Gizlilik Uyumlu Bir A/B Test Aracı Nasıl Seçilir (Alman Optimize Ediciler için Rehberimiz)

Gizlilik yasaları dünya çapında yürürlüğe girdiğinden, tüketiciler kişisel bilgileri hakkında daha fazla farkındalık ve kontrol kazanıyor. Örneğin AB, veri gizliliği düzenlemelerini sıkılaştırmak için 2018'de dönüm noktası niteliğindeki Genel Veri Koruma Yönetmeliğini (GDPR) kabul etti ve Kaliforniya, 2020'de Kaliforniya Tüketici Gizliliği Yasasını (CCPA) yürürlüğe koydu.

A/B testi şirketleri artık bu yeni kurallara uymak için ekstra önlemler alıyor. Örneğin, birçoğu, bir posta listesine eklemeden önce kullanıcılardan onay ister, kolayca erişilebilir gizlilik bildirimleri ve açıklamalar sağlar ve kullanıcılara kişisel bilgilerine erişme, bunları değiştirme veya silme olanağı verir.

Günümüz dünyasında dijital mahremiyet eksikliğine rağmen, Almanya, eski Alman Federal Veri Koruma Yasası (BDSG) gibi dünyanın en katı yasalarından biri olarak kabul edilen yasalarla vatandaşlarının kişisel verilerinin korunmasına bağlı kalmaya devam ediyor.

Aşağıdaki kılavuz, bir A/B test aracı seçerken en bilinçli kararı verebilmeniz için Almanya'daki veri gizliliği yasalarının her birinde size yol gösterecektir.

Veri Gizliliği için Seçim Kriterleri

İlk olarak 1970 yılında Almanya'da kabul edilen veri koruma yasası, o zamandan beri 16 Alman eyaleti ve federasyonunun veri koruma yetkilileri tarafından desteklenen önemli bir insan hakkı haline geldi. Bir A/B test platformu seçerken aşağıdaki yasalara uymak önemlidir:

• AB Genel Veri Koruma Yönetmeliği (GDPR) (2018)
  
  
  • AB vatandaşlarının verilerini korumak için uygulamaya koyun.
• Federal Veri Koruma Yasası (BDSG) (2018)
  
  
  • GDPR'yi değiştirerek çalışanların kişisel verilerini işlerken bireysel haklara ilişkin istisnalara izin verir.
• Telekomünikasyon ve Telekomünikasyonda Veri Koruma ve Gizliliğin Düzenlenmesine İlişkin Federal Yasa (TTDSG) (2021)
  
  
  • Telekomünikasyon verilerine (iş e-posta hesapları, iş telefonları veya internet tarayıcılarının geçmişi gibi) erişimi yasaklayan Telekomünikasyon Yasası (1996) ve Telemedya Yasası'nı (2007) birleştirir ve Madde 5(3) uyarınca tanımlama bilgisi onay gereklilikleri oluşturur. eGizlilik.
• eGizlilik (Çerez Yasası) (2002)
  
  
  • “Elektronik haberleşme sektöründe kişisel verilerin işlenmesine ilişkin mahremiyeti ve gizliliği” sağlar.

Almanya'da Uyumlu Bir A/B Test Platformu Seçerken Aşağıdaki Kriterler Rehber Olacaktır

1. A/B Test Şirketi Veri Uyumluluğuna Nasıl Hazırlandı?

GDPR, BDSG ve TTDSG yasalarına nasıl hazırlandılar?

En iyi seçeneklerinizi daralttıktan sonra, prosedürü, hangi alanların dahil olduğunu ve hangi önlemlerin başlatıldığını kısaca tanımlayabildiklerinden emin olun. Planlanan önlemlerin tümü tam olarak uygulanmadıysa, uygulama durumlarını açıklayabilmeleri gerekir.

Bu size, kullanılan yaklaşımlara ilişkin bir genel bakışın yanı sıra çeşitli yasaların nasıl uygulanacağı konusundaki konumlarına ilişkin öz değerlendirmelerini sağlayacaktır.

