Gratis abonnement, geen creditcard nodigDynamische QR-codes die je na het printen kunt aanpassenGDPR-conforme scananalysesGemaakt voor bureaus, freelancers en interne teamsGratis abonnement, geen creditcard nodigDynamische QR-codes die je na het printen kunt aanpassenGDPR-conforme scananalysesGemaakt voor bureaus, freelancers en interne teamsGratis abonnement, geen creditcard nodigDynamische QR-codes die je na het printen kunt aanpassenGDPR-conforme scananalysesGemaakt voor bureaus, freelancers en interne teamsGratis abonnement, geen creditcard nodigDynamische QR-codes die je na het printen kunt aanpassenGDPR-conforme scananalysesGemaakt voor bureaus, freelancers en interne teams
Alle artikelen
Illustratie van een QR-code verbonden met een wereldbol, met een locatiepin en twee vertakkende bestemmingskaarten die verschillende landingspagina's voorstellen
Uitleg

Locatiegebaseerde QR-codes: hoe geotargeting écht werkt (en waar het misgaat)

IP-geolocatie is betrouwbaar op landniveau maar wankel per stad, GPS-geofencing is precies maar toestemmingsplichtig. Alles over nauwkeurigheid, de AVG-grens en wat je een klant realistisch kunt beloven met locatiegebaseerde QR-codes.

ScanKit

ScanKit · Organization

· 19 min. leestijd

Locatiegebaseerde QR-codes: hoe geotargeting écht werkt (en waar het misgaat)

Een locatiegebaseerde QR-code belooft iets simpels: één gedrukte code, verschillende bestemmingen afhankelijk van waar degene die scant toevallig staat. Een shopper in Rotterdam komt op de Nederlandse productpagina terecht; diezelfde code, gescand in Berlijn, stuurt door naar de Duitse versie. Voor een bureau dat een pan-Europese printcampagne draait is dat een echt bruikbare truc. Het is ook een van de meest overdreven verkochte functies in QR-codeland, want bijna niemand legt uit wat "locatie" op het moment van scannen precies betekent, hoe nauwkeurig dat is, of wanneer het stilletjes overgaat in data waarvoor je toestemming nodig hebt.

Deze gids behandelt wat bureaus echt moeten weten voordat ze een klant "slimme" locatietargeting beloven: de twee volledig verschillende technologieën die achter die ene marketingterm schuilgaan, de nauwkeurigheidscijfers per technologie (met bronnen), de AVG-grens tussen "een taal kiezen" en "iemand volgen", en de faalscenario's die zich pas op de dag van de persrun voordoen, niet in de verkooppresentatie.

Wat "locatiegebaseerd" écht betekent: twee verschillende technologieën

Een QR-code zelf slaat nooit GPS-coördinaten op en weet niet waar hij gescand gaat worden. Hij codeert alleen een korte redirect-URL. Alles wat op "locatie-intelligentie" lijkt, gebeurt na de scan, op de server waar die URL naartoe wijst, en dat gebeurt op een van twee manieren.

IP-gebaseerde geolocatie is de standaard en verreweg het meest voorkomend. Zodra een telefoon de redirect-link opent, ziet de server het IP-adres van het verzoek en zoekt dat op in een geolocatiedatabase om een land, regio en stad te schatten. Er verschijnt geen toestemmingsvraag. De gebruiker merkt er niets van. Dit is de techniek achter "stuur Duitse scans van deze code naar de Duitse pagina" en die is echt betrouwbaar voor die taak, want de nauwkeurigheid van IP-geolocatie op landniveau ligt doorgaans boven de 99%, aldus MaxMind, het bedrijf achter de GeoIP-databases die de meeste redirectplatforms onder de motorkap gebruiken.

