De impact van server-side tracking op privacy
Best practices en mythen ontkracht
- Artikel
- Technical Web Analytics
In het digitale tijdperk, waar dataprivacy een prominente zorg is geworden, is server-side tracking een cruciaal instrument voor organisaties die gebruikersinzichten verantwoord willen verzamelen. Ondanks het potentieel zijn er tal van mythen rondom het gebruik ervan en de naleving van regelgeving. Dit artikel ontkracht deze mythen en biedt een genuanceerd beeld van server-side tracking, de naleving van privacywetten en de rol van toestemming bij de uitvoering ervan.
Begrip van client- versus server-side tracking
Het belangrijkste verschil tussen client- en server-side tracking is de manier waarop data naar eindpunten wordt gestuurd.
Bij client-side tracking worden netwerkverzoeken rechtstreeks gegenereerd vanaf het apparaat van de gebruiker naar jouw aangewezen eindpunten. Daarentegen worden bij server-side tracking verzoeken verzonden naar een serveromgeving die wordt beheerd door je organisatie. Hierna wordt deze data via een server-to-server connectie naar verschillende eindpunten worden gestuurd.
Als je meer wilt lezen over het opzetten van een conforme implementatie van server-side tracking, lees dan deze technische blog.
Als je dieper wilt ingaan op wat server-side tracking juist niet is, lees dan deze blog.
Privacyregelgeving en server-side tracking
Hoe je jouw privacy governance implementeert, is niet specifiek gebonden aan een client- of server-side trackingmechanisme. Vooral voor de AVGis je mechanisme voor rechtmatige verwerking van persoonsgegevens waarschijnlijk compatibel en consistent tussen client- en server-side tracking.
Server-side tracking kan helpen om nalevingsrisico's te verminderen door bepaalde persoonsgegevens binnen je organisatie te houden. Met client-naar-server HTTP-verzoeken worden informatie zoals IP-adressen, User-Agent-strings en URL's gedeeld. Dit kan worden beschouwd als persoonsgegevens onder de AVG. Deze gegevens worden gevoeliger wanneer ze worden gedeeld met grote organisaties die vergelijkbare gegevens uit andere bronnen ontvangen.
Door server-side tracking te gebruiken, blijft deze informatie intern, waardoor volledige controle mogelijk is over wat met wie wordt gedeeld. Dit vermindert de impact op gebruikers en biedt controle over de bekendmaking aan derden. Deze integratie in je privacystrategie stelt je in staat om selectief informatie te delen die in lijn is met je privacynormen en doelen.
We behandelen verschillende mythen met betrekking tot toestemming in de context van server-side tracking:
Mythe 1: "Toestemming is niet nodig voor server-side tracking"
Veel gehoorde misvattingen zijn: "We vragen alleen toestemming voor cookies, en server-side tracking gebruikt geen cookies, dus we hebben geen toestemming nodig." Of "Met server-side tracking kunnen we 100% van alle gebruikers volgen zonder toestemming te krijgen."
Deze uitspraken zijn niet waar:
Juridische grondslagen: De ePrivacy-richtlijn (opgenomen in lokale wet en regelgeving) heeft betrekking op cookies en het gebruik het opslag op apparaten, waarvoor toestemming nodig is. De AVGvereist daarentegen geldige gronden voor de verwerking van persoonsgegevens. Volgens de AVGhebben de termen 'verwerking' en 'persoonsgegevens' brede definities die mogelijk uitgebreider zijn dan aanvankelijk gedacht.
- Voorbeelden:
- Als je website of applicatie onnodige cookies, lokale opslag, sessieopslag of andere server-side trackingmethoden gebruikt voor gebruikersidentificatie, heb je nog steeds toestemming nodig.
- Als je website of applicatie persoonsgegevens wijzigt voordat ze worden verzonden, zoals anonimiseren of direct naar de server verzenden, wordt dit beschouwd als verwerking. De regels in artikel 6 van de AVGmet betrekking tot de verwerking van persoonsgegevens moeten dan worden gevolgd.