Cevaplanması gereken ortak sorular şunlardır:

1. Kişisel verilerle çalışan tüm gerekli şirket departmanları dahil miydi (örneğin insan kaynakları, BT, satış/müşteri desteği, pazarlama)?
2. Bu yasalarla ilgili eğitim verildiğine dair kanıt var mı?
3. Şirketin planladığı tüm önlemler uygulandı mı?

Örneğin, Convert, GDPR uyumlu hale gelmek için hangi eylemlerin gerçekleştirildiğini açıkça belirttiğimiz (gerekli her makale için) herkese açık bir yol haritası yayınladı.

Düşündüğünüz her A/B test platformu için benzer bir yol haritası mevcut olmalıdır.

2. A/B Test Aracının İşleme Faaliyetlerinin Kayıtları Var mı?

Seçtiğiniz aracın tüm kişisel veri işleme iş operasyonlarını bir işleme faaliyetleri kaydına dahil etmesi önemlidir.

Kendinize şunları sorun:

1. İşleme faaliyetlerinin kaydının düzenli olarak gözden geçirildiği ve gerektiğinde güncellendiği açık mı?
2. Bu kayıt GDPR Madde 30'un yasal gerekliliklerine uygun mu?
   
   
   1. Sorumlu kişinin adını ve iletişim bilgilerini veriyorlar mı?
   2. İşlemenin amaçları belirtilmiş mi?
   3. İlgili kişi kategorileri (örn. çalışanlar, müşteriler vb.) ve kişisel veri kategorileri (örn. çalışan ana verileri, başvuru verileri, müşteri iletişim verileri, kredibilite verileri vb.) açıklanıyor mu?
   4. Kişisel verilerin üçüncü bir ülkeye veya bir iç kuruluşa aktarılmasına ilişkin açıklama yapılıyor mu?
   5. Çeşitli veri kategorilerinin silinmesi için öngörülen son tarihler belirtilmiş mi?

Aşağıda, Convert'in her bir veri işleme faaliyeti için tuttuğu kayıtlara bir örnek verilmiştir.

3. A/B Test Aracı Kişisel Verileri Hangi Hukuki Temele Göre İşliyor?

GDPR 6. Maddesine göre, şirketin kişisel verileri işlemek için dayandığı yasal dayanaklar olmalıdır.

Aşağıdaki soruları sorun:

1. Gizlilik Politikalarında belirtilen yasal dayanaklar var mı?
2. Rıza beyanlarının anlaşılması kolay mı, (yani, rızanın verilmesi açıklanırken veri sahibinin içeriği açık ve basit bir şekilde belirtilmiş mi)?

Dönüştürmenin dayandığı ve gizlilik politikamızda yayınlanan birkaç yasal dayanak vardır. GDPR merkezlidirler ve şunları içerirler:

• Sözleşme : Size karşı olan sözleşme sorumluluklarımızı yerine getiriyoruz (örneğin müşteri olarak kaydolduğunuzda, bizden satın aldığınızda veya hizmetlerimizi kullandığınızda).
• Onay : Müşteriler, kişisel bilgilerini belirli bir şekilde kullanabilmemiz için (yani, etki alanları arası izlemeyi etkinleştirirken, bir projeye birden fazla etki alanı eklerken, hedef kitle segmentasyonunu açarken veya ek günlük kaydı talep ederken) kabul etmelidir.
• Yasal zorunluluk : Yasal olarak belirli belgeleri sağlamamız gerekmektedir (örneğin, faturaların kopyaları ve ödemelerle ilgili bilgiler).
• Meşru menfaat: Kişisel verilerinizi yalnızca, minimum gizlilik etkisi ile veya zorlayıcı bir gerekçenin olduğu durumlarda, adil bir şekilde beklediğiniz şekillerde kullanırız.

4. A/B Test Aracının Veri Koruma Etki Değerlendirmesi Var mı?

DPIA'lar (veri koruma etki değerlendirmeleri), kuruluşlara veri işlemeyle ilişkili gizlilik risklerini belirleme, değerlendirme ve azaltma veya en aza indirme konusunda yardımcı olur. Yeni bir veri işleme tekniği, sistemi veya teknolojisi tanıtılırken özellikle önemlidirler.