GPS-gebaseerde geofencing is een compleet ander mechanisme. Hierbij moet de browser van de bezoeker om locatietoestemming vragen (de melding die gebruikers kennen van kaarten-apps) en, als die wordt gegeven, leest hij de daadwerkelijke GPS- of wifi-ondersteunde coördinaten van het toestel uit. Dit is wat iets zou aandrijven als "toon de winkelaanbieding alleen aan mensen die binnen 150 meter van deze specifieke winkel scannen", en dat is precies genoeg om het ene pand van het pand ernaast te onderscheiden, maar alleen als de gebruiker toestemming geeft, wat de meeste mensen die haastig een poster scannen niet zullen doen.

Dit onderscheid is belangrijk omdat de twee technologieën compleet verschillende nauwkeurigheidsprofielen hebben, compleet verschillende toestemmingsvereisten, en compleet verschillende faalscenario's. Een briefing die zegt "maak het locatiegebaseerd" zonder te specificeren welke van de twee, is een briefing waar een bureau tegenin moet gaan voordat het de opdracht scoped.

Hoe nauwkeurig is IP-gebaseerde geolocatie nu écht?

Dit is het cijfer dat elke leveranciersblog overslaat, en het is precies het cijfer dat bepaalt of een geotargetingregel de moeite van het bouwen waard is.

  • Op landniveau: de nauwkeurigheid ligt doorgaans boven de 99%, volgens MaxMinds eigen gepubliceerde nauwkeurigheidsanalyse. Dit is het enige niveau dat écht betrouwbaar is voor redirectlogica.
  • Op regio- of provincieniveau: ongeveer 55-80%, afhankelijk van het land, opnieuw volgens MaxMind. Goed genoeg voor brede marketingbeslissingen, niet voor iets dat elke keer moet kloppen.
  • Op stadsniveau: ergens tussen de 20% en 75%, een ongewoon brede bandbreedte die sterk afhangt van het land en het type netwerk waarop de bezoeker zit. Dit is een vuistregel uit de sector, gebaseerd op nauwkeurigheidstests van IP-databaseleveranciers in plaats van één vaste specificatie, en het is het niveau waar de meeste "slimme QR-code"-marketingpagina's stilletjes van uitgaan als ze een screenshot tonen van landingspagina's voor "Parijs" en "Lyon".

Twee dingen drukken de nauwkeurigheid op stadsniveau nog verder omlaag, en bureaus moeten allebei kennen voordat ze een stad-specifieke regel scopen:

NAT bij mobiele providers. Mobiele netwerken leiden enorme aantallen abonnees via een kleine pool gedeelde IP-adressen, en providers wijzen die adressen voortdurend opnieuw toe tussen gebruikers. Het praktische gevolg, bevestigd in MaxMinds eigen nauwkeurigheidsdocumentatie, is dat een mobiel IP-adres kan worden herleid naar een locatie tientallen of zelfs honderden kilometers van de werkelijke positie van de telefoon, en die herleiding kan binnen enkele minuten veranderen doordat de provider adressen herverdeelt. Een printcampagne in een middelgrote stad met vooral mobiele scanners moet foutieve locaties op stadsniveau als normaal beschouwen, niet als uitzondering.

VPN's. Een bezoeker met een VPN toont het IP-adres van het uitgangsserver van de VPN, niet het eigen adres. De geolocatie-opzoeking klopt, alleen klopt hij over de verkeerde locatie. De redirectserver kan dit op het moment van scannen niet betrouwbaar detecteren, en zakelijk apparaatbeleid, advertentieblokkerende VPN-apps en privacybewuste consumenten zorgen er allemaal voor dat dit vaker voorkomt dan vroeger.

De eerlijke conclusie: bouw met vertrouwen redirectregels op land- of continentniveau. Bouw regels op stads- of wijkniveau alleen met een expliciete terugvaloptie voor de (routinematige, niet zeldzame) gevallen waarin de locatie-inschatting fout zit, en beloof een klant nooit stadsniveau-nauwkeurigheid als garantie.

Hoe nauwkeurig is GPS-gebaseerde geofencing?

Geofencing werkt anders, en de nauwkeurigheid komt van de locatieservices van Android en iOS in plaats van een IP-database, dus de cijfers zijn strakker, maar alleen zodra er toestemming is gegeven.

