Waarom bestaat dit beleid en waarop is het van toepassing?
Het beleid bevat bepaalde vereisten die afkomstig zijn uit 2 onderdelen van de Europese privacywetgeving: de Algemene verordening gegevensbescherming (AVG) en de ePrivacy-richtlijn, evenals gelijkwaardige Britse wetten. De e-Privacyrichtlijn moet niet worden verward met de voorgestelde e-Privacyverordening die momenteel wordt besproken. Deze wetgeving is van toepassing op eindgebruikers in de Europese Economische Ruimte (EER) en het Verenigd Koninkrijk. De EER bestaat uit de lidstaten van de EU, plus IJsland, Liechtenstein en Noorwegen.
De oorspronkelijke versie van dit beleid is in 2015 geïntroduceerd en is op 25 mei 2018 geüpdatet toen de Algemene verordening gegevensbescherming (AVG) van kracht werd.
Moet ik me houden aan dit beleid voor alle gebruikers als ik een in de EER of het Verenigd Koninkrijk gevestigde uitgever of adverteerder ben?
Het Google-beleid ten aanzien van toestemming van gebruikers in de Europese Unie is alleen van toepassing op in de EER of het Verenigd Koninkrijk gevestigde eindgebruikers.
Hoe zorgt Google voor naleving van dit beleid?
Wij controleren de naleving door beoordelingen uit te voeren voor sites en apps die gebruikmaken van onze advertentieservices. Dit doen we al op deze manier sinds dit beleid in 2015 werd ingevoerd. Onze reviewers bezoeken een site of app zoals een consument deze zou bezoeken en we bekijken welke informatie wordt verstrekt en welke toestemmingen worden verkregen.
Onze eerste prioriteit is altijd samenwerken met onze partners om te verzekeren dat dit beleid wordt nageleefd. Als we vaststellen dat een partner ons beleid schendt, nemen we eerst contact op met de partner om aan te geven dat er een probleem is. Daarna proberen we samen met de partner ervoor te zorgen dat het beleid wordt nageleefd.
Al sinds 2015 geven we sites en apps een redelijk tijdsschema om nodige wijzigingen aan te brengen. Als de partner echter niet samenwerkt met ons of nalaat om te goeder trouw aan te tonen dat binnen een redelijke termijn naleving wordt gewaarborgd, kan dit leiden tot acties tegen de betreffende accounts, waaronder opschorting.
In aanvulling op het uitvoeren van beoordelingen van sites en apps hebben we in mei 2023 aangekondigd dat uitgevers vanaf 16 januari 2024 verplicht een gecertificeerd CMP moesten gebruiken wanneer zij avertenties weergeven aan gebruikers in de EER en het Verenigd Koninkrijk om aan dit beleid te voldoen. Google blijft doorgaan met het uitvoeren van controles op de sites en apps van onze uitgeverpartners wanneer een gecertificeerd CMP wordt gebruikt.
Welke kennisgevingen moet ik verstrekken aan eindgebruikers?
Ons beleid vereist dat elke partij die persoonsgegevens van eindgebruikers krijgt als gevolg van het gebruik van een Google-product, kenbaar moet worden gemaakt. Ook wordt vereist dat er prominente en makkelijk toegankelijke informatie beschikbaar is over het gebruik van de persoonsgegevens van eindgebruikers. We hebben een pagina gepubliceerd over de manieren waarop Google informatie gebruikt. Uitgevers en adverteerders moeten een link verstrekken naar deze pagina om te voldoen aan de kennisgevingsverplichtingen rond het gebruik van gegevens door Google. We vragen andere aanbieders van advertentietechnologie waarmee de Google-producten integreren ook om informatie beschikbaar te stellen over hun eigen gebruik van persoonsgegevens.
Checklist om veelgemaakte fouten bij de implementatie van een toestemmingsmechanisme te voorkomen
Dit zijn slechts voorbeelden en dit overzicht is niet bedoeld als een volledige lijst. Voor uitgevers geldt dat als zij een gecertificeerd CMP gebruiken en dit op de juiste wijze hebben geïmplementeerd, zij al aan deze checklist zouden moeten voldoen. Zorg er altijd voor dat de implementatie voldoet aan alle vereisten in het beleid van Google.