DPIA'lar ayrıca, kuruluşların GDPR standartlarına uymalarına ve uyumu sağlamak için yeterli önlemlerin alındığını göstermelerine yardımcı oldukları için hesap verebilirlik ilkesini de destekler.

Gerektiğinde bir DPIA yürütmemenin, bir kuruluşun yıllık küresel gelirinin %2'sine veya 10 milyon Euro'ya kadar (hangisi daha yüksekse) para cezasıyla sonuçlanabilecek bir GDPR ihlali olduğunu biliyor muydunuz?

Convert'in GDPR Projesinin bir parçası olarak Convert, personel için geliştirilmiş kılavuz ve DPIA'ları yürütmek için kullanılacak bir şablon. Bu, etkilenenlerin hak ve özgürlükleri için beklenen yüksek riske sahip işleme operasyonlarının tanımlanmasını sağlamaya hizmet eder.

5. Bir Veri Koruma Görevlisi Atandı mı?

Veri Koruma Görevlisinin (DPO) birincil sorumluluğu, kuruluşunun çalışanlarının, müşterilerinin, sağlayıcılarının veya diğer kişilerin (veri özneleri olarak da bilinir) kişisel verilerinin geçerli veri koruma kurallarına uygun olarak işlenmesini sağlamaktır. GDPR, her AB kuruluşunun ve kuruluşunun bir DPO oluşturmasını gerektirir.

Bir şirketin Veri Koruma Görevlisinin niteliklerini ve bunların kuruluşa nasıl entegre edildiğini netleştirmek için kendinize şunları sorun:

1. DPO'nun mevcut ve yeterli uzmanlık bilgisi belgelerden çıkarılabilir mi? (Veri koruma konusundaki eğitimlerini ve ileri eğitimlerini, veri koruma konusundaki deneyimlerinin kapsamını/süresini, mesleki eğitimlerini (örneğin avukat, bilgisayar bilimcisi) ve yerleşik veri koruma ağlarına katılımlarını değerlendirin.
2. DPO'nun iletişim bilgilerinin bir yayını var mı? şirketin web sitesinde? DPO'nun iletişim bilgilerini orada bulmak kolay mı?

6. A/B Test Şirketi, Veri Koruma İhlallerini Denetim Otoritesine Zamanında Rapor Etmesini Nasıl Sağlar?

Her Alman kuruluşu, GDPR Madde 33 uyarınca, kişisel verileri güvenli ve emniyetli tutmak ve 72 saat içinde veri güvenliği ihlallerine (bazı durumlarda ihlalleri Veri Koruma Görevlisine bildirmeyi içerebilir) uygun şekilde yanıt vermekle yükümlüdür.

Bireylerin yaralanması, operasyonel işlerin zarar görmesi ve ciddi finansal, yasal ve itibar maliyetlerinden kaçınmak için, herhangi bir fiili, olası veya şüphelenilen veri güvenliği veya gizliliği ihlali durumunda hızlı hareket etmek çok önemlidir.

Gizlilik uyumlu bir A/B test aracı ararken şu soruları sorun:

1. Veri koruma ihlallerini bildirme süreci anlaşılır bir şekilde sunuldu mu?
2. Sorumluluklar (kim ne yapıyor) raporlama sürecinde açıkça düzenlenmiş mi?
3. 72 saatlik süre dikkate değer bir şekilde dikkate alındı ​​mı?
4. Çalışanların bu süreçten haberdar edildiği açık mı?

Convert'in, [email protected] adresinden talep edilebilecek kendi Kişisel Veri İhlalini Yükseltme Politikası vardır.

7. A/B Test Aracı Verileri Nerede Depolar?

Avusturya, verileri gizlilik korumasının daha sınırlı olduğu Amerika Birleşik Devletleri'nde depolandığı için kısa süre önce Google Analytics'in kullanımını yasakladı. AB'de yasal olarak veri depolayan bir A/B test platformu bulmak en güvenli seçeneğinizdir.