Androids eigen documentatie over geofencing raadt een minimale geofence-straal van 100 tot 150 meter aan voor betrouwbare activering, en legt uit waarom: met wifi beschikbaar ligt de locatienauwkeurigheid rond de 20 tot 50 meter; met indoor positioning beschikbaar kan dat verscherpen tot ongeveer 5 meter; maar zonder wifi, bijvoorbeeld op een snelweg of in een landelijk gebied dat alleen op zendmasten en GPS leunt, verslechtert de nauwkeurigheid tot enkele honderden meters en kan die oplopen tot meerdere kilometers. Een geofence-straal die strakker is ingesteld dan het door het platform aanbevolen minimum activeert onbetrouwbaar of helemaal niet, en dat is verreweg de meest voorkomende reden waarom een combinatie van "welkomstaanbieding als je langs onze winkel loopt" QR-code en geofencing in de praktijk stilletjes faalt.

De toestemmingseis is echter de grotere praktische hindernis. Precieze geolocatie werkt alleen als de browser van de bezoeker expliciet toestemming geeft, en de meeste mensen die een code op een poster, menu of flyer scannen, gaan geen "Toestaan" tikken bij een locatiemelding van een pagina die ze nog nooit hebben bezocht. In de praktijk is GPS-gebaseerde geofencing het meest geschikt voor een app of een webervaring voor terugkerende bezoekers waar al vertrouwen is opgebouwd, niet voor een koude scan vanaf print.

De AVG-grens: wanneer locatiegegevens toestemming vereisen, en wanneer niet

Dit is het onderdeel dat concurrerende gidsen terloops noemen en vervolgens overslaan, en het is het verschil tussen een verdedigbare campagne en een compliance-probleem.

Een IP-adres telt onder de AVG als persoonsgegeven. Dat is expliciet vastgelegd: de AVG-definitie van persoonsgegevens omvat online-identificatoren, en toezichthoudende richtlijnen behandelen een IP-adres als persoonsgegeven zodra het kan worden herleid tot een individu, ook indirect, bijvoorbeeld via logs die een internetprovider in principe via een juridische procedure zou kunnen vrijgeven. Dat ene gegeven bepaalt alles wat hierna volgt.

De grens die er in de praktijk echt toe doet, volgens richtlijnen over geolocatie en toestemming onder het ePrivacy-kader, loopt tussen grof en precies gebruik van die gegevens:

  • Een IP-adres alleen gebruiken om een land af te leiden, om een taal of valuta te kiezen of door te sturen naar de juiste regionale pagina, vereist over het algemeen geen aparte toestemming. Dit is het standaard, laagrisico-gebruik: "deze scan komt uit Duitsland, toon de Duitse pagina."
  • Locatiegegevens gebruiken die precies genoeg zijn om het toestel van een individu te identificeren op stads-, straat- of pandniveau, en die inzetten voor gedragsmatige targeting (een specifieke aanbieding, een retargetingpixel, een profielupdate) in plaats van eenvoudige contentroutering, vereist wel toestemming onder de ePrivacy-richtlijn en de AVG. De trigger is niet de technologie, het is de precisie en het doel: dezelfde IP-opzoeking die prima is voor "toon de Nederlandse pagina" wordt een toestemmingsplichtige handeling zodra die wordt gebruikt om een profiel van die specifieke bezoeker op te bouwen of bij te werken.

GPS-gebaseerde geofencing valt door zijn ontwerp ondubbelzinnig aan de toestemmingskant van die grens, aangezien de toestemmingsmelding van de browser zelf het toestemmingsmechanisme is. Het grijze gebied waar bureaus op moeten letten, is IP-gebaseerde targeting die begint als "gewoon een taal kiezen" en stilletjes uitgroeit tot "ook de afgeleide stad van deze bezoeker vastleggen naast diens scangeschiedenis voor retargeting", zonder dat iemand de privacyverklaring of het toestemmingsproces daarop aanpast. Voor het bredere plaatje van wat een getrackte scan verzamelt en wat een privacyverklaring moet vermelden, zie zijn QR-codes AVG-proof.