Mythe 2: naleving van de AVG en ePrivacyis niet haalbaar met server-side tracking
Uitspraken als "Server-side tracking is nooit compliant omdat je altijd gegevens verwerkt van een individu" of "Het is onmogelijk om naleving te beheren met server-side tracking omdat het geen transparantie biedt aan de gebruiker" zijn veel gehoorde uitspraken.
Hoewel het waar is dat er uitdagingen zijn voor het inrichtenvan een conforme implementatie van server-side tracking, zijn deze niet zo verschillend van een client-side tracking implementatie.
De sleutel tot het waarborgen van naleving vanaf het begin is het filteren van informatie voordat deze server-side wordt verzonden, op basis van geldige gronden zoals toestemming of wettelijke verplichting. Bovendien wordt aanbevolen om gegevens te categoriseren op basis van het doel om transparantie en naleving te handhaven.
Voorbeelden:
- Als een website of applicatie IP-adressen naar de server-side stuurt, moet deze transparant zijn over het doel waarvoor het wordt verwerkt. IP-adressen kunnen worden verwerkt en opgeslagen om toestemmingsvoorkeuren te registreren. Deze voorkeuren mogen uitsluitend gebruikt worden voor inzichten of activering als het juiste toestemmingsniveau is verkregen op basis van andere attributen.
- Leg duidelijk uit hoe en waarom specifieke gegevens worden verwerkt. Door gegevens te categoriseren op basis van doel en wettelijke grondslagen, bied je transparantie.
- Als verschillende wettelijke grondslagen worden gebruikt voor een of meer gegevens, zorg er dan voor dat gebruikers op de hoogte worden gebracht van hun rechten voor elke versie van de gegevens en hoe ze deze rechten kunnen uitoefenen.
- Het stellen van beperkingen op het gebruik van gegevens bij de eerste verzameling helpt het risico te minimaliseren van verwerkingen die niet in lijn met wet en regelgeving zijn.
Best Practices voor het implementeren van conforme server-side tracking
Kort gezegd helpt server-side tracking jouw organisatie te beslissen welke gegevens je wanneer wilt delen. Het adresseert echter niet volledig alle privacyregels die je moet volgen.
Hier is een lijst van beste principesvoor server-side compliance:
- Privacy by design: het integreren van privacy overwegingen vroeg in het ontwerpproces. Zorg ervoor dat het standaardgedrag in lijn is met de principes die zijn uiteengezet in privacyregelgeving.
- Consent management integratie: het implementeren van robuuste consent managementprocessen aan de kant initiële data collectie kant om onwettige gegevensverwerking te voorkomen.
- Regelmatige audits en updates: het belang van voortdurende controles en aanpassingen om compliant te blijven.
Gezien de vele voordelen van server-side tracking vanuit een waardeperspectief zoals hier uitgelegd, raden we aan om de extra controles en risicovermindering te overwegen als een voordeel ten gunste van server-side tracking. Wij verkennen graag met jou wat server-side tracking kan betekenen voor jouw organisatie!
Hulp nodig bij het implementeren van server-side tracking?
Laat onze Technische Webanalisten je naadloos door het proces begeleiden! Neem contact met ons op óf of plan hier direct een vrijblijvende meeting in.
Dit is een artikel Bram Ooms
Bram begon in 2019 als Technisch Webanalist, waar hij zich richtte op data-implementaties bij klanten als Univé, DPG Media, Boels en Vodafone. Door zijn ervaringen met de impact van wetgeving op het mogelijk maken van datastromen ontwikkelde hij een interesse in dataprivacy, waar hij nu actief mee bezig is binnen Digital Power.
1x per maand data insights, praktijkcases en een kijkje achter de schermen ontvangen?
Meld je aan voor onze maillijst en blijf 'up to data':