Verilerin nerede tutulduğunu kuruluşun gizlilik politikasında öğrenebilmelisiniz. Genel olarak veri depolama bilgileri “alt işlemciler” ve “üçüncü taraf hizmetler” bölümlerinde yer almaktadır. Bu bilgiyi kolayca bulamıyorsanız veya net değilse, açıklama için kuruluşla iletişime geçin.

8. A/B Test Aracı Takip Etme (DNT) Ayarlarına Saygı Gösterir mi?

Gizliliklerinden endişe duyan kullanıcılar için, birkaç tarayıcıda, web sitelerine ve analiz araçlarına kullanıcı davranışını izlemeyi durdurmalarını söylemek için açılabilen bir “İzleme” özelliği bulunur.

Prensip olarak, bu ayar, bir ziyaretçinin tarayıcısının, pazarlamacıları ve diğer işletmeleri çevrimiçi alışkanlıkları ve ilgi alanları hakkında bilgilendiren “çerezleri” kabul etmesini önlemelidir. Ancak, web siteleri teknik olarak bu kısıtlamalara tabi değildir. Bu nedenle, kullanıcı gizliliğine önem veren ve sistemlerinin bu gereksinimlerle uyumlu olmasını sağlamak için ekstra yol kat eden bir A/B test aracı bulmak önemlidir.

Convert, Do Not Track'i destekler, çünkü son kullanıcı bilgilerinin nasıl kullanıldığını kontrol etmek için basit bir yönteme sahip olmanın kritik olduğuna inanıyoruz. DNT'yi sizden ve son kullanıcılarınızdan verileri nasıl kullanmamız gerektiğine dair bir sinyal olarak ciddiye alıyoruz.

Dönüştür, kullanıcılara aşağıdaki seçenekleri sunar:

1. Takip Etme (İzlemeyi devre dışı bırak)
2. Takip (Takip etmeyi etkinleştir)
3. Boş (Tercih yok)

Web tarayıcıları varsayılan olarak "Null" kullanır, bu da son kullanıcının izlenmek isteyip istemediğini belirtmediğini gösterir. “Do Not Track” seçildiğinde, Convert komut dosyalarını/deneyimleri yüklemez ve bunun yerine diğer iki seçeneği yükler.

Proje Yapılandırmanızda, varsayılan olarak KAPALI olan ancak açılır menü kullanılarak değiştirilebilen "Tarayıcı Ayarlarına Saygı Duyma" yazan bir satır vardır.

9. A/B Test Aracı Anonim İzlemeye İzin Veriyor mu?

Anonimleştirme, A/B test araçlarının GDPR ile uyumlu olmasına ve raporlama için verileri izlemeye devam etmesine olanak tanır. GDPR yönergelerine göre, A/B test araçları, "veri öznesinin tanımlanamayacağı veya artık tanımlanamayacağı şekilde anonim hale getirildiği" sürece belirli verileri toplayabilir. Bu, kişisel olarak tanımlanamayan demografik verileri takip etmek isteyen şirketler için önemlidir.

Deneyimleri Dönüştürme'deki Veri Anonimleştirme seçeneği, web sitenizin ziyaretçilerinizin paket halindeki deneyimlerinin/varyasyonlarının adlarıyla ilgili tüm gelen ve geçmiş verileri temizlemesine olanak tanıyarak pazarlama ve BT ekiplerinin gizliliği tehlikeye atmadan temel izleme verilerini tutmasına olanak tanır.

10. A/B Test Aracı Sunucu Günlüklerinde Neleri Tutar?

GDPR'ye göre, bir IP adresi kişisel veri olarak kabul edilir. A/B test aracınızın sunucu günlükleri, ziyaretçilerinizin IP adreslerini içeriyorsa, bunlar kişisel veriler içerir.