Wat een locatiegebaseerde redirect vandaag realistisch kan waarmaken

Zet de techniek en de nauwkeurigheidscijfers naast elkaar en er ontstaat een helder beeld van wat je een klant wel en niet kunt beloven.

Betrouwbaar en de moeite van het bouwen waard:

  • Contentroutering of taalroutering op landniveau vanaf één gedrukte code (een pan-Europese flyer, een product met regionale prijzen, een evenement met internationale bezoekers).
  • Apparaatgebaseerde routering naast locatie (iOS-scanners naar de App Store sturen en Android-scanners naar Google Play, vanaf dezelfde code), wat helemaal geen locatiegegevens gebruikt maar de user-agent van de browser; zie één QR-code, twee appstores voor dat mechanisme specifiek.
  • Regionale campagnes waarbij "dicht genoeg" ook echt dicht genoeg is, zoals routering per land of per handvol grote stadsregio's in plaats van per wijk.

Kwetsbaar, en verdient een expliciet voorbehoud voordat een klant akkoord gaat:

  • Redirectregels op stads- of postcodeniveau, gezien de bandbreedte van 20-75% en het effect van NAT bij mobiele providers.
  • Alles dat ervan uitgaat dat een scanner op een specifiek wifi-netwerk zit of binnen een strakke geofence, bij een koude, eerste scan van een gedrukte code, aangezien dat een toestemmingsmelding vereist die de meeste mensen zullen weigeren.
  • Elke belofte dat de regel "altijd nauwkeurig" zal zijn, iets wat geen enkele leveranciersdocumentatie ondersteunt op een fijner niveau dan land.

Wat een QR-code niet zelf doet:

  • De QR-code is nooit degene die de locatiedetectie uitvoert. Het is een statische verwijzing naar een redirectservice; elke geotargetingbeslissing die hier beschreven staat, gebeurt op de server na de scan. Dat verklaart meteen waarom de bestemming van een code kan veranderen zonder herdruk, en waarom de onderliggende scanlocatiegegevens (land, stad, apparaattype) waar dit alles op leunt, precies het soort data is dat het waard is om goed bij te houden, ongeacht of er een locatiegebaseerde regel actief is. Zie QR-code-analytics: welke scanstatistieken tellen voor hoe die data eruitziet zodra hij wordt verzameld.
Diagram met vier genummerde stappen van een locatiegebaseerde QR-redirect: scan, automatische landcheck, toestemmingsgebaseerde precieze check, en terugvalbestemming
Zo verloopt een locatiegebaseerde redirect: (1) de scan start een locatie-opzoeking, (2) een automatische opzoeking op landniveau stuurt door naar een standaardbestemming, (3) een toestemmingsgebaseerde precieze opzoeking stuurt door naar een lokale bestemming, (4) een terugvalbestemming voor wanneer geen van beide lukt

De twee bovenstaande sporen zijn waar "locatiegebaseerd" in de praktijk op neerkomt: een automatische, grove opzoeking zonder toestemming die betrouwbaar is op landniveau en wankel daaronder, en een precieze opzoeking met toestemmingsvereiste die strak is maar alleen afgaat als iemand expliciet instemt om zijn locatie te delen. De meeste "slimme QR-code"-marketing beschrijft de tweede en levert stilletjes de eerste.

Een praktische checklist voordat je een klant "locatiegebaseerde" targeting belooft