- Heeft u aan gebruikers uitgelegd hoe hun persoonsgegevens worden gebruikt als zij toestemming geven voor de verzameling ervan op uw website/in uw app? Zijn zij zich er bijvoorbeeld van bewust dat hun persoonsgegevens worden gebruikt voor de personalisatie van advertenties en dat cookies kunnen worden gebruikt voor gepersonaliseerde en niet-gepersonaliseerde advertenties?
- Heeft u gecontroleerd of uw toestemmingsverklaring wordt getoond als uw website/app wordt bezocht door gebruikers uit alle EER-landen?
- Krijgen gebruikers de optie om bevestigende actie te ondernemen om hun toestemming te verlenen, bijvoorbeeld door op een knop OK of een knop Akkoord te klikken?
- Heeft u bekendgemaakt welke derden (waaronder Google) ook toegang hebben tot gebruikersgegevens die u verzamelt op uw website/in uw app?
- Heeft u gebruikers geïnformeerd over hoe Google hun persoonsgegevens gebruikt als zij toestemming geven op uw website/in uw app, bijvoorbeeld door een link op te nemen naar de Google-website over de verantwoordelijkheid voor bedrijfsgegevens? En hoe zit het met hoe andere derden hun persoonsgegevens gebruiken?
- Heeft u, als u inkomsten genereert met alleen niet-gepersonaliseerde advertenties, gecontroleerd of u toestemming krijgt van gebruikers om cookies of andere lokale opslag (zoals mobiele apparaat-ID's) te gebruiken indien dat wettelijk is vereist? We wijzen u er wel op dat er nog steeds cookies nodig zijn om niet-gepersonaliseerde advertenties weer te geven op websites.
- Als u uitsluitend door middel van de vertoning van beperkte advertenties inkomsten genereert, zet Google niet alleen het verzamelen, delen en gebruiken van persoonsgegevens voor de personalisatie van advertenties uit, maar ook functies waarvoor het gebruik van een lokale ID nodig is, zoals frequentielimieten. Alleen wanneer programmatic beperkte advertenties zijn aangezet, wordt gebruikgemaakt van cookies en lokale opslag voor uitsluitend de opsporing van ongeldig verkeer om zo te helpen beschermen tegen fraude en misbruik. We wijzen u erop dat technologieën voor de weergave van advertenties (onze JavaScript-tags en/of onze SDK-code) nog steeds in het cachegeheugen worden opgeslagen of worden geïnstalleerd als onderdeel van de normale werking van de browsers en mobiele besturingssystemen van gebruikers. U moet zelf uw nalevingsvereisten controleren, waaronder de vereiste kennisgeving en toestemming, op basis van de lokale wetgeving in uw jurisdictie. Ga naar het Helpcentrum van Ad Manager, AdMob of AdSense voor meer informatie over deze functie.
- Als u gebruikmaakt van een door het IAB gecertificeerde CMP: Heeft u Google-advertentieproducten vermeld als leverancier?
- Heeft u ervoor gezorgd dat er geen Google Ads-cookies worden ingesteld als er geen toestemming is gegeven en dat de standaardinstelling voor niet-gepersonaliseerde advertenties niet is gewijzigd als er geen toestemming is gegeven?
Wat moet ik doen als ik niet wil dat persoonsgegevens van eindgebruikers worden gebruikt voor advertentiepersonalisatie?
U kunt aangeven of u de persoonsgegevens van eindgebruikers wilt gebruiken voor advertentiepersonalisatie. We wijzen u er wel op dat niet-gepersonaliseerde advertenties nog steeds cookies of mobiele ID's nodig hebben om te worden weergegeven op websites of in apps. U moet toestemming verkrijgen voor het gebruik van cookies of mobiele ID's indien dat wettelijk is vereist.
Voor vertoningen via Ad Manager, AdSense en AdMob kunt u er ook voor kiezen inkomsten te genereren met beperkte advertenties. U moet zelf uw nalevingsvereisten controleren, waaronder de vereiste kennisgeving en toestemming, op basis van de lokale wetgeving in uw jurisdictie voor de weergave van beperkte advertenties en niet-gepersonaliseerde advertenties.
