Cara Memilih Alat Pengujian A/B yang Sesuai dengan Privasi (Panduan Kami untuk Pengoptimal Bahasa Jerman)

Konsumen mendapatkan lebih banyak kesadaran dan kontrol seputar informasi pribadi mereka, karena undang-undang privasi mulai berlaku di seluruh dunia. Uni Eropa, misalnya, meloloskan Peraturan Perlindungan Data Umum (GDPR) yang penting pada tahun 2018, untuk memperketat peraturan privasi data dan California memberlakukan Undang-Undang Privasi Konsumen California (CCPA) pada tahun 2020.

Perusahaan pengujian A/B sekarang mengambil tindakan ekstra untuk mematuhi aturan baru ini. Misalnya, banyak yang meminta persetujuan pengguna sebelum menambahkan mereka ke milis, memberikan pernyataan dan pengungkapan privasi yang mudah diakses, dan memberi pengguna kemampuan untuk mengakses, mengubah, atau menghapus informasi pribadi mereka.

Meskipun kurangnya privasi digital di dunia saat ini, Jerman tetap berkomitmen untuk melindungi data pribadi warganya, dengan undang-undang seperti Undang-Undang Perlindungan Data Federal Jerman (BDSG) yang dulu dianggap sebagai salah satu yang paling ketat di dunia.

Panduan berikut akan memandu Anda melalui setiap undang-undang privasi data di Jerman, sehingga Anda dapat membuat keputusan yang paling tepat saat memilih alat pengujian A/B.

Kriteria Seleksi untuk Privasi Data

Undang-undang perlindungan data, yang pertama kali diadopsi di Jerman pada tahun 1970, telah berkembang menjadi hak asasi manusia utama, didukung oleh otoritas perlindungan data dari 16 negara bagian dan federasi Jerman. Penting untuk mematuhi undang-undang berikut saat memilih platform pengujian A/B:

• Peraturan Perlindungan Data Umum (GDPR) UE (2018)
  
  
  • Berlaku untuk melindungi data warga negara Uni Eropa.
• Undang-Undang Perlindungan Data Federal (BDSG) (2018)
  
  
  • Mengubah GDPR, memungkinkan pengecualian untuk hak individu saat menangani data pribadi karyawan.
• Undang-Undang Federal tentang Peraturan Perlindungan Data dan Privasi di Telekomunikasi dan Telemedia (TTDSG) (2021)
  
  
  • Menggabungkan Undang-Undang Telekomunikasi (1996) dan Undang-Undang Telemedia (2007), yang melarang akses ke data telekomunikasi (seperti akun email bisnis, telepon bisnis, atau riwayat peramban internet) dan menetapkan persyaratan izin cookie sesuai dengan Pasal 5(3) dari ePrivasi.
• ePrivacy (Hukum Cookie) (2002)
  
  
  • Memastikan "privasi dan kerahasiaan, sehubungan dengan pemrosesan data pribadi di sektor komunikasi elektronik".

Kriteria Berikut Akan Menjadi Panduan saat Memilih Platform Pengujian A/B yang Sesuai di Jerman

1. Bagaimana Perusahaan Pengujian A/B Mempersiapkan Kepatuhan Data?

Bagaimana mereka mempersiapkan undang-undang GDPR, BDSG, dan TTDSG?

Setelah Anda mempersempit pilihan utama Anda, pastikan mereka dapat menjelaskan secara singkat prosedur, area mana yang terlibat, dan tindakan mana yang dimulai. Jika tidak semua tindakan yang direncanakan telah dilaksanakan sepenuhnya, mereka harus dapat menjelaskan status pelaksanaannya.

Ini akan memberi Anda gambaran umum tentang pendekatan yang digunakan, serta penilaian mereka sendiri mengenai posisi mereka tentang bagaimana menerapkan berbagai undang-undang.

