen verplicht om een regeling te treffen waarin de rollen en verantwoordelijkheden van alle spelers zijn gedefinieerd. In tegenstelling tot gegevensverwerkingsovereenkomsten waarbij één partij optreedt als beheerder en de andere partij als verwerker, hebben de partijen meer vrijheid in het bepalen van de vorm en inhoud van de regeling en zijn ze niet verplicht om de AVG-niveau verplichtingen van een processor op te nemen.

Voor adverteerders biedt Awin een addendum voor gezamenlijke controller gegevensverwerking aan de adverteerderovereenkomst die specifiek de gegevensverwerking aanpakt die nodig is voor Awin's diensten.

Voor publishers zijn de voorwaarden voor gegevensverwerking opgenomen in bijlagen bij onze standaard publishersovereenkomst, zodat duidelijk is welke partij verantwoordelijk is voor wat. Deze voorwaarden omvatten bijvoorbeeld hoe Awin en publishers omgaan met vragen van consumenten over gegevens, of hoe ze omgaan met een datalek mocht dit gebeuren.

Door deze verantwoordelijkheden duidelijk te maken, wordt voorkomen dat adverteerders, publishers en Awin aansprakelijk zijn voor elkaars overtredingen van de AVG.

Dit betekent ook dat publishers, als controller, aan meer verplichtingen van de AVG moeten voldoen. Echter, alle betrokken partijen moeten dit al doen bij het verwerken van gegevens voor hun eigen doeleinden. Het gevolg is dat ze deze verplichtingen nu ook moeten toepassen op de gegevens die worden verwerkt bij het leveren van klanten voor een adverteerder.

Het belangrijkste voordeel is dat op het Awin netwerk, indien dit in overeenstemming is met de AVG en relevante overeenkomsten of voorwaarden, de partijen zelf kunnen beslissen hoe ze gegevens verwerken. Wij zijn er sterk van overtuigd dat dit hoe dan ook het geval is en dat de autoriteiten ons als gezamenlijke beheerders zouden beschouwen. Door een contractuele verplichting te creëren die overeenkomt met de feitelijke realiteit, zou iedereen duidelijk moeten zijn over welke verplichtingen ze op zich moeten nemen onder de AVG.

Tenslotte hebben we bij het bepalen van ons standpunt overwogen hoe gegevensautoriteiten Awin en zijn adverteerders en publishers waarschijnlijk zullen categoriseren.

11. Gerechtvaardigd belang en afwegingstoets

Als controller is Awin verplicht om de verwerking van persoonsgegevens te rechtvaardigen voordat deze als rechtmatig wordt beschouwd. Er zijn zes wettelijke grondslagen waarop dit kan worden gedaan:

• Consent
• Contract
• Wettelijke verplichting
• Essentieel belang
• Essentieel belataak
• Gerechtvaardigd belang

Bij het evalueren van Awin's gerechtvaardigd belang, zijn de belangen van het volledige affiliate ecosysteem meegenomen.

Daarna werd een balanstest uitgevoerd, waaruit bleek dat tracking een zeer laag risico vormt voor ongerechtvaardigde negatieve gevolgen voor de belangen of fundamentele rechten en vrijheden van de betrokken personen.

Dit betekent dat Awin niet afhankelijk zal zijn van individuele consent als de wettelijke basis voor de verwerking van persoonsgegevens onder de GDPR, als onderdeel van zijn trackingdiensten.

12. Waarom geen consent geven?

Het is in eerste instantie belangrijk om te vermelden dat er nog steeds veel verwarring bestaat rondom consent. 

Dit komt deels omdat er geen industrieconsensus is over het onderwerp, maar voornamelijk omdat er naast GDPR-toestemming ook consent is gerelateerd aan de bestaande ePrivacy-richtlijn

Deze wetten zijn afzonderlijk maar bestaan ook naast elkaar. Denk in de context van gegevensprivacy aan de AVG als een brede en allesomvattende regelgeving op alle aspecten van persoonsgegevens. ePrivacy daarentegen houdt zich specifiek bezig met directe marketing en de functies van online volgen, zoals het gebruik van cookies of vergelijkbare technologieën.