Welke instructies moet ik eindgebruikers geven om hun toestemming in te trekken?
In het beleid wordt vereist dat eindgebruikers wordt meegedeeld hoe ze hun toestemming voor advertentiepersonalisatie kunnen intrekken. Het moet voor een gebruiker net zo makkelijk zijn om de toestemming weer in te trekken als het was om de toestemming te verlenen. Eindgebruikers moeten ten minste beschikken over voldoende informatie om makkelijk bij hun advertentie-instellingen voor uw site of app te komen, zodat zij daar hun toestemmingsvoorkeuren kunnen wijzigen.
In welke andere Google-producten is dit beleid opgenomen?
In aanvulling op advertentie- en meetproducten wordt naar dit beleid verwezen in andere Google-producten, zoals de Servicevoorwaarden van het Google Maps Platform, de Servicevoorwaarden van de YouTube-API-services, de Servicevoorwaarden van reCAPTCHA en in Blogger.
Welke soorten advertenties worden voor dit beleid beschouwd als gepersonaliseerd?
Gepersonaliseerd adverteren (vroeger 'op interesses gebaseerd adverteren' genoemd) is een krachtige tool die de relevantie van advertenties voor gebruikers verbetert en het ROI voor adverteerders verhoogt. Voor al onze uitgeversproducten, afhankelijk van hoe ze worden gebruikt, kunnen conclusies worden getrokken over de interesses van gebruikers op basis van de websites die ze bezoeken of de apps die ze gebruiken, waardoor adverteerders de kans krijgen hun campagnes hierop te targeten. Zo hebben zowel gebruikers als adverteerders meer aan de advertenties. Bekijk voor meer informatie het advertentiebeleid voor gepersonaliseerde advertenties.
Google beschouwt advertenties als gepersonaliseerd wanneer deze zijn gebaseerd op eerder verzamelde of historische gegevens om de advertentieselectie te bepalen of te beïnvloeden. Deze gegevens omvatten bijvoorbeeld eerdere zoekopdrachten of activiteiten van gebruikers, websites die ze hebben bezocht, apps die ze hebben gebruikt, hun locatie en demografische informatie. Dit omvat meer specifiek: demografische targeting, targeting op interessecategorie, remarketing, targeting van Klantenmatch-lijsten en targeting van doelgroeplijsten die zijn geüpload naar Google Marketing Platform.
Tijdens de audit is mijn toestemmingsbanner aangemerkt als non-conform. Hoe kan ik dit het best oplossen?
Als wij constateren dat dit beleid niet wordt nageleefd, is het onze eerste prioriteit om onze partners te helpen het beleid weer na te leven. Ons auditteam geeft u details over de niet-naleving en informatie over de stappen die moeten worden ondernomen om uw site/app weer in overeenstemming te brengen met het beleid.
Om ervoor te zorgen dat een banner op de juiste wijze is geconfigureerd met betrekking tot de keuzes van een gebruiker, raden wij adverteerders aan om samen te werken met hun externe CMP of geschikte documentatie over het beheer van toestemmingsinstellingen door te nemen en ervoor te zorgen dat deze op passende wijze worden geïntegreerd met de toestemmingsmodus.
Waarom is het voor dit beleid nodig om toestemming te krijgen voor cookies, ook al wordt dit gebruikt voor andere doeleinden dan personalisatie, zoals advertentiemeting?
Cookies of mobiele ID's worden gebruikt voor de ondersteuning van door Google weergegeven gepersonaliseerde en niet-gepersonaliseerde advertenties om fraude en misbruik te bestrijden, voor frequentielimieten en voor verzamelde advertentierapporten. In ons beleid is het vereist om toestemming te krijgen voor het gebruik van cookies of mobiele ID's van gebruikers in landen waar toestemming voor cookies of mobiele ID's wettelijk vereist is.
Wat moet ik weten als adverteerder die de producten van Google gebruikt op mijn site?
Als u tags voor advertentieproducten, zoals Google Ads of Google Marketing Platform, gebruikt op uw pagina's, moet u toestemming van uw gebruikers in de EER en het Verenigd Koninkrijk krijgen om te voldoen aan het Google-beleid voor toestemming van gebruikers in de EU. In ons beleid wordt toestemming vereist voor cookies die worden gebruikt voor meetdoeleinden en toestemming voor het gebruik van persoonsgegevens voor gepersonaliseerde advertenties, bijvoorbeeld als u remarketingtags op uw pagina heeft.
