Waarom bestaat dit beleid en waarop is het van toepassing?
In het beleid staan bepaalde vereisten die afkomstig zijn uit twee onderdelen van de Europese privacywetgeving: de Algemene verordening gegevensbescherming (AVG) en de ePrivacy-richtlijn, evenals gelijkwaardige Britse wetten. Dit beleid is van toepassing op eindgebruikers die zich bevinden in de EER, het Verenigd Koninkrijk en Zwitserland. De EER bestaat uit de lidstaten van de Europese Unie (EU), IJsland, Liechtenstein en Noorwegen.
De oorspronkelijke versie van dit beleid werd in 2015 geïntroduceerd en is op 25 mei 2018 geüpdatet toen de Algemene verordening gegevensbescherming (AVG) van kracht werd. Dit beleid is voor het laatst geüpdatet op 31 juli 2024, waarbij het ook van toepassing werd op gebruikers in Zwitserland.
Moet ik me houden aan dit beleid voor alle gebruikers als ik een in de EER, het Verenigd Koninkrijk of Zwitserland gevestigde uitgever of adverteerder ben?
Het Google-beleid voor toestemming van gebruikers in de EU is alleen van toepassing op eindgebruikers die zich bevinden in de EER, het Verenigd Koninkrijk of Zwitserland.
Hoe zorgt Google voor naleving van dit beleid?
Sinds dit beleid in 2015 werd ingevoerd, voeren wij periodiek controles uit van websites en apps die onze advertentieservices gebruiken om te controleren of ze het naleven. Onze reviewers bezoeken een website of app op dezelfde manier als een gebruiker zou doen en we kijken naar de verstrekte informatie en de verkregen toestemmingen.
Onze eerste prioriteit is altijd samenwerken met onze partners om te verzekeren dat dit beleid wordt nageleefd. Als we vaststellen dat een partner ons beleid schendt, nemen we eerst contact op met de partner om aan te geven dat er een probleem is. Daarna proberen we samen met de partner ervoor te zorgen dat het beleid wordt nageleefd.
Al sinds 2015 geven we websites en apps een redelijk tijdsbestek om eventueel vereiste wijzigingen aan te brengen. Als de partner niet samenwerkt met ons of nalaat om te goeder trouw aan te tonen dat binnen een redelijke termijn naleving wordt gewaarborgd, kan dit leiden tot acties tegen de betreffende accounts. Voor adverteerders kunnen we bijvoorbeeld doelgroepfuncties, inclusief advertentiepersonalisatie (zoals remarketing), en meetmogelijkheden voor conversies opschorten. Voor uitgevers geldt dat alleen beperkte advertenties/programmatic beperkte advertenties kunnen worden weergegeven (als programmatic beperkte advertenties zijn aangezet).
Naast onze controles websites en apps vereisen we van uitgevers dat ze een gecertificeerd CMP gebruiken als ze advertenties weergeven aan gebruikers in de EER, het Verenigd Koninkrijk en Zwitserland om aan dit beleid te voldoen. Google voert nog steeds controles uit op de sites en apps van onze uitgeverpartners als een gecertificeerd CMP wordt gebruikt.
Voor adverteerders met EER-verkeer geldt dat als een gebruiker uit de EER uw website of app gebruikt en u gebruikersgedrag meet met behulp van Google-tags of -SDK's en/of u doelgroepfuncties/functies voor advertentiepersonalisatie gebruikt, u de keuzes voor eindgebruikerstoestemming moet doorgeven aan Google (bijvoorbeeld via de toestemmingsmodus of het TCF). Als u de Google-tag laadt en de nieuwste versie van de toestemmingsmodus niet heeft geïmplementeerd, raden we u aan om met een CMP te werken dat deel uitmaakt van het CMP Partner Program. Deze lijst is niet volledig en vermeldt dus niet alle beschikbare CMP's. Google vereist niet van adverteerders dat ze een CMP gebruiken dat deel uitmaakt van het CMP Partner Program.
Welke kennisgevingen moet ik verstrekken aan eindgebruikers?
Ons beleid vereist dat elke partij die persoonsgegevens van eindgebruikers krijgt als gevolg van het gebruik van een Google-product, bekend moet worden gemaakt. Ook wordt vereist dat er prominente en makkelijk toegankelijke informatie beschikbaar is over het gebruik van de persoonsgegevens van eindgebruikers. We hebben een pagina gepubliceerd over de manieren waarop Google informatie gebruikt. Uitgevers en adverteerders moeten een link verstrekken naar deze pagina om te voldoen aan de kennisgevingsverplichtingen rond het gebruik van gegevens door Google. We vragen andere aanbieders van advertentietechnologie waarmee Google-producten integreren ook om informatie beschikbaar te stellen over hun eigen gebruik van persoonsgegevens.