Pertanyaan umum yang harus dijawab adalah

1. Apakah semua departemen penting perusahaan terlibat yang bekerja dengan data pribadi (misalnya sumber daya manusia, TI, dukungan penjualan/pelanggan, pemasaran)?
2. Apakah ada bukti bahwa pelatihan tentang undang-undang ini telah dilakukan?
3. Apakah semua tindakan yang direncanakan oleh perusahaan telah dilaksanakan?

Misalnya, Convert memposting peta jalan publik, di mana kami dengan jelas menyatakan tindakan mana yang diambil untuk mematuhi GDPR (per setiap artikel diperlukan).

Peta jalan serupa harus ada untuk setiap platform pengujian A/B yang Anda pertimbangkan.

2. Apakah Alat Pengujian A/B Memiliki Catatan Aktivitas Pemrosesan?

Penting bahwa alat yang Anda pilih telah menyertakan semua operasi bisnis pemrosesan data pribadi mereka dalam daftar aktivitas pemrosesan.

Tanyakan pada diri Anda hal-hal berikut:

1. Apakah jelas bahwa catatan kegiatan pemrosesan ditinjau dan diperbarui secara berkala jika diperlukan?
2. Apakah catatan ini sesuai dengan persyaratan hukum Pasal 30 GDPR?
   
   
   1. Apakah mereka memberikan nama dan detail kontak orang yang bertanggung jawab?
   2. Apakah tujuan pemrosesan dinyatakan?
   3. Apakah kategori orang yang bersangkutan (misalnya karyawan, pelanggan, dll.) dan kategori data pribadi (misalnya data induk karyawan, data pemohon, data kontak pelanggan, data kelayakan kredit, dll.) dijelaskan?
   4. Apakah pernyataan dibuat tentang transfer data pribadi ke negara ketiga atau ke organisasi internal?
   5. Apakah tenggat waktu yang diharapkan untuk penghapusan berbagai kategori data ditunjukkan?

Di bawah ini adalah contoh record yang disimpan Convert untuk setiap aktivitas pemrosesan data.

3. Atas Dasar Hukum Apa Alat Pengujian A/B Memproses Data Pribadi?

Menurut Pasal 6 GDPR, harus ada dasar hukum yang digunakan perusahaan untuk memproses data pribadi.

Ajukan pertanyaan berikut:

1. Apakah dasar hukum disebutkan dalam Kebijakan Privasi mereka?
2. Apakah pernyataan persetujuan mudah dipahami, (yaitu apakah isi subjek data dibuat jelas dan sederhana saat menjelaskan pemberian persetujuan)?

Ada beberapa dasar hukum yang diandalkan oleh Convert, yang dipublikasikan dalam kebijakan privasi kami. Mereka berpusat di sekitar GDPR dan termasuk

• Kontrak : Kami memenuhi tanggung jawab kontraktual kami kepada Anda (ketika Anda mendaftar sebagai pelanggan, membeli dari kami atau menggunakan layanan kami, misalnya).
• Persetujuan : Pelanggan harus setuju sebelum kami dapat menggunakan informasi pribadi mereka dengan cara tertentu (yaitu saat mengaktifkan pelacakan lintas-domain, menambahkan beberapa domain dalam suatu proyek, mengaktifkan segmentasi pemirsa, atau meminta pencatatan tambahan).
• Kewajiban hukum : Kami secara hukum diwajibkan untuk memberikan dokumen tertentu (yaitu salinan faktur dan informasi tentang pembayaran).
• Kepentingan yang sah: Kami hanya menggunakan data pribadi Anda dengan cara yang wajar Anda harapkan, dengan dampak privasi yang minimal, atau jika ada alasan yang meyakinkan.

4. Apakah Alat Pengujian A/B Memiliki Penilaian Dampak Perlindungan Data ?

DPIA (penilaian dampak perlindungan data) membantu organisasi dalam mengidentifikasi, menilai, dan mengurangi atau meminimalkan risiko privasi yang terkait dengan pemrosesan data. Mereka sangat penting ketika memperkenalkan teknik, sistem, atau teknologi pemrosesan data baru.