Wat moet ik vermelden in mijn toestemmingsverklaring?
In het beleid van Google wordt niet voorgeschreven welke keuzes moeten worden aangeboden aan gebruikers, aangezien de formulering van uw toestemmingsverklaring afhankelijk is van de manier waarop u gegevens gebruikt (bijvoorbeeld of u de gegevens gebruikt voor uw eigen doeleinden of ter ondersteuning van andere services waarmee u werkt).
Vereist Google een specifiek soort toestemmingsbericht voor apps?
Ja. In mei 2023 hebben we aangekondigd dat uitgevers vanaf 16 januari 2024 verplicht zijn een gecertifeerd CMP te gebruiken als zij advertenties weergeven aan gebruikers in de EER en het Verenigd Koninkrijk. Als uw CMP niet op deze lijst staat, raden we u aan met uw CMP samen te werken om de certificering te behalen.
Voor advertentiepartners is het CMP Partner Program opgericht om adverteerders te helpen bij het maken en configureren van toestemmingsbanners. Opmerking: Deze lijst is niet uitputtend en vermeldt dus niet alle beschikbare CMP's.
Hoe moeten partners kiezen welke provider van een platform voor het beheer van toestemmingen (Consent Management Platform, CMP) ze willen gebruiken?
Voor advertentiepartners is het CMP Partner Program opgericht om adverteerders te helpen bij het maken en configureren van toestemmingsbanners. Opmerking: Deze lijst is niet uitputtend en vermeldt dus niet alle beschikbare CMP's. Het gebruik van een van deze CMP's garandeert niet dat het Google-beleid voor toestemming van gebruikers in de EU wordt nageleefd, aangezien dit afhangt van de implementatie van het CMP en de specifieke toestemmingsverklaring die aan gebruikers wordt getoond (raadpleeg voor meer hulp hierbij het gedeelte boven 'Checklist voor partners om veelgemaakte fouten bij de implementatie van een toestemmingsmechanisme te voorkomen').
Welke andere partijen verzamelen de persoonsgegevens van eindgebruikers en hoe moet ik deze derden identificeren?
Veel adverteerders en uitgevers die gebruikmaken van de advertentiesystemen van Google gebruiken derden om advertenties weer te geven en de doeltreffendheid van hun advertentiecampagnes op websites en in apps te meten. In het beleid wordt vereist dat u, naast Google, elke derde partij duidelijk identificeert die misschien persoonsgegevens van eindgebruikers kan verzamelen, ontvangen en/of gebruiken als gevolg van uw gebruik van Google-producten. Er zijn opties in AdSense, Google Ad Manager en AdMob beschikbaar waarmee u de leveranciers kunt kiezen die gegevens mogen verzamelen op uw site of in uw app.
Mijn site is niet gevestigd in Europa. Is dit beleid op mij van toepassing?
Ja, als u Google-producten gebruikt die verwijzen naar dit beleid, en gebruikers in de EER of het Verenigd Koninkrijk toegang hebben tot uw services.
Ik ben uitgever en geen van mijn campagnes is getarget op de EER of het Verenigd Koninkrijk. Is deze toestemmingsvereiste toch op mij van toepassing?
Toestemming zou niet zijn vereist als de Google-services worden verwijderd van de site voor gebruikers in deze landen. Er is echter nog steeds toestemming nodig als de Google-services nog steeds worden gebruikt maar er geen advertenties worden weergegeven. De reden hiervoor is dat Google AdMob, AdSense en Google Ad Manager cookies gebruiken en dat er in overeenstemming met ons beleid nog steeds toestemming nodig is voor cookies die worden gebruikt voor meetdoeleinden. Google Ad Manager verzamelt ook persoonsgegevens, tenzij het gaat om een verzoek om een niet-gepersonaliseerde advertentie en dit wordt aangegeven in de instellingen voor toestemming van gebruikers in de EU of in het verzoek zelf.
Onze organisatie interpreteert de wetgeving anders en wil een andere aanpak gebruiken voor kennisgeving en toestemming. Is dat mogelijk?