Checklist om veelgemaakte fouten bij de implementatie van een toestemmingsmechanisme te voorkomen
Dit zijn slechts voorbeelden en dit overzicht is niet bedoeld als een volledige lijst. Zorg er altijd voor dat de implementatie voldoet aan alle vereisten in het beleid van Google.
- Heeft u een toestemmingsmechanisme/-banner geïmplementeerd? Voor uitgeverspartners: Is het toestemmingsmechanisme/de toestemmingsbanner gecertificeerd door Google?
- Heeft u aan gebruikers uitgelegd hoe hun persoonsgegevens worden gebruikt op uw website/in uw app? Zijn ze zich er bijvoorbeeld van bewust dat hun persoonsgegevens worden gebruikt voor de personalisatie van advertenties en dat cookies/mobiele-advertentie-ID's kunnen worden gebruikt voor gepersonaliseerde en niet-gepersonaliseerde advertenties?
- Heeft u gecontroleerd of uw toestemmingsmechanisme/-banner wordt getoond als uw website/app wordt bezocht door gebruikers uit alle EER-landen en uit het Verenigd Koninkrijk en Zwitserland?
- Krijgen gebruikers de optie om bevestigende actie te ondernemen om hun toestemming te verlenen, bijvoorbeeld door op een knop OK of Akkoord te klikken?
- Heeft u bekendgemaakt welke derden (waaronder Google) ook toegang hebben tot gebruikersgegevens die u verzamelt op uw website/in uw app?
- Heeft u gebruikers geïnformeerd over hoe Google hun persoonsgegevens gebruikt als ze toestemming geven op uw website/in uw app door een link op te nemen naar de Google-website over de verantwoordelijkheid voor bedrijfsgegevens? Heeft u ze geïnformeerd over hoe andere derden hun persoonsgegevens gebruiken?
- Voor adverteerders: Stuurt u voor uw gebruikers in de EER geverifieerde toestemmingssignalen naar Google die de voorkeuren van de eindgebruiker aangeven? Heeft u de nieuwste versie van de toestemmingsmodus of het TCF op de juiste wijze geïmplementeerd?
- Heeft u ervoor gezorgd dat er geen cookies worden ingesteld als er geen toestemming is gegeven, voor zover deze toestemming is vereist? We wijzen u er wel op dat er nog steeds cookies nodig zijn om niet-gepersonaliseerde advertenties weer te geven op websites.
- Voor uitgevers: Gebruikt u een door Google gecertificeerd CMP in overeenstemming met de TCF-vereisten? Als u aanvullende toestemming gebruikt: Heeft u deze op de juiste wijze geïmplementeerd?
Wat zijn beperkte advertenties?
Voor uitgevers geldt dat als u alleen met behulp van beperkte advertenties inkomsten genereert met weergaven, Google niet alleen het verzamelen, delen en gebruiken van persoonsgegevens voor de personalisatie van advertenties uitzet, maar ook functies die het gebruik vereisen van een lokale ID, zoals frequentielimieten. Alleen als programmatic beperkte advertenties aanstaan, worden cookies en lokale opslag voor uitsluitend de opsporing van ongeldig verkeer gebruikt om zo te helpen beschermen tegen fraude en misbruik. We wijzen u erop dat technologieën voor de weergave van advertenties (onze JavaScript-tags en/of onze SDK-code) nog steeds in het cachegeheugen worden opgeslagen of worden geïnstalleerd als onderdeel van de normale werking van de browsers en mobiele besturingssystemen van gebruikers. U moet zelf uw nalevingsvereisten controleren, waaronder de vereiste kennisgeving en toestemming, op basis van de lokale wetgeving in uw jurisdictie. Meer informatie over deze functie vindt u in het Helpcentrum van Ad Manager, AdMob en Adsense.
Welke instructies moet ik eindgebruikers geven om hun toestemming te herroepen?
Het beleid vereist dat eindgebruikers wordt meegedeeld hoe ze hun toestemming kunnen intrekken. Het moet voor een gebruiker net zo makkelijk zijn om de toestemming weer in te trekken als het was om de toestemming te verlenen. Eindgebruikers moeten ten minste beschikken over voldoende informatie om makkelijk bij hun advertentie-instellingen voor uw website of app te komen, zodat ze daar hun toestemmingsvoorkeuren kunnen wijzigen.