Onvermijdelijk is er enige overlap die ontstaat omdat cookies vaak persoonlijke gegevens bevatten, maar het is een vergissing om aan te nemen dat cookies en persoonlijke gegevens hetzelfde zijn.

Onder de AVG zijn er tal van manieren om persoonsgegevens legaal te verwerken zonder te vertrouwen op gegevensconsent en in feite is het eerlijk om te zeggen dat gegevensconsent de minst handige en meest belastende juridische basis is voor gegevensverwerking.

Onder de ePrivacy-richtlijn is toestemming voor cookies altijd vereist om cookies in te stellen, tenzij de cookies strikt noodzakelijk zijn om een door de individu gevraagde dienst te leveren. Dus, cashback en beloningspublishers, bijvoorbeeld, hebben mogelijk geen cookie-consent nodig voor affiliate cookies omdat affiliate cookies noodzakelijk zijn voor een cashback- of beloningsgebaseerd type dienst om te werken.

Het verkrijgen van toestemming voor gegevens is niet zonder zijn uitdagingen. Hierdoor kan de ervaring van de gebruiker op de site negatief worden beïnvloed en kan de persoon alsnog weigeren consent te geven.

Als persoonlijke gegevens worden verwerkt op basis van consent voor gegevens, krijgt de persoon uitgebreidere rechten op deze gegevens, die in de toekomst gerespecteerd moeten worden. Verder moet de consent voor gegevens op een specifiek detailniveau worden beheerd en vastgelegd. Bovendien mag aan consumenten en gebruikers geen dienst of inhoud worden geweigerd omdat ze hebben geweigerd consent voor gegevens te geven, tenzij de dienst afhankelijk is van die consent voor gegevens.

Misschien wel het belangrijkste, om geldige consent voor gegevens te verkrijgen, moet de persoon voldoende informatie krijgen om een geïnformeerde beslissing te kunnen nemen.

Omdat Awin een affiliate netwerk is, gebruiken we beperkte persoonlijke gegevens voor het volgen van verwijzingen naar adverteerder websites, de daaropvolgende transacties en onze rapportage, maar we hergebruiken deze gegevens nooit om gedragsprofielen van gebruikers te maken of voor andere marketingdoeleinden. We verzamelen ook geen andere gegevens voor:

1. Het opbouwen van gedragsprofielen van gebruikers
2. Gedragsgericht targeten
3. Marketing voor alle andere doeleinden

Om deze soorten verwerkingen wettelijk uit te voeren, is meestal een gegevensconsentie nodig omdat ze worden gezien als een grotere impact op de privacy van individuen. Door dit soort verwerking te vermijden, kan Awin vertrouwen op legitiem belang om zijn verwerking te rechtvaardigen en de vereisten voor gegevensconsentie van publishers of adverteerders om transacties wettelijk te volgen, te vermijden.

Dit is van toepassing op de verwerking van persoonsgegevens als individuen reizen van de publisher website naar adverteerder websites, via onze domeinen, het bevestigen van de transactie volgen en de daaropvolgende rapportage beschikbaar in de gebruikersinterface.

13. Consent respecteren

Het is belangrijk om te overwegen dat als een controller consent kiest als een wettelijke basis, ze mogelijk niet in staat zijn om een andere wettelijke basis te gebruiken als het verkrijgen van consent problematisch blijkt te zijn.

Volgens de richtlijnen van de Artikel 29-werkgroep over toestemming onder Verordening 2016/679:

Moet de verwerker, als toestemming wordt gekozen als een wettelijke basis voor een deel van de verwerking, dat respecteren en dat deel van de verwerking stoppen als een individu zijn toestemming intrekt.