DPIA juga mempromosikan prinsip akuntabilitas karena mereka membantu organisasi dalam mematuhi standar GDPR dan menunjukkan bahwa langkah-langkah yang memadai telah diambil untuk memastikan kepatuhan.

Tahukah Anda bahwa gagal melakukan DPIA saat diperlukan merupakan pelanggaran GDPR yang dapat mengakibatkan denda hingga 2% dari pendapatan global tahunan organisasi atau €10 juta, mana saja yang lebih tinggi?

Sebagai bagian dari Proyek GDPR Convert, Convert mengembangkan panduan untuk staf dan template yang akan digunakan untuk melaksanakan DPIA. Ini berfungsi untuk memastikan bahwa operasi pemrosesan dengan risiko tinggi yang diharapkan untuk hak dan kebebasan mereka yang terkena dampak diidentifikasi.

5. Apakah Petugas Perlindungan Data Ditunjuk?

Tanggung jawab utama Data Protection Officer (DPO) adalah untuk memastikan bahwa data pribadi karyawan organisasinya, pelanggan, penyedia, atau individu lain (juga dikenal sebagai subjek data) diproses sesuai dengan aturan perlindungan data yang berlaku. GDPR mewajibkan setiap organisasi dan badan UE untuk membentuk DPO.

Untuk memperjelas kualifikasi Petugas Perlindungan Data perusahaan dan bagaimana mereka diintegrasikan ke dalam organisasi, tanyakan pada diri Anda:

1. Bisakah pengetahuan spesialis DPO saat ini dan yang memadai disimpulkan dari dokumen? (Nilai pelatihan dan pendidikan lanjutan mereka dalam perlindungan data, tingkat/durasi pengalaman mereka dalam perlindungan data, pelatihan profesional mereka (misalnya pengacara, ilmuwan komputer), dan partisipasi mereka dalam jaringan perlindungan data yang mapan.
2. Apakah ada publikasi rincian kontak DPO? di situs web perusahaan? Apakah detail kontak DPO mudah ditemukan di sana?

6. Bagaimana Perusahaan Pengujian A/B Memastikan Melaporkan Pelanggaran Perlindungan Data kepada Otoritas Pengawas secara Tepat Waktu?

Setiap organisasi Jerman diwajibkan, berdasarkan Pasal 33 GDPR, untuk menjaga keamanan dan keamanan data pribadi dan untuk menanggapi dengan tepat, dalam waktu 72 jam, terhadap pelanggaran keamanan data (yang dapat mencakup pelaporan pelanggaran kepada Petugas Perlindungan Data dalam beberapa kasus).

Untuk menghindari bahaya cedera pada individu, kerusakan pada bisnis operasional, dan biaya keuangan, hukum, dan reputasi yang parah, sangat penting untuk bertindak cepat jika terjadi pelanggaran keamanan atau kerahasiaan data yang sebenarnya, mungkin, atau dicurigai.

Saat mencari alat pengujian A/B yang sesuai dengan privasi, ajukan pertanyaan berikut:

1. Apakah proses pelaporan pelanggaran perlindungan data telah disajikan dengan cara yang dapat dipahami?
2. Apakah tanggung jawab (siapa melakukan apa) diatur dengan jelas dalam proses pelaporan?
3. Apakah periode 72 jam sangat diperhitungkan?
4. Apakah jelas bahwa karyawan telah disadarkan tentang proses ini?

Convert memiliki Kebijakan Eskalasi Pelanggaran Data Pribadinya sendiri yang dapat diminta di [email protected].