In welke andere Google-producten is dit beleid opgenomen?
In aanvulling op advertentie- en meetproducten wordt naar dit beleid verwezen in andere Google-producten, zoals de Servicevoorwaarden van het Google Maps Platform, de Servicevoorwaarden van de YouTube-API-services, de Servicevoorwaarden van reCAPTCHA en in Blogger.
Welke soorten advertenties worden voor dit beleid beschouwd als gepersonaliseerd?
Gepersonaliseerde advertenties bieden zowel gebruikers (zoals relevantere advertenties) als adverteerders en uitgevers een betere functionaliteit. Google beschouwt advertenties als gepersonaliseerd wanneer deze zijn gebaseerd op persoonsgegevens die worden gebruikt om de advertentieweergave te bepalen of te beïnvloeden. Meer informatie kunt u hier vinden.
Tijdens de controle is mijn toestemmingsbanner aangemerkt als niet-conform. Hoe kan ik dit het best oplossen?
Als wij constateren dat dit beleid niet wordt nageleefd, is het onze eerste prioriteit om onze partners te helpen het weer na te leven. Ons auditteam geeft u details over de niet-naleving en informatie over de stappen die u moet nemen om uw website/app weer in overeenstemming te brengen met het beleid.
We raden adverteerders aan om samen te werken met hun externe CMP of toepasselijke documentatie over het beheer van toestemmingsinstellingen door te nemen en te zorgen dat deze op passende wijze worden geïntegreerd met de toestemmingsmodus om te zorgen dat een banner op de juiste wijze is ingesteld met betrekking tot de keuzes van een gebruiker.
We raden uitgevers aan samen te werken met hun door Google gecertificeerde CMP en deze probleemoplosser te raadplegen om eventuele problemen met de naleving op te lossen.
Waarom is het voor dit beleid nodig om toestemming te krijgen voor cookies, ook al wordt dit gebruikt voor andere doeleinden dan personalisatie, zoals advertentiemeting?
Cookies of mobiele ID's worden gebruikt voor de ondersteuning van door Google weergegeven gepersonaliseerde en niet-gepersonaliseerde advertenties voor frequentielimieten en voor verzamelde advertentierapporten. In ons beleid is het vereist om toestemming te krijgen voor het gebruik van cookies of mobiele ID's van gebruikers in landen waar toestemming voor cookies of mobiele ID's wettelijk vereist is.
Wat moet ik weten als adverteerder die de producten van Google gebruikt op mijn website/in mijn app?
Als u tags voor advertentieproducten, zoals Google Ads of Google Marketing Platform, gebruikt op uw pagina's/in uw app, moet u toestemming van uw gebruikers in de EER, het Verenigd Koninkrijk en Zwitserland krijgen om te voldoen aan het Google-beleid voor toestemming van gebruikers in de EU. Ons beleid vereist toestemming voor cookies, mobiele ID's of andere lokale opslag als dat wettelijk is vereist. Ook wordt toestemming vereist voor het gebruik van persoonsgegevens voor gepersonaliseerde advertenties, bijvoorbeeld als u remarketingtags op uw pagina's/in uw app heeft.
Wat moet ik vermelden in mijn toestemmingsmechanisme/-banner?
We raden u aan de checklist hierboven door te nemen om veelgemaakte fouten te voorkomen als u een toestemmingsmechanisme/-banner implementeert, aangezien deze checklist u ondersteunt bij het naleven van dit beleid.
In het beleid van Google wordt niet voorgeschreven welke keuzes moeten worden aangeboden aan gebruikers, aangezien de formulering van uw toestemmingsverklaring afhankelijk is van de manier waarop u gegevens gebruikt (bijvoorbeeld of u de gegevens gebruikt voor uw eigen doeleinden of ter ondersteuning van andere services waarmee u werkt).
Vereist Google een specifiek soort toestemmingsbericht voor apps?
Voor uitgevers, ja. Uitgevers van Google moeten een door Google gecertificeerd CMP gebruiken als ze gepersonaliseerde advertenties weergeven aan gebruikers in de EER, het Verenigd Koninkrijk en Zwitserland.
Voor advertentiepartners van Google geldt dat adverteerders voor EER-verkeer signalen naar Google moeten sturen waaruit de voorkeuren van de eindgebruiker blijken. Dit kan via de toestemmingsmodus of het TCF. Het CMP Partner Program is opgezet om adverteerders te helpen toestemmingsbanners te maken en in te stellen. Opmerking: Deze lijst is niet volledig en vermeldt dus niet alle beschikbare CMP's. Google vereist niet van adverteerders dat ze een CMP gebruiken dat deel uitmaakt van het CMP Partner Program.