Het voegt toe: "Het bericht uitsturen dat gegevens worden verwerkt op basis van consent, terwijl er eigenlijk een andere wettelijke basis wordt gebruikt, zou fundamenteel oneerlijk zijn tegenover individuen. Met andere woorden, de beheerder kan niet wisselen van consent naar andere wettelijke grondslagen. Bijvoorbeeld, het is niet toegestaan om achteraf het legitieme belang als basis te gebruiken om de verwerking te rechtvaardigen, waar problemen zijn ondervonden met de geldigheid van de consent."

Vanwege de noodzaak van voorafgaande bekendmaking van een wettelijke basis, moet een beheerder van tevoren beslissen welke van de zes basisprincipes zal worden aangenomen.

14. De ePrivacy-richtlijn

Sinds de ePrivacy-richtlijn is geïmplementeerd in nationale wetten in de hele EU, is iedereen verplicht om consent voor cookies te verkrijgen bij het instellen van cookies.

Awin verplicht publishers sinds 2012 om consent te krijgen voor cookies onder onze voorwaarden met publishers. Dit is om ervoor te zorgen dat publishers zich aan deze regels houden, maar ook om consent te krijgen voor Awin's cookies, namens Awin. Dit is typisch voor netwerken zoals die van ons, die geen natuurlijke of handige mogelijkheid hebben om met individuen in contact te komen om consent voor cookies te krijgen.

15. Waarom hebben we het opnieuw over Cookie Consent?

Cookie consent is de afgelopen jaren opnieuw ter discussie gesteld, omdat in de meeste EU-lidstaten de wetten die de ePrivacy-richtlijn implementeren, afhankelijk zijn van de definitie van consent in lokale gegevenswetten voor de definitie van cookie-toestemming.

Dus, toen de definitie van cookie-consent werd vervangen, was dat omdat de GDPR de lokale gegevenswetten had vervangen.

Het is belangrijk omdat de norm voor consent die nodig is voor de AVG hoger is dan onder sommige bestaande lokale gegevenswetten en dit is verder verduidelijkt in jurisprudentie en in richtlijnen die zijn uitgegeven sinds de AVG van kracht werd

16. Hoe beïnvloedt de AVG de cookie consent?

De conclusie is dat het verkrijgen van cookie-consent nu ingewikkelder is. Het specifieke verschil is dat, omdat cookie-consent ondubbelzinnig moet zijn, de gangbare aanpak van het gebruik van impliciete toestemming niet voldoende is. Cookie-consent moet ook worden gegeven voordat cookies worden ingesteld.

Om een geldige toestemming voor cookies te krijgen volgens de nieuwe definitie van consent, moet het individu een actieve handeling verrichten om hun instemming te tonen. U bent vast en zeker bekend met universele consenttools of consent management platforms (CMP's); dit is technologie die een bericht toont wanneer een gebruiker een website bezoekt en vraagt om consent om de activiteiten van die consument op de site te volgen.

De meeste websitebeheerders, waaronder publishers en adverteerders, maken gebruik van dergelijke consenttools om consent te verkrijgen voor de cookies die op hun website worden geplaatst, waaronder de cookies van Awin wanneer ze op het Awin-platform werken.

17. Dus hoe verschillen Cookie Consent en Data Consent van elkaar?

Het is veel eenvoudiger om te voldoen aan de strengere consentnormen bij het verkrijgen van consent voor cookies, omdat cookies van nature minder complex zijn dan alle mogelijke toepassingen van persoonlijke gegevens.

Dit komt omdat er minder uit te leggen is aan de persoon, er minder administratieve verplichtingen zijn en er minder extra rechten zijn om aan de persoon te bieden.

Het nalevingsrisico is ook lager, omdat de enorme boetes die de GDPR met zich meebrengt niet van toepassing zijn op cookie-consent, in tegenstelling tot gegevensconsent die voor cookies worden gebruikt.

Hoewel wetten die de ePrivacy-richtlijn implementeren, afhankelijk zijn van de GDPR voor de definitie van consent, hebben ze nog steeds hun eigen boetes en straffen voor niet-naleving.

