GDPR staat voor General Data Protection Regulation (in het Nederlands ook wel de AVG genoemd), een belangrijke EU-wet op het gebied van gegevensbescherming die in mei 2018 van kracht werd. Het heeft de manier waarop bedrijven omgaan met persoonlijke gegevens op social media en digitale platforms fundamenteel veranderd. De basisregel is simpel: je hebt expliciete toestemming van gebruikers nodig voordat je hun persoonlijke gegevens verzamelt, opslaat of verwerkt — inclusief cookies, pixeldata en behavioral tracking. Als je social media-campagnes voert die gericht zijn op personen in de EU of het VK, is de GDPR op jou van toepassing, zelfs als je bedrijf elders is gevestigd.
Dit is waar de meeste marketeers de grootste impact ervaren. Remarketing-campagnes — die advertenties die gebruikers volgen van je website naar Facebook of Instagram — vereisen nu gedocumenteerde toestemming. Je kunt de Facebook-pixel niet zomaar gebruiken om EU-bezoekers te volgen zonder hun expliciete akkoord. Hetzelfde geldt voor lookalike audiences en custom audiences die zijn opgebouwd uit klantgegevens. Daarnaast moet je een privacybeleid en een cookie-toestemmingsbanner tonen voordat bezoekers op je site landen, wat extra frictie in je funnel creëert. Veel marketeers zien hogere uitvalspercentages omdat bezoekers voorwaarden moeten accepteren voordat ze actie ondernemen.
Ja. Dit is een veelvoorkomend misverstand. De GDPR is van toepassing op elk bedrijf dat gegevens verzamelt van inwoners van de EU of het VK, ongeacht waar je hoofdkantoor staat. Als je advertenties draait op social media-platforms zoals Facebook, Instagram, TikTok of LinkedIn en die advertenties bereiken een EU-publiek, dan val je onder de GDPR. De wet kent geen geografische uitzonderingen — het gaat om het beschermen van de gegevens van EU-burgers, niet om de locatie van je bedrijf.
Erbvauit gaan dat toestemming automatisch is. Veel bedrijven zien cookiebanners als een juridisch vinkje zonder echt een opt-in-overeenkomst te verkrijgen. Anderen slagen er niet in om toestemming goed te documenteren of reageren niet op verzoeken van gebruikers om persoonlijke gegevens te verwijderen. Een andere veelgemaakte fout: gegevens verzamelen zonder een duidelijke juridische basis — je hebt ofwel expliciete toestemming nodig, ofwel een legitiem zakelijk belang dat aan gebruikers is gecommuniceerd. Onduidelijke privacyverklaringen en het verbergen van informatie over gegevensgebruik in dikke juridische teksten schenden ook de geest van de GDPR, die transparantie en duidelijkheid vereist.
Google Analytics en soortgelijke tools kunnen nog steeds EU-bezoekers volgen, maar alleen als zij je cookie-toestemming hebben geaccepteerd. Dit betekent dat je data onvolledig wordt — je ziet mogelijk niet het volledige beeld van hoe social media-bezoekers zich gedragen. Sommige marketeers melden aanzienlijke dalingen in hun analytics-data uit de EU na de implementatie van de GDPR. De afweging: je krijgt schonere, compliant data van gebruikers die bewust hebben gekozen voor de opt-in, maar je verliest het zicht op bezoekers die toestemming hebben geweigerd. Dit kan het lastiger maken om de ROI van social media voor een EU-publiek te berekenen.
Terug naar woordenlijst