De Facebook-pixel is waarschijnlijk het meest populaire remarketing-instrument en tegelijkertijd zeer risicovol op het gebied van gegevensbescherming. De bijdrage laat zien hoe je de Facebook-pixel halfweg redelijk rechtmatig kunt gebruiken.
Facebook-pixel en privacybeleid
Men weet dat de firma Facebook (VS) heel veel gegevens verzamelt van zijn gebruikers. De website is kosteloos, maar de gebruiker betaalt met zijn gegevens. Wat in het verleden al half en half problematisch what, om het maar beleefd te zeggen, is sinds 25 mei 2018 met de Gegevensbeschermingswet hoog explosief.
Het hart van de oplossing is een zelf ontwikkelde keuzemogelijkheid voor de Facebook Pixel, die in combinatie met andere maatregelen helpt om zo goed mogelijk te voldoen aan de Algemene Verordening Gegevensbescherming. Niemand weet precies welke gegevens Facebook of Meta verwerkt en waarom. In elk geval is er een vonnis over het Facebook-plugin (EU-uitspraak van 29 juli 2019 – C-40/17 – "Fashion ID"), waaruit blijkt dat er een gezamenlijke verantwoordelijkheid bestaat. Bij problemen zitten dus de webbeheerder, die de FB-pixel inzet, en Meta in hetzelfde schuitje. Alleen moet men ervan uitgaan dat Meta niet meehelpt.
Eisen
Voor analysehulpmiddelen op websites moeten een aantal voorwaarden zijn om kansrijk te zijn op het gebied van rechtszekerheid. Hierbij horen:
- Toestemmingsverzoek: De pixel mag alleen worden geladen nadat de gebruiker (=bezoeker van de website) toestemming heeft gegeven. Dit vloeit onder andere voort uit art. 25 TTDSG, art. 49 GDPR, het Schrems II arrest van het EHJ (arrest van 16.07.2020 – C-311/18) en art. 5 lid 1 lit. c GDPR (“dataminimalisatie”).
- Ordentelijke tekst voor de gegevensbeschermingsverklaring: vermelding van de component, haar doel, het bedrijf dat deze levert (adres), de link naar de gegevensbeschermingsverklaring van het bedrijf naar de component, de persoonsgegevens die worden verzameld, andere aanwijzingen (zoals een link met een Facebook-account als de gebruiker net daar is aangemeld)
- Uitschrijdmogelijkheid van de verzameling persoonsgegevens door het analysehulpmiddel (Opt-Out)
- IP-adresanonimisering (zie bijvoorbeeld Google Analytics)
- Beperking van de te verzamelen gegevens tot een rechtvaardigbaar niveau (ik weet niet waarom men precies moet weten hoe oud zijn websitebezoekers zijn, het recht staat niemand toe om dat ad hoc te doen)
- Overeenkomst voor opdrachtverwerking met de leverancier van het analysetool
- Garantie dat de leverancier van het analysetool zich houdt aan de op dit moment geldende gegevensbeschermingsregels in ons land
Wie gelooft dat dit voor de Facebook Pixel mogelijk is, kan doorverwijzen. Enkele punten betreffen deze pixel niet noodzakelijk, omdat hij niet noodzakelijkerwijs als analysetool moet worden beschouwd.
Toestemming vragen
Stap 1: Pixels niet laden
Geen enkele code voor de FB Pixel actief laten draaien en hopen dat een Consent Tool deze code effectief onderdrukt, tot de gebruiker zijn toestemming heeft gegeven. Zie mijn onderzoek naar Cookie Tools.
In plaats daarvan een van de volgende twee mogelijkheden gebruiken:
- Code voor de FB pixel laden nadat de gebruiker heeft ingestemd.
- Code inactief laten draaien en pas activeren nadat de gebruiker heeft ingestemd.
Een mogelijkheid kan bijvoorbeeld met mijn kostenloze Consent Tool gerealiseerd worden.
Mogelijkheid twee maakt gebruik van de al vrij veel gebruikelijke Directive data-src (in plaats van src) in script-instructies. De code voor het FB Pixel ziet dan zo uit:
<script data-src="/script/to/pixel-code"></script>
Een voorwaarde is dat de code om het Facebook Pixel te laden in een script-bestand staat. Wie technische suggesties zoekt, vindt die in mijn artikel over het Consent Tool waarin ik verwijs. Misschien is ook dit volgende codevoorbeeld nuttig.
Stap 2: Gegevensbeschermingsinformatie op de toestemmingsteken
In mijn checklijst voor toestemmingsvragen vind je de gegevens die in het vaak genoemde "Cookie Popup" genoemde toestemmings-poppup te maken zijn. Dit zijn vooral:
- Naam van de dienst, hier: Facebook Pixel (of een andere naam afhankelijk van het soort geladen Facebook-dienst)
- Korte doelbeschrijving
- Aanbieders noemen: Meta met landaanduiding (de volledige adresgegevens ook of in ieder geval in de privacyverklaring)
- Vermelden dat Risiko volgens art. 44 GDPR vanwege de overdracht van gegevens naar de VS bestaan
- Alle cookies noemen. Per cookie
- Name
- Doelomschrijving
- Levensduur
Let op dat de mogelijkheid om in te stemmen op het "Cookie Popup" niet optisch meer aandacht trekt dan de mogelijkheid om af te wijzen. Afwijzen moet minstens zo gemakkelijk zijn als instemmen.
Uitschrijfmogelijkheid (opt-out)
De Facebook Pixel biedt vanuit zichzelf geen opt-out mogelijkheid aan. Ik stel voor om de volgende oplossing toe te passen:
Stap 1: JavaScript-code invoegen
Voeg de volgende code toe aan elke pagina van uw website, pas de Facebook ID in de code aan. De code kan in het BODY-gebied worden geplaatst, bijvoorbeeld helemaal bovenaan:
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