18. Hoe beïnvloedt dit de manier waarop publishers en adverteerders samenwerken met Awin?

Het verkrijgen van cookie consent blijft vereist door Awin voor zijn publishers en adverteerders, zowel om cookie consent voor zichzelf te verkrijgen als voor Awin's cookies.

We controleren ook of publishers en adverteerders zich aan deze vereisten houden en vragen hen om op de juiste manier cookie consent te verkrijgen als het ons lijkt dat ze dat niet doen.

Awin schrijft echter niet voor hoe cookie consent moet worden verkregen.

Awin biedt een consent tool die kan worden gebruikt voor cookie-consent, maar we staan ook open voor het gebruik van andere consent tools door publishers en adverteerders, of om op andere manieren geldige consent te verkrijgen.

We erkennen dat de AVG niet eenvoudig is, vooral voor kleinere publishers of adverteerders, en we proberen de lasten van naleving voor onze partners op alle mogelijke manieren te minimaliseren.

Een manier is om onze gegevensverwerking te rechtvaardigen op basis van legitiem belang, zodat we geen consent hoeven te vragen aan publishers of adverteerders om gegevens voor ons te verkrijgen. Dit is geen optie voor cookie-consent; als een websitebeheerder de cookie niet hoeft in te stellen om een door een individu gevraagde dienst te leveren, kan cookie-consent niet worden vermeden.

19 De positie van Awin samengevat

Awin is een gezamenlijke beheerder met adverteerders en de meeste publishers.

Dit maakt het onnodig om gegevensverwerkingsovereenkomsten te ondertekenen.

Het geeft het netwerk de flexibiliteit om nieuwe technologie te ontwikkelen en de basis voor toekomstige technologie-upgrades en releases te bepalen.

Awin gebruikt het gerechtvaardigd belang als wettelijke basis voor het verwerken van gegevens.

Awin vereist niet dat zijn partners toestemming vragen voor de AVG.

Awin vereist dat alle adverteerders en publishers geldige consent voor cookies zoeken in overeenstemming met de toepasselijke gegevenswetten.

Publishers en adverteerders zijn vrij om consent te verkrijgen op de manier die zij het beste vinden, echter, Awin biedt een eenvoudig te installeren consent tool.

20. Wat betekent dit allemaal als ik een adverteerder of publisher ben die samenwerkt met Awin?

Als bedrijf dat onder de AVG opereert, heeft u bepaalde verplichtingen als beheerder. Daarnaast heeft u bij het werken met Awin enkele taken om ervoor te zorgen dat affiliate tracking rechtmatig op uw website wordt uitgevoerd. We hebben een checklist gemaakt met de belangrijkste punten om rekening mee te houden:

• Controleer of u zich moet registreren bij uw lokale autoriteit voor gegevensbescherming;
• Update indien nodig uw algemene voorwaarden en privacybeleid;
• Sluit overeenkomsten of regelingen met alle derde partijen met wie u gegevens verwerkt;
• Zorg ervoor dat je contactinformatie hebt waar individuen je kunnen bereiken met privacy-gerelateerde vragen;
• Zorg ervoor dat je een wettelijke basis hebt voor alle verwerkingsactiviteiten;
• Verzamel toestemming voor cookies waar ePrivacy dit vereist en zorg ervoor dat uw toestemmingsmechanisme al uw activiteiten dekt.

21. Waar kan ik meer te weten komen?

Awin beschikt over een GDPR-hub, te vinden hier

Awin's veelgestelde vragen over gegevensbescherming en beveiliging

In de afgelopen jaren hebben we een gestage toename gezien in het aantal vragen dat we ontvangen over onze gegevensverwerkingsactiviteiten. De vragen variëren van naleving van de AVG tot meer technische vragen over gegevensbeveiliging. Hieronder hebben we de meest gestelde vragen van zowel adverteerders als publishers opgesomd.