7. Di mana Alat Pengujian A/B Menyimpan Data?

Austria baru-baru ini melarang penggunaan Google Analytics karena data mereka disimpan di Amerika Serikat, di mana perlindungan privasi lebih terbatas. Menemukan platform pengujian A/B yang menyimpan data secara legal di UE adalah taruhan teraman Anda.

Anda harus dapat mengetahui di mana data disimpan dalam kebijakan privasi organisasi. Secara umum, informasi penyimpanan data terletak di bagian "sub-prosesor" dan "layanan pihak ketiga". Jika Anda tidak dapat menemukan informasi ini dengan mudah atau tidak jelas, hubungi organisasi untuk klarifikasi.

8. Apakah Alat Pengujian A/B Menghormati Pengaturan Jangan Lacak (DNT)?

Untuk pengguna yang mengkhawatirkan privasi mereka, beberapa browser memiliki fitur "Jangan Lacak", yang dapat diaktifkan untuk memberi tahu situs web dan alat analitik untuk berhenti melacak perilaku pengguna.

Pada prinsipnya, pengaturan ini harus mencegah browser pengunjung menerima "cookies" yang menginformasikan pemasar dan bisnis lain tentang kebiasaan dan minat online mereka. Namun, situs web secara teknis tidak terikat oleh pembatasan ini. Oleh karena itu, penting untuk menemukan alat pengujian A/B yang peduli dengan privasi pengguna dan bekerja lebih keras untuk memastikan sistem mereka mematuhi persyaratan ini.

Konversi mendukung Jangan Lacak karena kami yakin sangat penting untuk memiliki metode sederhana untuk mengontrol bagaimana informasi pengguna akhir digunakan. Kami menganggap serius DNT sebagai sinyal dari Anda dan pengguna akhir Anda tentang bagaimana kami harus menggunakan data.

Konversi memberi pengguna opsi berikut:

1. Jangan Lacak (Menyisih dari pelacakan)
2. Lacak (Ikut serta dalam pelacakan)
3. Null (Tidak ada preferensi)

Secara default, browser web menggunakan "Null", yang menunjukkan bahwa pengguna akhir belum menyatakan apakah mereka ingin dilacak atau tidak. Ketika "Jangan Lacak" dipilih, Konversi tidak memuat skrip/pengalaman, dan sebaliknya memuat dua opsi lainnya.

Di Konfigurasi Proyek Anda, ada baris yang mengatakan: "Hormati Pengaturan Peramban Jangan Lacak", yang dimatikan secara default, tetapi dapat diubah menggunakan menu tarik-turun.

9. Apakah Alat Pengujian A/B Memungkinkan Pelacakan Anonim?

Anonimisasi memungkinkan alat pengujian A/B untuk mematuhi GDPR, sambil tetap melacak data untuk pelaporan. Menurut pedoman GDPR, alat pengujian A/B dapat mengumpulkan data tertentu asalkan "diberikan anonim sedemikian rupa sehingga subjek data tidak atau tidak lagi dapat diidentifikasi". Ini penting bagi perusahaan yang ingin melacak data demografis yang tidak dapat diidentifikasi secara pribadi.

Opsi Anonimisasi Data di Pengalaman Konversi memungkinkan situs web Anda untuk membersihkan semua data masuk dan historis tentang nama pengalaman/variasi pengunjung Anda, memungkinkan tim pemasaran dan TI untuk menyimpan data pelacakan penting tanpa membahayakan privasi.

10. Apa yang Disimpan Alat Pengujian A/B di Log Servernya?

Menurut GDPR, alamat IP dianggap sebagai data pribadi. Jika log server alat pengujian A/B Anda berisi alamat IP pengunjung Anda, log tersebut berisi data pribadi.

