Je hebt een affiliate link van Bol.com of Awin op je blog gezet, de disclaimer erbij dat je commissie ontvangt, en je denkt: geregeld. Tot iemand vraagt: “Ben jij eigenlijk de verwerkingsverantwoordelijke voor de persoonsgegevens die via die link worden verzameld?” De meeste bloggers hebben daar geen antwoord op klaarliggen. Dit artikel legt uit wat er juridisch gezien écht gebeurt op het moment dat jouw lezer op die link klikt.

De klik als startpunt: wat er precies gebeurt

Op het moment dat een bezoeker op jouw affiliate link klikt, gebeurt er meer dan een doorverwijzing naar een webshop. De meeste affiliate links werken via een redirect, waarbij de bezoeker eerst langs een trackingserver gaat voordat hij op de bestemmingspagina belandt. Tijdens die milliseconden worden er cookies geplaatst, een unieke klik-ID opgeslagen en het IP-adres geregistreerd.

Bij Awin ziet dat er zo uit: jouw link bevat een parameter zoals ?awinmid=12345&awinaffid=67890. De server van Awin ontvangt de klik, plaatst een cookie op het apparaat van je bezoeker en stuurt hem dan door naar de webshop. Daisycon werkt vergelijkbaar. Amazon Associates gebruikt eigen tracking via zijn domein. Al deze partijen ontvangen op dat moment persoonsgebonden data, zoals het IP-adres, tijdstip, apparaatinformatie en het cookie-ID.

De vraag is dus niet of er data stroomt bij een affiliate klik, maar wie die data ontvangt, met welk doel, en wie daarvoor de juridische verantwoordelijkheid draagt.

Drie rollen, en welke past bij jou

De AVG kent drie relevante rollen in de gegevensverwerking:

  • Verwerkingsverantwoordelijke: degene die het doel en de middelen van de verwerking bepaalt.
  • Verwerker: degene die namens de verwerkingsverantwoordelijke gegevens verwerkt, op basis van een verwerkersovereenkomst.
  • Doorgeefluik: geen officiële AVG-term, maar in de praktijk de rol waarbij jij technisch gezien iets mogelijk maakt zonder dat je zelf de data verwerkt of opslaat.

Voor de gemiddelde blogger met affiliate links geldt dit: als jij alleen een link plaatst naar een netwerk als Awin of een webshop als Bol.com, en je hebt zelf geen toegang tot de klikdata of klantgegevens, dan ben je juridisch gezien meer een doorgeefluik. Je bent dan niet de verwerkingsverantwoordelijke voor wat Awin of Bol.com met die data doet. Dat zijn zij zelf.

Maar let op: je hebt alsnog verplichtingen, ook als doorgeefluik. Meer daarover verderop.

Wanneer jij wél de verwerkingsverantwoordelijke bent

Er zijn situaties waarbij jij als blogger of websitebeheerder wél degene bent die de verwerkingsverantwoordelijkheid draagt. De signalen die dat verraden:

  • Je gebruikt eigen tracking naast het affiliate netwerk, bijvoorbeeld via een plugin als ThirstyAffiliates of Pretty Links, die klikken in jouw eigen database opslaat.
  • Je plaatst first-party cookies die bijhouden welke affiliate links een bezoeker heeft aangeklikt op jouw site.
  • Via de affiliate-flow krijgen bezoekers een e-mail optin te zien die jij zelf beheert, of worden ze ingeschreven op jouw nieuwsbrief.
  • Je hebt via het netwerk inzicht in klantdata: je ziet niet alleen commissies, maar ook orderdetails of e-mailadressen van kopers.

Een concreet voorbeeld: stel je runt een financiële vergelijkingssite en je gebruikt Daisycon voor affiliate links naar hypotheekaanbieders. Als je daarnaast een eigen aanvraagformulier hebt ingebouwd waarbij je de leaddata van invullers ontvangt, ben je voor die data duidelijk verwerkingsverantwoordelijke. Je bepaalt immers zelf welke gegevens worden gevraagd en wat ermee gebeurt.

Wanneer jij géén verwerkingsverantwoordelijke bent, maar toch verplichtingen hebt

De meeste Nederlandse bloggers vallen in de categorie “niet de verwerkingsverantwoordelijke”, maar denken daarmee van hun informatieplicht af te zijn. Dat klopt niet.

Op grond van artikel 13 en 14 van de AVG moet jij je bezoekers informeren over verwerkingen die plaatsvinden via jouw website, ook als die verwerkingen door derden worden uitgevoerd. Als Awin via jouw site een cookie plaatst bij de lezer, ben jij degene die de lezer hierover moet informeren, omdat de verwerking via jouw platform plaatsvindt.

