Waarom websitebezoekers herkennen niet altijd mag onder de AVG
De AVG stelt strikte eisen aan het verzamelen en verwerken van persoonsgegevens. Zodra je data verzamelt die herleidbaar is naar een individu, moet je aan AVG-eisen voldoen. In veel gevallen betekent dit: expliciete toestemming vragen.
Het probleem met traditionele tracking tools? Ze gebruiken cookies die het gedrag van individuele bezoekers volgen. Google Analytics, heatmap tools, retargeting pixels – ze verzamelen allemaal persoonsgegevens. Cookiebanners en consent zijn dan verplicht.
Maar er is een belangrijk onderscheid tussen persoons- en bedrijfsgegevens. Bedrijfsidentificatie op basis van business data valt onder een andere categorie. Je identificeert de organisatie die je website bezoekt, niet de individuele medewerker.
Persoonsgegevens zoals naam, emailadres of het IP-adres van een individu vallen onder de AVG en vereisen toestemming. Bedrijfsdata zoals organisatienaam, sector, omvang en het IP-range van een bedrijfsnetwerk zijn business data. Deze vallen onder gerechtvaardigd belang.
Deze methodes zijn verboden zonder expliciete toestemming
Laten we helder zijn over wat NIET mag zonder toestemming:
Tracking cookies volgen het gedrag van individuele bezoekers over tijd en websites heen. Ze vallen altijd onder de cookiewet en AVG. Zonder consent zijn ze verboden.
Device fingerprinting combineert unieke kenmerken van een apparaat om een individuele gebruiker te identificeren. Browser type, schermresolutie, geïnstalleerde fonts – dit wordt gezien als tracking van personen en is verboden zonder toestemming.
Cross-site tracking volgt gebruikers over meerdere websites. Advertising networks en sociale media platformen doen dit vaak. Ook dit vereist expliciete toestemming.
Verzamelen van PII (Personally Identifiable Information) zoals namen, emailadressen, telefoonnummers of individuele IP-adressen mag alleen met toestemming.
Al deze methodes hebben één ding gemeen: ze richten zich op het identificeren of volgen van individuele personen. En dat is precies waar de AVG bescherming tegen biedt.
AVG-proof alternatieven: zo identificeer je bedrijven wél compliant
Er bestaat een alternatief dat volledig AVG-compliant is: cookieless bedrijfsidentificatie. In plaats van individuele bezoekers te volgen, identificeer je de organisatie waarvan de bezoeker afkomstig is.
Hoe werkt dit? Door gebruik te maken van netwerk-metadata en IP-ranges. Bedrijven gebruiken vaak vaste IP-ranges voor hun internetverkeer. Deze ranges zijn openbaar en gekoppeld aan de organisatie, niet aan individuen. Door deze business data te koppelen aan een bedrijvendatabase, kun je zien welke bedrijven je website bezoeken.
De rechtsbasis hiervoor is Artikel 6(1)(f) AVG: gerechtvaardigd belang. Omdat je alleen bedrijfsgegevens verzamelt en geen individuele personen trackt, heb je geen expliciete toestemming nodig. Wel moet je transparant zijn over je dataverzameling en een opt-out mogelijkheid bieden.
De kernvoorwaarden:
- Verzamel ALLEEN business data (bedrijfsnaam, sector, locatie)
- Gebruik GEEN cookies of fingerprinting
- Identificeer geen individuele personen
- Host je data binnen de EU
- Zorg voor een heldere privacy policy
- Bied een opt-out mogelijkheid
Deze aanpak geeft je waardevolle inzichten zonder AVG-risico’s. Je ziet welke bedrijven interesse tonen, welke pagina’s ze bezoeken en hoe vaak ze terugkomen. Perfect voor B2B leadgeneratie.
Leadinfo: 100% AVG-proof websitebezoeker-herkenning
Leadinfo is ontwikkeld met privacy by design. De tool identificeert bedrijven – nooit individuen.
0 fingerprinting, 0 persoonsgegevens. Leadinfo gebruikt geen fingerprinting technologie. Er worden géén individuele bezoekers gevolgd of geïdentificeerd. Het systeem kan volledig cookieloos ingezet worden.
Bedrijfsidentificatie via IP-ranges. Leadinfo analyseert het IP-adres waarvan een bezoeker afkomstig is. Dit IP-adres wordt gekoppeld aan de IP-range van een bedrijf. Vervolgens worden bedrijfsgegevens opgehaald: naam, sector, omvang, locatie.