Berikut adalah panduan dasar untuk log server yang sesuai dengan GDPR:

1. Solusi paling mudah untuk menyimpan log yang sesuai dengan GDPR adalah dengan tidak menyimpan log sama sekali.
2. Jika log server diperlukan, simpan log tersebut dalam waktu sesingkat mungkin. Buat kebijakan rotasi log server yang menghapus log lama secara otomatis.
3. Jika mereka mengumpulkan log tanpa alamat IP atau data pribadi lainnya, mereka mematuhi GDPR.
4. Mereka dapat mengumpulkan log tanpa persetujuan dalam kondisi tertentu, tetapi mereka harus memberi tahu Anda tentang hal ini dalam kebijakan privasi mereka.

Log Langsung di Pengalaman Konversi melacak bagaimana pengguna akhir berinteraksi dengan halaman web secara real time. Mereka menangkap informasi seperti stempel waktu saat sasaran dipicu, jenis peristiwa yang dipicu, variasi yang ditampilkan kepada pengguna akhir, dan banyak lagi. Log langsung dianggap sesuai dengan GDPR, karena tidak menyimpan alamat IP atau data PII lainnya.

11. Siapa yang Memiliki Data?

Salah satu persyaratan utama GDPR adalah tersedianya pengukuran yang sesuai untuk memproses data pribadi. Data yang ditautkan ke transaksi konsumen di UE harus disimpan secara fisik di UE atau negara dengan tindakan perlindungan data yang dianggap memadai oleh GDPR (kecuali jika pengguna setuju untuk menyimpan data mereka di tempat lain).

Aturan ini menimbulkan beberapa tantangan bagi perusahaan yang tidak berbasis di UE, meskipun beberapa dari masalah ini dapat dikurangi menggunakan paket analitik dengan kebijakan kepemilikan data yang jelas.

Konversi memberi pengguna ketenangan pikiran dengan memiliki pernyataan kepemilikan yang ditentukan di placewill. Ini menguraikan bahwa kami akan “tidak membagikan data apa pun dengan pihak ketiga tanpa persetujuan tertulis dari pelanggan”, dan akan “menghapus data apa pun yang berkaitan dengan pelanggan yang berhenti berlangganan layanan berdasarkan permintaan”.

12. Dapatkah Alat Pengujian A/B Terintegrasi dengan Tumpukan Teknologi Anda Saat Ini?

Anda pasti ingin memastikan alat pengujian A/B baru bekerja dengan baik dengan sisa tumpukan teknologi Anda, seperti CMS (sistem manajemen konten) dan platform eCommerce Anda. Menghubungkan tumpukan teknologi Anda saat ini ke solusi baru bisa memakan biaya, jadi pastikan untuk membuat daftar semua alat saat ini yang Anda gunakan dan lihat apakah Anda dapat membuat ulang integrasi yang sama dengan alat baru, baik melalui integrasi atau API.

Saat melakukan studi Anda, ingatlah pertanyaan-pertanyaan berikut:

1. Seberapa baik dan seberapa cepat alat yang Anda pilih berintegrasi dengan seluruh sistem Anda, seperti CRM Anda?
2. Apakah ada integrasi resmi untuk memungkinkan koneksi seperti itu? Jika tidak, apakah Anda diizinkan untuk mengubah kode agar berfungsi untuk Anda?
3. Apakah mungkin untuk dengan mudah mengonversi data Anda ke alat lain jika diperlukan?
4. Apakah ada bukti penguncian vendor atau masalah dengan pemindahan data ke penyedia lain?

13. Apakah Ada Opsi untuk Menghosting Sendiri Skrip Pengujian A/B?

Memilih antara Software-as-a-Service (SaaS) dan hosting mandiri bisa jadi sulit. Saat mempertimbangkan biaya, kemudahan, dan kenyamanan, masuk akal jika sebagian besar perangkat lunak dipasok melalui cloud. Namun, SaaS mungkin bukan pilihan terbaik untuk beberapa bisnis dan organisasi, seperti pemerintah dan bank.

Solusi pengujian A/B di lokasi akan menjadi opsi yang paling disukai bagi perusahaan yang menginginkan kontrol penuh atas data dan lokasi penyimpanan mereka. Ini juga akan menjadi yang paling sederhana, dalam hal kepatuhan GDPR.