Hoe moeten partners kiezen welke provider van een platform voor het beheer van toestemmingen (Consent Management Platform, CMP) ze willen gebruiken?
Voor advertentiepartners is het CMP Partner Program opgericht om adverteerders te helpen toestemmingsbanners te maken en in te stellen. Let op: Deze lijst is niet volledig en vermeldt dus niet alle beschikbare CMP's. Het gebruik van een van deze CMP's garandeert niet dat het Google-beleid voor toestemming van gebruikers in de EU wordt nageleefd, aangezien dit afhangt van de implementatie van het CMP en het specifieke toestemmingsbericht dat aan gebruikers wordt getoond (ga voor meer hulp hierbij naar het gedeelte boven 'Checklist for partners to avoid common mistakes when implementing a consent mechanism' ('Checklist voor partners om veelgemaakte fouten bij de implementatie van een toestemmingsmechanisme te voorkomen').
Voor uitgeverspartners geldt het volgende: Uitgevers zijn verplicht om een CMP te gebruiken dat is gecertificeerd door Google en is geïntegreerd met het IAB Europe Transparency and Consent Framework (TCF) als gepersonaliseerde advertenties worden weergegeven aan gebruikers in de EER, het Verenigd Koninkrijk en Zwitserland.
Welke andere partijen verzamelen de persoonsgegevens van eindgebruikers en hoe moet ik deze derden identificeren?
Veel adverteerders en uitgevers die de advertentiesystemen van Google gebruiken, gebruiken derden om advertenties weer te geven en de doeltreffendheid van hun advertentiecampagnes op websites en in apps te meten. Het beleid vereist dat u, naast Google, duidelijk elke derde partij identificeert die misschien persoonsgegevens van eindgebruikers verzamelt, verkrijgt en/of gebruikt als gevolg van uw gebruik van Google-producten.
Mijn website/app is niet geregistreerd in Europa. Is dit beleid op mij van toepassing?
Ja, als u Google-producten gebruikt die verwijzen naar dit beleid. Het beleid is alleen van toepassing op eindgebruikers die zich bevinden in de EER, het Verenigd Koninkrijk of Zwitserland.
Ik ben uitgever en geen van mijn campagnes is getarget op de EER, het Verenigd Koninkrijk of Zwitserland. Is deze toestemmingsvereiste toch op mij van toepassing?
Dit beleid is van toepassing op eindgebruikers in de EER, het Verenigd Koninkrijk en Zwitserland. Dit beleid is niet van toepassing als de Google-services zijn verwijderd van de website/uit de app voor gebruikers in deze landen.
Onze organisatie interpreteert de wetgeving anders en wil een andere aanpak gebruiken voor kennisgeving en toestemming. Is dat mogelijk?
Google streeft ernaar om voor alle services die we in Europa aanbieden te voldoen aan de AVG, inclusief voor zover deze is omgezet naar de Britse wetgeving. Dit streven en de adviezen van Europese autoriteiten op het gebied van gegevensbescherming zijn terug te vinden in ons Beleid voor toestemming van gebruikers in de EU. Hoewel partners de wetgeving op verschillende wijzen kunnen interpreteren, vereisen wij toch van onze partners dat ze voldoen aan de verwachtingen van dit beleid. We blijven de wetgeving en praktijken in de branche evalueren en zullen onze aanbevelingen en vereisten op basis daarvan updaten.
Waarom hebben we toestemming nodig voor advertentiemetingen? Is dat geen gerechtvaardigd belang?
Google gebruikt cookies en verschillende advertentie-ID's om advertentiemeting te ondersteunen. In de bestaande ePrivacy-wetgeving wordt vereist dat toestemming wordt verkregen voor dit gebruik voor gebruikers in landen waar de lokale wetgeving deze toestemming vereist. Daarom vereist ons beleid toestemming voor advertentiepersonalisatie en ook voor advertentiemeting, als dat wettelijk is vereist.
Heb ik toestemming nodig voordat advertentietags van Google worden geactiveerd of kan ik de toestemming ook achteraf vragen?
Toestemming voor gepersonaliseerde advertenties en het gebruik van cookies of andere lokale opslag moet, indien wettelijk vereist, worden verkregen voordat de advertentietags van Google worden geactiveerd op uw webpagina's of in uw apps.
Hoe zit het met het gebruik van kliktrackers?
