Privacy is een van de meest besproken onderwerpen binnen digitale marketing, en terecht. Voor iedereen die werkt met mobile display advertising in Nederland gelden strenge regels die direct invloed hebben op hoe je campagnes opzet, welke data je mag gebruiken en hoe je toestemming regelt. De wetgeving is de afgelopen jaren flink aangescherpt, en de Autoriteit Persoonsgegevens houdt actief toezicht op de naleving.

Of je nu werkt bij een mediabureau, een adverteerder aanstuurt of zelf campagnes inkoopt via mobiele advertentiekanalen en programmatic kanalen: inzicht in de privacyregels is geen luxe, maar een werkbare basis voor effectieve en verantwoorde campagnes. In dit artikel beantwoorden we de meest gestelde vragen over privacy en mobile display advertising in Nederland, zodat je precies weet waar je aan toe bent.

Welke privacywetgeving geldt voor mobile display advertising in Nederland?

Voor mobile display advertising in Nederland gelden primair twee wettelijke kaders: de Algemene Verordening Gegevensbescherming (AVG) en de Telecommunicatiewet (Tw). De AVG regelt hoe je persoonsgegevens verwerkt, terwijl de Telecommunicatiewet specifiek gaat over het plaatsen van cookies en het uitlezen van apparaten. Samen bepalen ze wat je wel en niet mag doen bij het targeten van gebruikers via mobiele advertenties.

De AVG is van toepassing zodra je persoonsgegevens verwerkt, en dat is bij mobile advertising al snel het geval. IP-adressen, advertentie-ID’s en locatiegegevens vallen allemaal onder deze definitie. De Telecommunicatiewet vult dit aan met specifieke regels over het gebruik van cookies en vergelijkbare technieken op apparaten van gebruikers. Beide wetten werken samen en je moet aan allebei voldoen.

De Autoriteit Persoonsgegevens is in Nederland de toezichthouder op de AVG en kan bij overtredingen flinke boetes opleggen. Daarnaast speelt het Transparency and Consent Framework (TCF) van IAB Europe een grote praktische rol: dit is het technische raamwerk dat veel uitgevers en adtechplatforms gebruiken om toestemming vast te leggen en door te geven in de programmatic keten.

Wat is toestemming en wanneer is die verplicht bij mobile advertising?

Toestemming bij mobile advertising betekent dat een gebruiker vrijwillig, specifiek, geïnformeerd en ondubbelzinnig akkoord gaat met het verwerken van zijn of haar persoonsgegevens voor advertentiedoeleinden. Toestemming is verplicht zodra je gegevens verwerkt voor doeleinden zoals gepersonaliseerde advertenties, gedragsprofilering of het uitlezen van apparaatidentificatoren zoals een Mobile Advertising ID.

Wanneer heb je toestemming nodig?

Je hebt toestemming nodig bij vrijwel alle vormen van gepersonaliseerde of op gedrag gebaseerde targeting. Denk aan retargeting op basis van websitebezoek, het opbouwen van gebruikersprofielen voor doelgroepsegmentatie, of het combineren van data uit verschillende bronnen. Contextual advertising, waarbij je advertenties afstemt op de inhoud van een pagina zonder gebruikersdata te verwerken, valt hier in principe buiten.

Hoe werkt een geldig toestemmingsproces?

Geldige toestemming voldoet aan een aantal concrete voorwaarden. De gebruiker moet actief akkoord gaan, dus een vooraf aangevinkt vakje is niet geldig. De toestemming moet specifiek zijn per doel, dus “advertenties” is te breed. Gebruikers moeten ook net zo makkelijk toestemming kunnen intrekken als ze die hebben gegeven. In de praktijk verloopt dit via een Consent Management Platform (CMP), dat toestemming registreert en doorgeeft aan alle partijen in de advertentieketen.

Hoe werkt cookieloze targeting binnen de privacyregels?