Voldoet Awin aan de GDPR?

Als een bedrijf dat gevestigd is en actief is in Europa en dagelijks met persoonlijke gegevens omgaat, is naleving van de GDPR essentieel voor Awin's bedrijfsvoering. Awin heeft een Privacy Impact Assessment ondergaan om te zorgen voor naleving van de GDPR en heeft een aantal waarborgen geïmplementeerd om voortdurende naleving te garanderen. Awin volgt continu juridische richtlijnen en beslissingen en is toegewijd aan het waarborgen dat al haar activiteiten in overeenstemming blijven met eventuele ontwikkelingen.

Heeft u een aangestelde data protection officer? Hoe kunnen we hen bereiken?

Ja, Awin heeft een data protection officer aangesteld. U kunt de DPO bereiken op global-privacy@awin.com.

Welke persoonlijke gegevens worden er verzameld, opgeslagen of verwerkt tijdens het tracken?

De gegevens die Awin gebruikt voor tracking zijn pseudoniem, niet-gevoelig, grotendeels technisch en niet gerelateerd aan gedrag, of voorspellingen of beoordelingen van consumentenbelang of persoonlijkheden.

Een tracking cookie zou bijvoorbeeld de volgende gegevens verzamelen:

• Cookiedatum

• Vervaldatum van Cookie

• IP-adres (afgekort)

• IP Hash
• GeoIP

• Adverteerder ID

• Publisher ID

• Banner ID
• Group-ID
• Product ID
• Click/Network Reference
• Referrer

• Overschreven Publisher ID

• Platform

Verzamelt Awin enige gevoelige persoonlijke gegevens?

Nee, Awin verzamelt geen gevoelige gegevens tijdens het volgen of beheren van zijn zaken met adverteerders, publishers en leveranciers. Awin kan gevoelige gegevens van zijn werknemers verzamelen indien dit wettelijk verplicht is.

Wat is de gegevensstroom die Awin bijhoudt?

Waar slaat u deze gegevens fysiek op?

Binnen de EU/VK.

Gebruikt u de diensten van een host of een cloudprovider om de applicatie en gegevens te hosten?

Ja, Equinix (Londen/Slough) zijn onze colocatie datacentra. Cloud providers: AWS

(Ierland en Frankfurt, Duitsland) en Azure (Amsterdam).

Hoe lang bewaart u de gegevens? Heeft u processen voor het automatisch verwijderen van de gegevens?

Awin bewaart gegevens volgens zijn bewaarbeleid. Tenzij anders aangegeven in het beleid (en wettelijk toegestaan), worden persoonsgegevens na 36 maanden verwijderd. We hebben geautomatiseerde routines voor het verwijderen van gegevens geïmplementeerd om te garanderen dat gegevens worden verwijderd na het verstrijken van de geldende bewaartermijn.

Bent u ISO 27001 gecertificeerd?

In februari 2022 hebben we met succes de fase 2 audit van de ISO 27001 beoordelingscertificering doorstaan voor de systemen en diensten die binnen het bereik vallen, door onafhankelijke auditors van BSI, en in maart werd de ISO 27001 certificering behaald. Jaarlijkse controle-audits en hercertificeringsaudits zullen plaatsvinden.

Beschrijf het proces voor regelmatige monitoring, beoordeling en auditing van de dienst die door uw derde partij leveranciers wordt geleverd.

Leveranciers zijn onderworpen aan leveranciersrisicobeheer, dat onder andere bestaat uit een zorgvuldige controle van de leverancier bij het aan boord komen en regelmatige beoordelingen daarna.

Scheidt u klantgegevens?

We scheiden data logisch. ACL's worden gebruikt binnen de Awin Gebruikersinterface om ervoor te zorgen dat data logisch gescheiden is en dat het niet kan worden geopend of gecorrumpeerd door andere klanten.

Voert u penetratietesten uit?