GDPR uyumlu sunucu günlükleri için temel yönergeler şunlardır:

1. GDPR uyumlu günlükleri tutmanın en basit çözümü, hiç günlük tutmamaktır.
2. Sunucu günlükleri gerekiyorsa, bunları mümkün olduğunca kısa süre saklayın. Eski günlükleri otomatik olarak silen bir sunucu günlüğü döndürme ilkesi oluşturun.
3. IP adresleri veya diğer kişisel veriler olmadan günlük toplarlarsa GDPR uyumludurlar.
4. Belirli koşullar altında izinsiz olarak günlük toplayabilirler, ancak bunu gizlilik politikalarında size bildirmeleri gerekir.

Deneyimleri Dönüştür'deki Canlı Günlükler, son kullanıcıların web sayfalarıyla gerçek zamanlı olarak nasıl etkileşime girdiğini izler. Bir hedef tetiklendiğinde zaman damgası, tetiklenen olay türü, son kullanıcıya gösterilen varyasyon ve çok daha fazlası gibi bilgileri yakalarlar. Canlı günlükler, IP adreslerini veya diğer PII verilerini saklamadıklarından GDPR uyumlu olarak kabul edilir.

11. Verilerin Sahibi Kim?

GDPR'nin birincil gerekliliklerinden biri, kişisel verilerin işlenmesi için uygun ölçümlerin mevcut olmasıdır. AB'deki bir tüketici işlemiyle bağlantılı veriler, AB'de veya GDPR'nin yeterli gördüğü veri koruma önlemlerine sahip bir ülkede fiziksel olarak saklanmalıdır (kullanıcı verilerini başka bir yerde saklamaya izin vermediği sürece).

Bu kural, AB'de yerleşik olmayan firmalar için bazı zorluklar ortaya çıkarsa da, bu sorunlardan bazıları net bir veri sahipliği politikasına sahip bir analiz paketi kullanılarak hafifletilebilir.

Convert, placewill'de tanımlanmış bir sahiplik beyanına sahip olarak kullanıcılara gönül rahatlığı sağlar. Bu, "müşterinin açık yazılı onayı olmadan herhangi bir veriyi üçüncü şahıslarla paylaşmayacağımızı" ve "istek üzerine hizmetten ayrılan müşterilerle ilgili verileri sileceğimizi" özetlemektedir.

12. A/B Test Aracı Mevcut Teknoloji Yığınınızla Bütünleşebilir mi?

Yeni bir A/B test aracının, CMS (içerik yönetim sistemi) ve e-Ticaret platformunuz gibi teknoloji yığınınızın geri kalanıyla iyi çalıştığından emin olmak isteyeceksiniz. Mevcut teknoloji yığınınızı yeni bir çözüme bağlamak maliyetli olabilir, bu nedenle kullandığınız tüm mevcut araçların bir listesini yaptığınızdan emin olun ve entegrasyonlar veya API'ler aracılığıyla aynı entegrasyonları yeni araçla yeniden oluşturup oluşturamayacağınıza bakın.

Araştırmanızı yürütürken aşağıdaki soruları aklınızda bulundurun:

1. Seçtiğiniz araç, CRM'niz gibi sisteminizin geri kalanıyla ne kadar iyi ve ne kadar hızlı entegre olacak?
2. Bu tür bağlantıları mümkün kılmak için yetkili entegrasyonlar var mı? Değilse, sizin için çalışması için kodu değiştirmenize izin var mı?
3. Gerektiğinde verilerinizi zahmetsizce başka bir araca dönüştürmek mümkün müdür?
4. Satıcının kilitlendiğine veya verilerin farklı bir sağlayıcıya aktarılmasıyla ilgili sorun olduğuna dair herhangi bir kanıt var mı?

13. A/B Test Komut Dosyasını Kendi Kendine Barındırma Seçeneği Var mı?

Hizmet Olarak Yazılım (SaaS) ile kendi kendine barındırma arasında seçim yapmak zor olabilir. Maliyet, kolaylık ve rahatlık düşünüldüğünde, yazılımların çoğunluğunun bulut üzerinden sağlanması mantıklıdır. Ancak, SaaS, hükümetler ve bankalar gibi bazı işletmeler ve kuruluşlar için en iyi seçim olmayabilir.