Tanyakan pada diri Anda pertanyaan-pertanyaan klarifikasi ini:

1. Apakah alat pengujian A/B Anda diizinkan untuk menggunakan solusi yang dihosting di cloud?
2. Apakah Anda memiliki sumber daya untuk meng-host alat di infrastruktur Anda?
3. Apakah Anda tahu batasan data apa yang disertakan dengan paket Anda?

14. Apakah Transfer Data Internasional Diizinkan?

Transfer data sekarang sangat umum sehingga kebanyakan orang bahkan tidak menyadarinya. Meski begitu, mereka dapat menjadi masalah untuk ditangani dan harus disepakati dalam perjanjian pengumpulan data asli (seperti halnya lokasi data).

Sampai saat ini, perusahaan menggunakan kerangka kerja Perlindungan Privasi untuk mengirimkan data dari UE dan Swiss ke AS tanpa memerlukan persetujuan sebelumnya. Namun, pada tahun 2020, hakim Eropa memutuskan bahwa perlindungan data Amerika tidak mencukupi, membuat kerangka kerja tidak valid, meskipun transfer data berisiko ini masih terjadi dengan alasan hukum lainnya.

Untuk menghindari potensi ancaman, perusahaan pengujian A/B mungkin menggunakan strategi perlindungan data berdasarkan desain, (yang akan kita bahas di bagian berikutnya.) Jika tidak, mereka dapat dengan mudah meminta persetujuan dan menentukan di mana data akan disimpan dan dipindahkan.

15. Apakah Perlindungan Data Berdasarkan Desain dan Default Dihormati?

Konsep privasi berdasarkan desain adalah inti dari alat pengujian A/B yang ramah privasi.

Kami lebih memilih untuk mencegah invasi privasi daripada menanganinya setelah kejadian tersebut, dan kami menggunakan minimalisasi data dan pembatasan tujuan untuk tetap proaktif.

Minimisasi data berarti hanya memproses data yang diperlukan untuk mencapai tujuan tertentu, sedangkan batasan tujuan mengacu pada mengidentifikasi tujuan pemrosesan data, merekamnya, dan menginformasikan orang, sebelum diproses.

Setelah dikumpulkan dan diproses, data hanya boleh dipertahankan selama tugas yang diperolehnya.

Perlindungan data dengan desain mengharuskan penggunaan pengamanan teknis dan organisasional selama tahap perencanaan pemrosesan. Hal ini memungkinkan organisasi untuk memastikan bahwa mekanisme privasi dan keamanan sudah ada sejak awal. Prosedur spesifik bervariasi tergantung pada kasus penggunaan, tetapi dapat mencakup anonimisasi data, pemantauan data, atau penambahan fitur perlindungan privasi baru ke perangkat lunak pengujian A/B.

Jadi, Platform Pengujian A/B mana yang Ramah Privasi?

Jika Anda mencari cara untuk mengumpulkan dan menganalisis data dari situs web, produk digital, atau aplikasi seluler Anda di Jerman, platform yang Anda pilih sangat penting.

Sebagian besar solusi pengujian A/B tidak dibangun dengan mempertimbangkan privasi, dan sementara platform utama melakukan hal-hal tertentu dengan benar (seperti anonimisasi dan kepemilikan data), mereka gagal di area lain (seperti lokasi data).

Untungnya, ada permintaan tinggi akhir-akhir ini untuk perangkat lunak pengujian A/B yang memungkinkan Anda menjalankan pengalaman di situs web Anda dengan tetap menjaga privasi data. Ini berarti ada lebih banyak alat pengujian A/B yang ramah privasi yang tersedia saat ini daripada sebelumnya. Untuk ringkasan singkat, lihat tabel di bawah dengan metrik yang paling penting.