Ja, penetratietesten worden jaarlijks uitgevoerd door een gerenommeerde derde partij. We hebben ook een Bug Bounty Programma opgezet.

Heeft u maatregelen op zijn plaats om de installatie van ongeautoriseerde software op uw systemen te beperken en te controleren?

Alle software moet worden ingevoerd via het Vendor Information Security reviewproces.

Gebruikers krijgen een bibliotheek in de Microsoft Store van toegestane apps. Alle andere software wordt geïnstalleerd door Interne IT na goedkeuring.

Maakt u gebruik van derde partijen als subverwerkers van de persoonsgegevens?

Ja, Awin maakt gebruik van een aantal verwerkers; een volledige lijst van verwerkers kan op verzoek worden gedeeld.

Deze dienstverleners hebben privacy- en informatiebeveiligingsbeoordelingen ondergaan en waar nodig is er een gegevensverwerkingsovereenkomst opgesteld.

Verplaatst u enige van de gegevens buiten de EU?

Awin maakt alleen overdrachten buiten de EU waar er passende waarborgen zijn om dit te doen.

Beschrijf alstublieft de technische en organisatorische maatregelen die u heeft genomen om de gegevens te beschermen.

O Awin’s technical and organisational measures (TOMs) include:

• Het pseudonimiseren en anonimiseren van gegevens waar mogelijk (IP-adres truncatie is uitgerold, e-mailadressen worden gehasht wanneer ze worden gebruikt, klant-ID informatie is gepseudonimiseerd)
• Fysieke beveiligingsmaatregelen (kaartbescherming, beperkte gasttoegang)
• Het gebruik van toegangsrechten op basis van inloggegevens, waarbij rechten worden verleend op basis van de noodzaak om te weten. Toegang tot gegevens wordt verleend wanneer er een zakelijke reden is voor die persoon om toegang te hebben.
• Een verplicht trainingsprogramma voor medewerkers over zowel gegevensbescherming als gegevensbeveiliging.

Bijgewerkte beleidsregels rondom gegevensbeveiliging, inclusief Awin's Business Continuity Plan, Incident Reporting Policy, Information Handling Policy, etc.

Test/beoordeel/update je regelmatig de TOM's?

Ja, de TOMs worden jaarlijks beoordeeld en in het onwaarschijnlijke geval van een beveiligings- of databreach.

Codeert, anonimiseert of pseudonimiseert u persoonlijke gegevens om te zorgen dat ze niet kunnen worden gelezen door onbedoelde partijen?

De gegevens die worden verzameld tijdens het volgen zijn pseudoniem (IP-adressen worden ingekort, e-mailadressen die worden gebruikt voor cross-device tracking worden standaard gehasht). Alle gegevens die worden verzonden, zijn versleuteld wanneer ze over openbare netwerken gaan (met behulp van TLS- of IPSec-versleuteling op basis van huidige industriestandaarden). Verwijderbare apparaten, laptops en mobiele apparaten hebben volledige schijfversleuteling ingeschakeld.

Beschrijf alstublieft de fysieke beveiliging van uw gebouwen.

Toegang tot alle locaties (kantoren en datacentrum) wordt gecontroleerd door toegang met een sleutelkaart. Gasten mogen deze locaties niet betreden zonder begeleiding van een medewerker. Toegang tot Data Center locaties is beperkt tot vooraf goedgekeurd personeel binnen de IT-teams. Alle toegang tot deze locaties wordt geregistreerd en beschikt over toonaangevende fysieke beveiligingscontroles.

Heeft u firewall-bescherming geïntegreerd in uw systemen?

Alle interne diensten van Awin zijn verbonden met het internet via firewalls, die onze diensten beschermen tegen externe aanvallen. Verdere interne firewalling scheidt en beschermt onze diensten. Ons Operations Team voert elke week kwetsbaarheidsscans uit op onze externe systemen.

Welke maatregelen heeft u getroffen om de toegang tot gegevens te beperken?