Yerinde bir A/B test çözümü, verileri ve depolama konumu üzerinde tam kontrol isteyen firmalar için en çok tercih edilen seçenek olacaktır. GDPR uyumluluğu açısından da en basiti olacaktır.

Kendinize şu açıklayıcı soruları sorun:

1. A/B test aracınızın bulutta barındırılan bir çözüm kullanmasına izin veriliyor mu?
2. Aracı altyapınızda barındıracak kaynaklara sahip misiniz?
3. Planınızla birlikte hangi veri sınırlarının geldiğini biliyor musunuz?

14. Uluslararası Veri Transferlerine İzin Verilir mi?

Veri aktarımları artık o kadar yaygın ki çoğu insan bunun olduğunun farkında bile değil. Yine de, başa çıkmak zahmetli olabilir ve orijinal veri toplama sözleşmesinde (veri konumu gibi) üzerinde anlaşmaya varılmalıdır.

Yakın zamana kadar şirketler, önceden onay gerektirmeden AB ve İsviçre'den ABD'ye veri iletmek için Gizlilik Kalkanı çerçevesini kullanıyordu. Bununla birlikte, 2020'de Avrupalı ​​yargıçlar, bu riskli veri aktarımları diğer yasal gerekçelerle hala gerçekleşse de, Amerikan veri korumalarının yetersiz olduğuna karar vererek çerçeveyi geçersiz kıldı.

Potansiyel tehditlerden kaçınmak için, A/B testi şirketleri tasarım gereği veri koruma stratejisini kullanabilir (bir sonraki bölümde tartışacağız.) Aksi takdirde, yalnızca onay isteyebilir ve verilerin nerede saklanacağını ve taşınacağını belirtebilirler.

15. Tasarım ve Varsayılan Olarak Veri Korumasına Saygı Gösteriliyor mu?

Tasarım gereği gizlilik kavramı, gizlilik dostu A/B test araçlarının merkezinde yer alır.

Olaydan sonra bunlarla uğraşmaktansa mahremiyet ihlallerini önlemeyi tercih ediyoruz ve proaktif kalmak için veri minimizasyonu ve amaç sınırlaması kullanıyoruz.

Veri minimizasyonu , yalnızca belirli bir hedefe ulaşmak için gerekli olan verilerin işlenmesi anlamına gelirken, amaç sınırlaması , verilerin işlenmesi, kaydedilmesi ve işlenmeden önce kişilerin bilgilendirilmesi amacını ifade eder.

Veriler toplanıp işlendikten sonra, yalnızca elde edildiği görev süresince saklanmalıdır.

Tasarım yoluyla veri koruması, işlemenin planlama aşamalarında teknik ve organizasyonel korumaların kullanılmasını gerektirir. Bu, kuruluşların gizlilik ve güvenlik mekanizmalarının en başından itibaren yerinde olmasını sağlamalarına olanak tanır. Belirli prosedürler kullanım durumuna göre değişir, ancak bunlar arasında veri anonimleştirme, veri izleme veya A/B test yazılımına yeni gizlilik koruma özellikleri ekleme yer alabilir.

Peki, hangi A/B Test Platformları Gizlilik Dostu?

Almanya'da web sitenizden, dijital ürününüzden veya mobil uygulamanızdan veri toplamanın ve analiz etmenin bir yolunu arıyorsanız, seçtiğiniz platform çok önemlidir.

A/B test çözümlerinin çoğu gizlilik göz önünde bulundurularak oluşturulmamıştır ve büyük platformlar belirli şeyleri (veri anonimleştirme ve mülkiyet gibi) doğru yaparken, diğer alanlarda (veri konumu gibi) yetersiz kalmaktadır.

Neyse ki, bu günlerde veri gizliliğini korurken web sitenizde deneyimler çalıştırmanıza izin veren A/B test yazılımına yüksek talep var. Bu, bugün her zamankinden daha fazla gizlilik dostu A/B test aracı olduğu anlamına gelir. Kısa bir özet için, en önemli metrikleri içeren aşağıdaki tabloya bakın.