Strengere privacyregels voor het gebruik van Google Customer Match

Wat is Customer Match precies? 

Customer Match stelt adverteerders in staat om hun eigen klantgegevens (first-party data), zoals bijvoorbeeld e-mailadressen, telefoonnummers en andere personal data te gebruiken voor het targeten van advertenties op de verschillende kanalen van Google. Hiermee kunnen merken hun klanten gepersonaliseerd bereiken via Google Search, Shopping, Gmail, YouTube etc. Een verantwoord gebruik van Customer Match kan de relevantie en betrokkenheid van advertenties vergroten en staat in de marketingwereld bekend als een efficiënte strategie met een hoge ROI. 

De privacykant van Customer Match

Google stelt zelf in haar policies dat het gebruik van deze data natuurlijk privacygevoelig is, maar dat ze voldoende maatregelen nemen om te voldoen aan de privacywetgeving. Zo komen e-mailadressen nooit bij Google terecht omdat er gewerkt wordt met encryptie, meer bepaald het hashing algoritme SHA256. Dit is een one-way hashing mechanisme dat Google zelf niet kan ontsleutelen. Het grote verschil met Meta is dat je bij Google kan kiezen om zelf voor de hashing in te staan en dus je data te hashen volgens het SHA256 algoritme vooraleer je je file met Google deelt, wat precies verhindert dat Google toegang kan krijgen tot je data (een standaard advies bij encryptie of hashing is overigens om altijd met een third party versleuteling te werken om precies die reden: de partij met wie je de data deelt heeft dan zelf geen potentiële toegang tot de data). Land en postcode data mag je niet hashen. Dat zijn weliswaar potentieel ook persoonsgegevens, maar individuele identificatie op basis van die criteria is quasi onmogelijk en ze zijn wel belangrijk voor het matching algoritme. 

Verder stelt Google volgende belangrijke dataprivacyregels in haar policy: 

• Beperkt gebruik van data: de data die je deelt met Google worden enkel ingezet voor Customer Match en worden niet gebruikt voor profielverrijking aan de zijde van Google.
• Beperkte datatoegang: de data is beperkt toegankelijk binnen de teams van Google en er is strenge toegangscontrole.
• Beperkte datasharing: de data worden niet gedeeld met derde partijen en ook niet met andere adverteerders.
• Beperkte bewaarperiode: data wordt niet langer bijgehouden dan noodzakelijk, dit wil zeggen dat zodra de Customer Match Audience is aangemaakt (dit kan 48 uur duren), de datafiles die je hebt opgeladen meteen verwijderd worden.

Opgelet: toestemming is vereist!

Misschien wel het belangrijkste privacygedeelte staat nogal ongelukkig in het laatste hoofdstuk van de Customer March policy: om Customer Match te gebruiken, heb je uiteraard toestemming nodig van je klanten! 

Er zijn verschillende manieren om aan Google te “bewijzen” dat je effectief toestemming hebt verkregen van je klanten, maar als juristen stellen we ons dan de vraag hoe waterdicht dit wel allemaal is. 

• Als je gebruik maakt van de Google Ads API, moet je via het dataveld “consent” 2 types van consent kunnen aantonen: ad_user_data en ad_personalization
• Als je gebruik maakt van de Audience Partner API omdat je je segmentatie en audiences laat beheren via een agency, CRM partij of data onboarding partij dan gelden eigenlijk dezelfde principes. 
• Je kan ook manueel via je Google Ads account aanvinken dat je in orde bent met de Customer Match Policy en toestemmingsvereisten. Dat is nu net waar het schoentje wringt, of je nu consent hebt verkregen of niet, het volstaat om een vakje aan te vinken en je kan meteen aan de slag.  

Wat verandert er nu precies? 

De nieuwe policy is nog niet beschikbaar (er was enkel een beperkte aankondiging), maar we hebben begrepen dat Google vooral strenger gaat optreden tegen inbreuken en gerichte controles zal uitoefenen. Zorg er als adverteerder voor dat je in orde bent met volgende elementen: 

• • Expliciete toestemming voor dataverzameling: Je moet een aantoonbare expliciete toestemming hebben verkregen voor het verzamelen van gebruikersgegevens die worden gebruikt in Customer Match-campagnes. Deze toestemming moet duidelijk en verifieerbaar zijn en voldoen aan de eisen van privacywetgeving zoals de GDPR.
  • Beperking van misleidende of opdringerige advertenties: Advertenties die misleidend of opdringerig zijn, worden beperkt. Zorg dat je advertenties informatief en relevant zijn en de privacy van gebruikers respecteren. 

• Gebruik geen data van minderjarigen! 

• Verbod op gebruik van gevoelige gegevens: Gevoelige gegevens, zoals informatie over ras, gezondheid of andere beschermde kenmerken, mogen niet worden gebruikt voor het personaliseren van advertenties via Customer Match.

Wat gebeurt er bij een overtreding? 

Google hanteert een systeem van waarschuwingen en sancties om de naleving van het Customer Match-beleid te waarborgen.

• Waarschuwingen: Bij een eerste overtreding of een onopzettelijke schending stuurt Google meestal een waarschuwing. Adverteerders hebben dan zeven dagen de tijd om de problemen op te lossen.
• Sancties: Bij herhaaldelijke of ernstige overtredingen kan Google sancties opleggen, zoals het tijdelijk opschorten van het account of het beperken van advertentieweergave. Overtredingen kunnen onder meer bestaan uit het targeten van ongepaste doelgroepen, het delen van misleidende berichten of het onjuist verwerken van gebruikersgegevens.

Google controleert de naleving van het beleid door middel van interne audits en feedback van gebruikers. Accounts die mogelijk het beleid schenden, kunnen vaker worden gecontroleerd en er kunnen verdere beperkingen worden opgelegd als de problemen aanhouden.