Cookieloze targeting verwijst naar methoden om advertenties te richten op relevante doelgroepen zonder gebruik te maken van third-party cookies of andere persistente trackers die toestemming vereisen. Binnen de geldende privacyregels zijn er meerdere aanpakken die je hiervoor kunt inzetten, zolang ze geen persoonsgegevens verwerken zonder geldige grondslag.

Contextual targeting is de meest directe cookieloze aanpak: je plaatst advertenties op basis van de inhoud van een pagina of app, niet op basis van gebruikersgedrag. Een sportmerk dat adverteert op sportnieuws-apps doet dit zonder persoonsgegevens te verwerken. Dit is volledig in lijn met de AVG en de Telecommunicatiewet.

Alternatieve targetingmethoden zonder cookies

Naast contextual targeting zijn er andere privacyvriendelijke methoden die steeds vaker worden ingezet:

• Cohort-based targeting: gebruikers worden ingedeeld in anonieme groepen op basis van gedeeld gedrag, zonder individuele profielen bij te houden.
• First-party data-activatie: je gebruikt data die je zelf hebt verzameld met toestemming van gebruikers, zoals nieuwsbriefinschrijvingen of app-gebruik.
• Probabilistische targeting: op basis van niet-persoonlijke signalen zoals apparaattype, tijdstip en locatie op postcodeniveau worden relevante doelgroepen bereikt.
• Privacy Sandbox-technologieën: initiatieven vanuit browsers en platforms die targeting mogelijk maken zonder individuele gebruikersdata te delen met adverteerders.

Al deze methoden hebben gemeen dat ze minder afhankelijk zijn van expliciete toestemming, maar dat betekent niet dat ze helemaal buiten de privacywetgeving vallen. Zodra er toch persoonsgegevens bij betrokken zijn, gelden de AVG-regels alsnog.

Wat zijn de regels rondom het gebruik van Mobile Advertising IDs?

Mobile Advertising IDs (MAIDs), zoals de IDFA op iOS en de GAID op Android, zijn unieke identificatoren die aan een mobiel apparaat zijn gekoppeld. Het gebruik van deze ID’s voor advertentiedoeleinden valt onder de AVG en de Telecommunicatiewet, wat betekent dat je in de meeste gevallen toestemming nodig hebt van de gebruiker voordat je ze mag inzetten.

Apple heeft met de introductie van App Tracking Transparency (ATT) in iOS 14.5 de lat hoger gelegd: apps moeten gebruikers expliciet om toestemming vragen voordat ze de IDFA mogen uitlezen. Gebruikers die weigeren, krijgen een willekeurige of lege ID, waardoor gepersonaliseerde targeting niet meer mogelijk is. Op Android geldt een vergelijkbaar systeem, waarbij gebruikers de GAID kunnen resetten of het gebruik ervan kunnen blokkeren.

Wat mag je wel doen met MAIDs?

Wanneer een gebruiker toestemming heeft gegeven, mag je de MAID gebruiken voor doeleinden zoals frequentiebeperking, attributiemeting en doelgroepsegmentatie. Zonder toestemming is het gebruik van de MAID voor profilering of targeting niet toegestaan. Het is ook niet toegestaan om MAIDs te koppelen aan andere persoonsgegevens zonder aanvullende grondslag en transparantie richting de gebruiker.

Hoe verschilt de privacyaanpak voor CTV, DOOH en in-game advertising?

De privacyaanpak verschilt per kanaal, omdat de aard van de data en de manier waarop gebruikers worden bereikt wezenlijk anders zijn. Bij Connected TV, Digital Out of Home en in-game advertising gelden dezelfde basisprincipes van de AVG, maar de praktische uitwerking vraagt om kanaaleigen oplossingen.

Connected TV

Bij Connected TV worden advertenties getoond op smart-tv’s en streamingapparaten. Targeting gebeurt vaak op basis van huishoudsegmenten in plaats van individuele gebruikersprofielen. Omdat smart-tv’s een apparaat-ID hebben, geldt ook hier de verplichting om toestemming te regelen als je dat ID gebruikt voor profilering. Cross-device synchronisatie, waarbij je CTV-campagnes koppelt aan mobiele apparaten, vereist extra aandacht voor toestemming over meerdere apparaten heen.