  1. Vraag welke technologie de briefing daadwerkelijk nodig heeft. "Andere taal per land" is een IP-gebaseerde klus. "Andere aanbieding binnen 200 meter van deze specifieke winkel" is een GPS-gebaseerde klus die een opt-in-ervaring vereist, geen koude printscan.
  2. Stel verwachtingen op het juiste precisieniveau. Leg nauwkeurigheid op landniveau schriftelijk vast als dat is wat het mechanisme aankan; laat "personalisatie op stadsniveau" niet in een klantpresentatie sluipen als de onderliggende technologie dat niet betrouwbaar kan waarmaken.
  3. Bouw een verstandige terugvaloptie. Elke geotargetingregel heeft een standaardbestemming nodig voor de routinematige gevallen waarin de locatie-inschatting fout is, dubbelzinnig is, of (bij GPS) helemaal geen toestemming heeft gekregen.
  4. Scheid "contentroutering" van "profilering" in de privacyverklaring. Als de regel alleen ooit een taal of regio kiest, zeg dat dan gewoon duidelijk. Als enig onderdeel van de campagne de afgeleide locatie vastlegt naast de scangeschiedenis van een specifieke bezoeker voor retargeting of rapportage over individuen, behandel dat dan als toestemmingsplichtig en pas de verklaring en het toestemmingsproces daarop aan.
  5. Test vanaf een mobiel netwerk, niet alleen kantoor-wifi. NAT bij mobiele providers is de meest voorkomende oorzaak van een geotargetingregel die in elke interne test perfect werkte en vervolgens herhaaldelijk faalt zodra de campagne live gaat op straat.

Veelgestelde vragen

#### Weet een QR-code waar ik ben?

Niet uit zichzelf. De QR-code codeert alleen een redirectlink. Zodra een telefoon die link opent, kan de server erachter de locatie op een van twee manieren inschatten: automatisch op basis van het IP-adres van het verzoek (grof, geen toestemming nodig, betrouwbaar op landniveau), of, als de browser daar expliciet om vraagt en toestemming krijgt, via de GPS van het toestel (precies, maar vereist een opt-in die de gebruiker actief moet geven).

#### Heeft een QR-code locatietoestemming nodig om te werken?

Nee, niet voor targeting op land- of regioniveau, want dat gebruikt automatisch het IP-adres en vereist geen toestemmingsmelding. GPS-gebaseerde precisie, het soort dat nodig is voor een strakke geofence rond één gebouw, vereist wel dat de browser expliciet om locatietoestemming vraagt en die krijgt, wat de meeste mensen die voor het eerst een gedrukte code scannen niet zullen geven.

#### Wat is het verschil tussen een slimme QR-code en een dynamische QR-code?

Een dynamische QR-code verwijst naar een redirect die later kan worden aangepast, waardoor de bestemming kan veranderen zonder de code opnieuw te drukken. Een "slimme" of conditionele QR-code is een dynamische code waarvan de redirectserver bovendien regels toepast, op basis van locatie, apparaat, taal of tijdstip, om verschillende scanners vanaf dezelfde gedrukte code naar verschillende bestemmingen te sturen.

#### Wat is het verschil tussen geotargeting en geofencing?

Geotargeting verwijst doorgaans naar brede, IP-gebaseerde locatie-inschatting (land of regio) om content te routeren. Geofencing betekent specifiek een afgebakende geografische grens, meestal GPS-gebaseerd, die een actie activeert zodra een toestel die grens binnengaat of verlaat. Geotargeting is de grove, automatische versie; geofencing is de precieze versie met toestemmingsvereiste.

#### Hoe nauwkeurig is IP-geolocatie bij het scannen van een QR-code?

Nauwkeurigheid op landniveau ligt doorgaans boven de 99%. Nauwkeurigheid op regio- of provincieniveau ligt ongeveer op 55-80%, afhankelijk van het land. Nauwkeurigheid op stadsniveau varieert breed, van ongeveer 20% tot 75%, en is nog lager op mobiele netwerken door de manier waarop providers IP-adressen delen en herverdelen onder abonnees, en wordt volledig teniet gedaan door VPN-gebruik, volgens nauwkeurigheidsanalyses gepubliceerd door MaxMind, wiens GeoIP-databases de meeste geolocatie-opzoekingen onderbouwen.

#### Wat is de minimale geofence-straal die in de praktijk werkt?

Androids eigen richtlijnen voor geofencing raden een minimale straal van 100 tot 150 meter aan voor betrouwbare activering. Alles strakker riskeert onbetrouwbare activering, aangezien de nauwkeurigheid in de praktijk zonder wifi-ondersteuning kan oplopen van enkele honderden meters tot een paar kilometer, en zelfs met wifi beschikbaar doorgaans maar verscherpt tot ongeveer 20 tot 50 meter.