Wanneer adverteerders ervoor kiezen technologieën voor het bijhouden van klikken van externe partijen te gebruiken (bijvoorbeeld wanneer een klik op een advertentie de browser van de gebruiker naar een externe leverancier van meetdiensten leidt op weg naar de bestemmingspagina van de adverteerder), moet dit voldoen aan de toepasselijke wetgeving. De leveranciersopties van Google voor uitgevers zijn niet ontworpen voor technologieën die klikken bijhouden.
Welke gegevens moet ik bewaren?
In ons beleid wordt vereist dat klanten gegevens over de toestemming bewaren. Dit omvat ten minste de tekst en keuzes die de gebruikers te zien kregen als onderdeel van het toestemmingsmechanisme en informatie over de datum en tijd van de positieve toestemming van de gebruiker.
Waarom wordt mijn uitgevers-CMP beschouwd als niet-conform? Ik gebruik een gecertificeerd CMP dat ook is gecertificeerd door de IAB.
Het gebruik van een gecertificeerd CMP garandeert niet dat het Google-beleid voor toestemming van gebruikers in de EU wordt nageleefd, aangezien dit afhangt van de implementatie van het CMP en het specifieke toestemmingsbericht dat aan gebruikers wordt getoond (ga voor meer hulp hierbij naar het gedeelte boven 'Checklist om veelgemaakte fouten bij de implementatie van een toestemmingsmechanisme te voorkomen').
Waarom wordt mijn website/app beschouwd als niet-conform? Ik gebruik een partner-CMP van Google?
Voor advertentiepartners geldt dat het CMP Partner Program is ontwikkeld om adverteerders te helpen toestemmingsbanners op websites/in apps te maken en in te stellen, en kan helpen bij de integratie van de toestemmingsmodus. Het gebruik van een van deze CMP's garandeert niet dat het Google-beleid voor toestemming van gebruikers in de EU wordt nageleefd, aangezien dit afhangt van de implementatie van het CMP en het specifieke toestemmingsbericht dat aan gebruikers wordt getoond (ga voor meer hulp hierbij naar het gedeelte boven 'Checklist om veelgemaakte fouten bij de implementatie van een toestemmingsmechanisme te voorkomen').
Moet ik me houden aan dit beleid als ik producten gebruik die Privacy Sandbox API's gebruiken?
Ja. Als u Privacy Sandbox API's (Topics, Protected Audience en Attribution Reporting) gebruikt, gebruikt u misschien persoonsgegevens voor advertentiepersonalisatie en/of toegang tot lokale opslag. Het Beleid voor toestemming van gebruikers in de EU vereist dat u geldige gebruikerstoestemming voor deze acties krijgt op dezelfde manier waarop u op dit moment vertrouwt op toestemming voor advertentiepersonalisatie en het gebruik van niet-essentiële lokale opslag, voor zover dit wettelijk vereist is. Meer informatie over de Privacy Sandbox.
Is voor adverteerders een geldig toestemmingssignaal (via het TCF of via de toestemmingsmodus) vereist voor gebruikers in het Verenigd Koninkrijk en Zwitserland?
Nee, we verwachten niet van adverteerders dat ze een geverifieerd toestemmingssignaal naar Google versturen voor verkeer uit het Verenigd Koninkrijk of uit Zwitserland (via de toestemmingsmodus of het TCF). Opmerking: De vereiste om een geverifieerd toestemmingssignaal te versturen, is wel van toepassing op adverteerders met verkeer van eindgebruikers uit de Europese Economische Ruimte (EER). We raden aan samen te werken met een CMP-partner van Google voor hulp bij de implementatie. Opmerking: Deze lijst is niet volledig en vermeldt dus niet alle beschikbare CMP's. Google vereist niet van adverteerders dat ze een CMP gebruiken dat deel uitmaakt van het CMP Partner Program.
Updates van dit beleid
Het oorspronkelijke Google-beleid voor toestemming van gebruikers in de EU is op 25 mei 2018 geüpdatet. Op 31 oktober 2019 zijn kleine wijzigingen aangebracht om de veranderende relatie van het Verenigd Koninkrijk met de Europese Unie te weerspiegelen.
In juli 2024 hebben we het Beleid voor toestemming van gebruikers in de EU geüpdatet en uitgebreid, zodat het ook van toepassing is op Zwitserland.
Er worden op dit moment geen verdere wijzigingen in het beleid verwacht. Zoals hierboven aangegeven blijven we wel de wetgeving en praktijken in de branche evalueren en updaten we onze aanbevelingen en vereisten op basis daarvan.