Digital Out of Home

DOOH-reclame op digitale schermen in de openbare ruimte richt zich per definitie op groepen mensen, niet op individuele gebruikers. Zolang er geen persoonsgegevens worden verwerkt, is de impact van de AVG beperkt. Wanneer je echter mobiele data of locatiedata gebruikt om schermen dynamisch aan te sturen op basis van wie er in de buurt is, komt de AVG wel in beeld en moet je de dataverwerkingsketen goed inrichten.

In-game advertising

In-game advertenties die dynamisch verschijnen binnen games combineren soms locatiedata, apparaat-ID’s en gedragsdata van spelers. Zeker bij games die gericht zijn op jongeren gelden aanvullende beschermingsregels. Adverteerders moeten controleren of de game-uitgever toestemming heeft geregeld en of de data die wordt doorgegeven aan de programmatic keten voldoet aan de AVG-eisen.

Welke veelgemaakte fouten moeten adverteerders vermijden bij privacycompliance?

De meest voorkomende fouten bij privacycompliance in mobile display advertising zijn het vertrouwen op ongeldige toestemming, het ontbreken van transparantie over datagebruik en het niet controleren van partners in de advertentieketen. Deze fouten zijn goed te voorkomen met de juiste werkwijze en aandacht voor de details van je campagne-inrichting.

• Toestemming aannemen zonder die te controleren: als je inkoopt via een DSP of ad network, moet je verifiëren dat de uitgevers in jouw deal geldige toestemming hebben vastgelegd via een gecertificeerd CMP.
• Te brede toestemmingsformulering: toestemming voor “marketing” dekt niet automatisch gepersonaliseerde mobile display campagnes. Zorg dat de doeleinden specifiek zijn omschreven.
• Geen verwerkersovereenkomsten afsluiten: met elke partij die namens jou persoonsgegevens verwerkt, zoals een DSP of datapartner, moet je een verwerkersovereenkomst hebben.
• Locatiedata onzorgvuldig inzetten: nauwkeurige locatiedata is bijzonder gevoelig. Het gebruik ervan voor hyperlokale targeting vereist expliciete toestemming en een heldere uitleg aan de gebruiker.
• Geen opt-outmogelijkheid bieden: gebruikers moeten altijd eenvoudig kunnen aangeven dat ze niet gevolgd willen worden. Dit moet technisch geborgd zijn in je campagne-inrichting.

Een goede privacyaanpak begint bij de inrichting van je campagne, niet bij de rapportage achteraf. Door toestemming, dataminimalisatie en transparantie vanaf het begin mee te nemen in je strategie, voorkom je problemen en bouw je tegelijk aan vertrouwen bij je doelgroep.

Hoe wij helpen met privacyconforme mobile display campagnes

Privacyregels hoeven geen rem te zijn op effectieve mobile display campagnes. Met de juiste aanpak combineer je compliance met bereik, relevantie en creatieve kracht. Bij MIBTL Media helpen we bureaus en adverteerders om precies dat te doen. Onze aanpak is concreet en praktisch:

• We werken uitsluitend met uitgevers en technologiepartners die gecertificeerde CMP-oplossingen gebruiken en aantoonbaar voldoen aan de TCF-standaarden.
• We adviseren over cookieloze targetingstrategieën zoals contextual targeting en first-party data-activatie, afgestemd op jouw campagnedoelen.
• We richten campagnes in met aandacht voor dataminimalisatie: we gebruiken alleen de data die nodig is voor het beoogde resultaat.
• We begeleiden je van strategie tot rapportage, inclusief heldere inzichten in welke data is ingezet en hoe toestemming is geregeld.
• Onze in-house studio ontwikkelt rich media creatives die ook zonder uitgebreide gebruikersprofilering sterk presteren, dankzij relevante contextuele plaatsingen en opvallende formats.

Wil je weten hoe je mobile display campagnes opzet die zowel effectief als privacyconform zijn? Neem contact op met MIBTL Media en ontdek wat we voor jouw bureau of merk kunnen betekenen.