Google streeft ernaar om voor alle services die we in Europa aanbieden te voldoen aan de AVG, inclusief voor zover deze is omgezet naar de Britse wetgeving. Dit streven en de adviezen van Europese autoriteiten op het gebied van gegevensbescherming zijn terug te vinden in ons beleid voor toestemming van gebruikers in de EU. We blijven de wetgeving en praktijken in de branche evalueren en zullen onze aanbevelingen en vereisten op basis daarvan updaten.
Waarom hebben we toestemming nodig voor advertentiemetingen? Is dat geen gerechtvaardigd belang?
Google gebruikt cookies en verschillende advertentie-ID's om advertentiemeting te ondersteunen. In de bestaande ePrivacy-wetgeving wordt vereist dat toestemming wordt verkregen voor dit gebruik voor gebruikers in landen waar dat moet volgens de lokale wetgeving. Daarom wordt in ons beleid toestemming vereist voor advertentiepersonalisatie en advertentiemeting. Dit geldt ook voor use cases waarbij sprake is van offline metingen (zoals winkelverkopen)
Heb ik toestemming nodig voordat tags worden geactiveerd of kan ik de toestemming ook achteraf vragen?
Toestemming voor gepersonaliseerde advertenties moet worden verkregen voordat de tags van Google worden geactiveerd op uw pagina's.
Hoe zit het met het gebruik van kliktrackers?
Wanneer adverteerders ervoor kiezen technologieën voor het bijhouden van klikken van externe partijen te gebruiken (bijvoorbeeld wanneer een klik op een advertentie de browser van de gebruiker naar een externe leverancier van meetdiensten leidt op weg naar de bestemmingspagina van de adverteerder), moet dit voldoen aan de toepasselijke wetgeving. De leveranciersopties van Google voor uitgevers zijn niet ontworpen voor technologieën die klikken bijhouden.
Welke gegevens moet ik bewaren?
In ons beleid wordt vereist dat klanten gegevens over de toestemming bewaren. Dit omvat ten minste de tekst en keuzes die de gebruikers te zien kregen als onderdeel van het toestemmingsmechanisme en informatie over de datum en tijd van de positieve toestemming van de gebruiker.
Waarom wordt mijn uitgevers-CMP beschouwd als non-conform? Ik gebruik een gecertificeerd CMP dat ook is gecertificeerd door de IAB.
Het gebruik van een gecertificeerd CMP garandeert niet dat het Google-beleid voor toestemming van gebruikers in de EU wordt nageleefd, aangezien dit afhangt van de implementatie van het CMP en de specifieke toestemmingsverklaring die aan gebruikers wordt getoond (raadpleeg voor meer hulp hierbij het gedeelte boven 'Checklist voor partners om veelgemaakte fouten bij de implementatie van een toestemmingsmechanisme te voorkomen').
Moet ik me houden aan dit beleid als ik producten gebruik die Privacy Sandbox-API's gebruiken?
Ja. Als u Privacy Sandbox-API's (Topics, Protected Audience en Attribution Reporting) gebruikt, maakt u misschien gebruik van persoonsgegevens voor advertentiepersonalisatie en/of toegang tot lokale opslag. Het Beleid voor toestemming van gebruikers in de EU vereist dat u geldige gebruikerstoestemming voor deze acties krijgt op dezelfde manier als u momenteel vertrouwt op toestemming voor advertentiepersonalisatie en het gebruik van niet-essentiële lokale opslag in de Europese Economische Ruimte en het Verenigd Koninkrijk. Meer informatie over de Privacy Sandbox
Updates van dit beleid
Het oorspronkelijke Google-beleid ten aanzien van toestemming van gebruikers in de Europese Unie is op 25 mei 2018 geüpdatet. Op 31 oktober 2019 zijn kleine wijzigingen aangebracht om de veranderende relatie van het Verenigd Koninkrijk met de Europese Unie te weerspiegelen. Er worden momenteel geen verdere wijzigingen in het beleid verwacht. Zoals hierboven aangegeven, blijven we echter de wetgeving en praktijken in de branche evalueren en zullen we onze aanbevelingen en vereisten op basis daarvan updaten.