Linkverkorter en AVG — wat je moet weten voordat je een link in een nieuwsbrief plaatst

Eén klik op een verkorte link betekent gemiddeld vier gegevens die stilletjes worden opgeslagen: IP-adres, browser, systeem, bron van binnenkomst. Vier. Vermenigvuldig dit nu met 3000 nieuwsbriefabonnees die op zondagochtend op de link naar je aanbod klikken. Je hebt plotseling een database van enkele duizenden records waar je nog nooit van hebt gehoord.

En dit is precies het moment waarop de linkverkorter en de AVG niet langer een theoretisch probleem voor juristen zijn, maar het jouw probleem wordt.

Want een IP-adres in de Unie een persoonsgegeven is. Niet "bijna", niet "in sommige gevallen". Een persoonsgegeven. Als je een verkorte link gebruikt in een bedrijfscampagne, ben je als administrator verantwoordelijk voor wat er gebeurt met het IP van de mensen die erop klikken.

Wat een verkapper echt ziet wanneer iemand klikt

De lijst is korter dan het lijkt, maar voldoende dicht:

• IP van de bezoeker (oftewel die betreffende persoon, zoals hierboven vermeld),
• user agent, oftewel de browser en het systeem,
• referer — van welke pagina de toegang kwam,
• geschatte locatie, berekend op basis van dit IP.

Dat is genoeg om mooie klikstatistieken te maken. Dat is ook genoeg om verstrikt te raken in verplichtingen waar de meeste mensen niet aan denken wanneer ze snel een link plakken voor het verzenden.

Waar deze gegevens terechtkomen (en waarom dit belangrijker is dan de statistieken zelf)

Hier is de eigenlijke addertje onder het gras. Veel bekende verkorters zijn bedrijven van buiten Europa, meestal Amerikaans. Je klikt op "verkort", plakt de link naar de nieuwsbrief, en de gegevens over wie, wanneer en vanwaar er geklikt is, gaan de oceaan over.

Twee problemen, één na het ander.

Eerste: datatransfer buiten de EU heeft een juridische basis nodig, en de grondslag voor deze transfer kan wankel zijn. De regels zijn al meerdere malen gewijzigd en er is niets dat erop wijst dat dit het einde is.

Tweede: gegevens vallen onder een andere rechtsorde. Als Europese administrator heb je er simpelweg geen controle over. Waar de server zich fysiek bevindt, houdt op een saai detail uit de documentatie te zijn. Het wordt een beslissing over wel of niet AVG-compliant te zijn.

Wat het risico reëel vermindert

Drie dingen. Zonder magie.

Server in de EU. Klikgegevens verlaten Europa niet, dus het hele onderwerp van trans-Atlantische overdracht valt simpelweg af. Minder om te vertalen, minder om in de gaten te houden.

Minder verzamelde gegevens. Hoe minder de tool vasthoudt, hoe minder je aan je hoofd hebt. Het is goed als het IP gehasht is in plaats van in onbewerkte vorm — dan zie je statistieken, maar sla je niet het ruwe adres van een specifiek persoon op. Dit is precies de functie die we hebben ingebouwd in cutty.dev, want zonder deze is de rest slechts half werk.

Geen cross-site tracking. Een browser die het profiel van de bezoeker niet koppelt en gegevens niet doorverkoopt, is één probleem minder op de lijst.

In de praktijk, oftewel wat te doen op maandagochtend

Het gaat er niet om om te stoppen met het inkorten van links. Doe het gewoon. Het gaat er alleen om dat je bewust een tool kiest, en niet de eerste de beste uit de zoekmachine.

1. Controleer waar de server staat en wie dit überhaupt beheert.
2. Controleer wat er wordt opgeslagen en hoe lang.
3. Als je gegevens van bezoekers verzamelt, voeg dan een linkverkorter toe aan je privacybeleid. Eén zin. Het doet echt geen pijn.

Dat is alles. Dit is geen juridisch advies (ik ben niet je advocaat), maar dit is de fundering waarop compliance veel gemakkelijker wordt opgebouwd dan wanneer gegevens vanaf de eerste klik naar de andere kant van de oceaan verdwijnen.

En als je hier slechts één zin van zou moeten onthouden: voordat je een link naar een nieuwsbrief plaatst, controleer waar het IP-adres van je lezers terechtkomt. Dit is een vraag voor later die veel meer toekomstige zenuwen bespaart.