Als onderdeel van onze voorbereiding op de AVG hebben we ons toegangscontrolebeleid herzien en toezeggingen zoals de volgende versterkt:

• Toegangscontrolemaatregelen worden nageleefd om de toegang tot Awin-faciliteiten, bedrijfstoepassingen, informatiesystemen, netwerken en computerapparaten te beperken.
• Alle personen met toegang tot IT-systemen, informatiesystemen, applicaties, netwerken en computerapparaten zijn geautoriseerd voordat ze toegangsrechten krijgen.
• Het principe van minimale bevoegdheid moet worden gevolgd.
• Er moet rekening worden gehouden met taakverdeling.
• Toegang tot de faciliteiten van Awin moet strikt worden gecontroleerd, waarbij toegang op individuele basis wordt verleend aan geauthenticeerd en geautoriseerd personeel met behulp van passende fysieke beveiligingsmaatregelen.
• Toegangsrechten kunnen niet collectief worden verleend of binnen een groep worden gedeeld.
• In het algemeen moet toegang tot informatiesystemen die persoonlijke of vertrouwelijke informatie bevatten, een 2-factor authenticatie vereisen.

Heeft u meldingen van beveiligingsinbreuken ingesteld?

Overtredingen worden afgehandeld en gerapporteerd in overeenstemming met ons incidentresponsplan. In geval van een inbreuk op persoonsgegevens (of een onwettige openbaarmaking van vertrouwelijke informatie), worden meldingen gedaan aan de getroffen partijen en/of relevante autoriteit in overeenstemming met wettelijke verplichtingen.

Hoe zorgt u ervoor dat de autoriteit voor gegevensbescherming binnen 72 uur wordt geïnformeerd in geval van een datalek?

Elke overtreding moet onmiddellijk worden gemeld aan de DPO van Awin. Dit is een cruciaal element om ervoor te zorgen dat de deadline van 72 uur wordt gehaald en wordt daarom benadrukt in alle trainingen, informatiemateriaal en beleid voor medewerkers. Zodra de informatie de DPO heeft bereikt, zal de DPO zorg dragen voor de melding aan de autoriteit voor gegevensbescherming, zoals vereist.

Hoe waarborgt u de rechten van individuen?

Awin heeft processen om te zorgen voor de naleving van de rechten van individuen zoals vastgelegd in de AVG. Alle verzoeken moeten worden gericht aan global-privacy@awin.com waar het verzoek zal worden uitgevoerd in overeenstemming met het relevante proces.

Hebben al uw medewerkers die betrokken zijn bij de verwerking van klantgegevens training ontvangen over gegevensbescherming en informatiebeveiliging?

Ja, we bieden zowel verplichte trainingen in Privacy als Informatiebeveiliging aan bij het inwerken van medewerkers. Daarnaast implementeren we jaarlijkse opfristrainingen. Let op, onze training wordt afgesloten met een test aan het einde, om voldoende kennis te garanderen.

Geef alstublieft een link naar uw privacybeleid.

https://www.awin.com/gb/privacy

Kunt u voorbeeldtekst leveren om naar Awin te verwijzen binnen ons privacybeleid?

U mag elke bewoording van ons beleid gebruiken voor uw bekendmakingen.s.

Kunnen we een gegevensverwerkingsovereenkomst ondertekenen als adverteerder?

Ja, dit maakt al automatisch deel uit van uw affiliate marketing adverteerder overeenkomst met Awin.

Kunnen we als publisher een gegevensverwerkingsovereenkomst ondertekenen?

Dit is niet nodig omdat alle relevante bepalingen al zijn opgenomen in de voorwaarden van de publisher, als bijlagen bij die voorwaarden. Bekijk deze voorwaarden alstublieft.

Met wie kan ik contact opnemen voor verdere vragen?

Onze accountmanagers kunnen algemene vragen over gegevensbescherming beantwoorden. Als u direct met onze DPO wilt spreken, kunt u een e-mail sturen naar global-privacy@awin.com