#### Kan een VPN de locatietracking van een QR-code om de tuin leiden?

Ja. Een VPN toont het IP-adres van de eigen uitgangsserver in plaats van de daadwerkelijke locatie van de gebruiker, en de geolocatie-opzoeking rapporteert vol overtuiging, en onterecht, de locatie van die uitgangsserver. Er is geen betrouwbare manier om dit op het moment van scannen te detecteren, dus elke IP-gebaseerde regel moet ervan uitgaan dat een klein maar reëel deel van de scans hierdoor verkeerd wordt gelokaliseerd.

#### Hebben locatiegebaseerde QR-codes AVG-toestemming nodig?

Dat hangt af van precisie en doel. Een IP-adres alleen gebruiken om een land af te leiden voor het kiezen van taal of valuta vereist over het algemeen geen aparte toestemming. Locatiegegevens gebruiken die precies genoeg zijn om het toestel van een individu te identificeren, of die inzetten om een profiel op te bouwen of advertenties te richten op die specifieke bezoeker, vereist wel toestemming onder de AVG en de ePrivacy-regels, omdat een IP-adres wettelijk gezien een persoonsgegeven is zodra het herleidbaar is tot een persoon.

#### Is een IP-adres een persoonsgegeven onder de AVG?

Ja. De AVG-definitie van persoonsgegevens omvat expliciet online-identificatoren, en toezichthoudende richtlijnen behandelen een IP-adres als persoonsgegeven zodra het redelijkerwijs gebruikt zou kunnen worden, ook indirect via de logs van een internetprovider, om een specifiek individu te identificeren.

#### Hoe gebruiken bureaus één QR-code voor meerdere vestigingen of franchises?

Hetzelfde dynamische-codemechanisme dat geotargeting mogelijk maakt, ondersteunt dit ook zonder enige locatiedetectie: veel bureaus genereren gewoon een aparte code per winkel of per medewerker, elk verwijzend naar zijn eigen getrackte landingspagina, zodat elke vestiging schone, ondubbelzinnige rapportage krijgt in plaats van te vertrouwen op één gedeelde code om te raden bij welke winkel een scan hoort. Zie één workspace per klant voor hoe die structuur doorgaans wordt opgezet.

#### Waarom stuurde mijn locatiegebaseerde QR-code iemand naar de pagina van het verkeerde land?

Bijna altijd een van twee oorzaken: de scanner zat op een VPN, die het land van de uitgangsserver rapporteert in plaats van het eigen land, of de scanner zat op een mobiel netwerk, waar herverdeling van IP-adressen door de provider kan resulteren in een naburig land of regio, vooral dichtbij een grens. Beide zijn routinematig, verwacht gedrag voor IP-gebaseerde geolocatie, geen bug in de redirectregel.

De korte versie

Een locatiegebaseerde QR-code is eigenlijk twee verschillende technologieën onder één marketinglabel. IP-gebaseerde geolocatie is automatisch, heeft geen toestemming nodig, en is echt betrouwbaar op landniveau (99%+ nauwkeurigheid) maar wankel op stadsniveau (20-75%, slechter op mobiele netwerken, om zeep geholpen door VPN's). GPS-gebaseerde geofencing is precies, maar activeert alleen als een bezoeker expliciet locatietoestemming geeft, wat een koude scan vanaf print zelden krijgt. De AVG-grens ligt tussen locatie gebruiken om een taal te kiezen (meestal prima zonder extra toestemming) en het gebruiken om een individu te profileren of te targeten (toestemming vereist). Voordat je een locatiegebaseerde regel voor een klant scoped, bevestig welke van de twee technologieën de briefing daadwerkelijk nodig heeft, leg nauwkeurigheid op landniveau vast in plaats van beloftes op stadsniveau, en bouw een terugvalbestemming voor de routinematige gevallen waarin de locatie-inschatting fout is.

Delen

Verder lezen