ISO 27001:2022 gecertificeerd. Leadinfo is door LRQA gecertificeerd volgens de ISO 27001:2022 standaard voor informatiebeveiliging. Jaarlijkse audits garanderen naleving.
EU-only hosting. Alle data wordt opgeslagen in EU-datacenters (Ierland en Frankfurt). Er vindt geen doorgifte naar de VS plaats. Leadinfo is volledig Schrems II-compliant.
35-40% identificatiegraad. Leadinfo haalt een identificatiegraad van 35-40% in Europa – de hoogste in de markt. Van elke 100 bedrijfsbezoekers worden er 35 tot 40 geïdentificeerd met naam en gegevens.
Ontdek hoe je deze geïdentificeerde bedrijven omzet in klanten.
Praktische checklist: is jouw tool AVG-compliant?
Gebruik deze checklist om te beoordelen of jouw huidige identificatie tool AVG-proof is:
Gebruikt de tool cookies? Als het antwoord ja is, moet je een cookiebanner en consent vragen. Cookieloos is altijd beter voor compliance én gebruikerservaring.
Verzamelt het individuele persoonsgegevens? Als de tool namen, emailadressen of individuele IP’s verzamelt, gelden strikte AVG-vereisten. Business data only is veiliger.
Is de data processor gevestigd buiten de EU? Tools met Amerikaanse of niet-EU servers brengen Schrems II-risico’s met zich mee. Dit kan tot boetes leiden. EU-only hosting is de veilige keuze.
Heeft de tool ISO 27001 of vergelijkbare certificering? Informatiebeveiliging is cruciaal. ISO 27001 toont aan dat de tool processen en systemen heeft voor dataveiligheid.
Biedt de tool opt-out voor bedrijven? Bedrijven moeten kunnen aangeven dat ze niet geïdentificeerd willen worden. Een duidelijke opt-out pagina is essentieel.
Als je huidige tool op één of meerdere punten faalt, loop je AVG-risico’s. Bekijk de tarieven van AVG-proof alternatieven om te vergelijken.
Veelgestelde vragen
Mag je websitebezoekers herkennen zonder cookies onder de AVG? Ja, mits je alleen bedrijfsgegevens verzamelt en geen individuele persoonsgegevens. Leadinfo gebruikt cookieless technologie op basis van netwerk-metadata en valt onder gerechtvaardigd belang (Artikel 6(1)(f) AVG). Omdat bedrijven als juridische entiteiten worden beschouwd en niet als natuurlijke personen, is identificatie op bedrijfsniveau toegestaan zonder expliciete toestemming.
Wat is het verschil tussen bedrijfsdata en persoonsgegevens? Persoonsgegevens zijn gegevens die herleidbaar zijn naar een individuele persoon: naam, emailadres, individueel IP-adres, telefoonnummer. Bedrijfsdata gaat over de organisatie als geheel: bedrijfsnaam, sector, vestigingslocatie, aantal medewerkers, IP-range van het bedrijfsnetwerk. Alleen persoonsgegevens vallen onder de stricte AVG-vereisten.
Is IP-adres tracking toegestaan onder de AVG? Het individuele IP-adres van een gebruiker is een persoonsgegeven en vereist toestemming voor tracking. Leadinfo gebruikt echter IP-ranges op bedrijfsniveau. Deze ranges zijn business data en identificeren de organisatie, niet de persoon. Dit valt onder gerechtvaardigd belang en vereist geen expliciete toestemming. Het IP-adres zelf wordt niet opgeslagen.
Waar wordt de data van Leadinfo opgeslagen? Alle data wordt opgeslagen in EU-datacenters, specifiek in Ierland (AWS eu-west-1) en Frankfurt (AWS eu-central-1). Er vindt geen doorgifte naar de Verenigde Staten of andere landen buiten de EU plaats. Leadinfo voldoet daarmee volledig aan de Schrems II-vereisten en AVG-richtlijnen voor internationale datatransfers.
Heeft Leadinfo ISO-certificering? Ja, Leadinfo is ISO 27001:2022 gecertificeerd door LRQA. Dit is de internationale standaard voor informatiebeveiliging management systemen. De certificering wordt jaarlijks gecontroleerd door een onafhankelijke surveillance audit om naleving te garanderen. Meer informatie vind je op de AVG pagina.