Dat betekent dus: in jouw privacyverklaring moet je uitleggen dat je affiliate links gebruikt, welke partijen er daarbij betrokken zijn, en waar de bezoeker meer informatie kan vinden over de verwerking door die partijen.

Wat jouw privacyverklaring concreet moet bevatten

Als je affiliate links gebruikt, heeft jouw privacyverklaring specifieke aanvullingen nodig. Dit zijn de onderdelen die er minimaal in moeten staan:

  • Welke netwerken: noem ze bij naam. Awin, Daisycon, Tradedoubler, Amazon Associates, of welke andere partijen je gebruikt.
  • Welke data: beschrijf welke gegevens worden verzameld bij een klik, zoals klik-ID, IP-adres, cookie-ID en tijdstip van de klik.
  • Het doel: het bijhouden van commissies voor jou als affiliate publisher en het voorkomen van klikfraude.
  • De grondslag: voor de meeste affiliate tracking is dit het gerechtvaardigd belang van het affiliate netwerk of de webshop, of toestemming via jouw cookiebanner.
  • Bewaartermijn: dit verschilt per netwerk. Awin hanteert doorgaans een cookie-levensduur van 30 dagen; Amazon Associates 24 uur. Vermeld dit zo specifiek mogelijk, of verwijs naar de privacyverklaring van het betreffende netwerk.
  • Doorgifte buiten de EER: Amazon Associates verwerkt data in de VS. Dit moet je expliciet vermelden, inclusief de juridische grondslag voor die doorgifte, zoals Standard Contractual Clauses.

Jouw affiliate-setup doorlichten in vier stappen

Stap 1: Inventariseer je netwerken. Maak een lijst van alle affiliate programma’s waarbij je bent aangesloten. Kijk niet alleen naar de grote netwerken, maar ook naar directe affiliate programma’s van webshops die je eigen tracking-script vereisen.

Stap 2: Bepaal wat er via jouw site loopt. Controleer welke scripts of pixels er actief zijn op jouw site. Een plugin als “What’s Running” of een blik in de browserinspector kan dat snel duidelijk maken. Sla dit op als bewijs in jouw verwerkingsregister.

Stap 3: Beoordeel je eigen rol. Gebruik de checklist uit het vorige onderdeel om te bepalen of je verwerkingsverantwoordelijke bent of niet. Raadpleeg bij twijfel de privacyverklaring en verwerkersovereenkomst van het affiliate netwerk zelf.

Stap 4: Werk je privacyverklaring bij. Voeg per netwerk de relevante informatie toe. Zorg dat je cookiebanner de tracking door affiliate netwerken meeneemt als deze voor toestemming kwalificeert.

Veelgemaakte omissies bij Nederlandse bloggers

Bij het doornemen van privacyverklaringen van Nederlandse bloggers en contentmakers valt een aantal omissies steeds terug te zien. De meest voorkomende: affiliate marketing wordt helemaal niet genoemd. Er staat wel iets over Google Analytics, maar Awin of Daisycon ontbreken volledig.

Een andere veelgemaakte fout is het vermelden van “affiliate links” alleen in de disclaimer of het colofon, zonder een inhoudelijke beschrijving van de gegevensverwerking in de eigenlijke privacyverklaring. Die disclaimer is voor transparantie richting je publiek; de privacyverklaring is voor AVG-conformiteit.

Tot slot: vergeten te vermelden dat Amazon data buiten de EER verwerkt. Amazon Associates maakt gebruik van Amerikaanse servers, en die doorgifte vereist een expliciete vermelding plus de juridische grondslag.

Checklist: is jouw privacyverklaring affiliate-proof?

  • Heb je alle affiliate netwerken bij naam genoemd in je privacyverklaring?
  • Heb je beschreven welke data bij een klik wordt verzameld?
  • Heb je de bewaartermijn per netwerk vermeld (of een link naar hun beleid)?
  • Heb je aangegeven of er data buiten de EER wordt doorgegeven (met name Amazon)?
  • Is jouw cookiebanner up-to-date met betrekking tot affiliate tracking cookies?
  • Heb je jouw eigen rol (verwerkingsverantwoordelijke of niet) correct bepaald en gedocumenteerd?
  • Als je eigen kliktracking gebruikt: heb je een verwerkersovereenkomst met die toolprovider?

De meeste bloggers zijn geen verwerkingsverantwoordelijke voor wat Awin of Bol.com met data doet na de klik. Maar je bent wel verantwoordelijk voor het informeren van je bezoekers, en dat vraagt om een privacyverklaring die klopt. Gebruik de generator op deze site om jouw affiliate marketing privacyverklaring AVG-conform op te stellen, zonder dat je er een jurist voor nodig hebt.