Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische gegevens over jou bevatten, wat natuurlijk gebeurt als je bij je zorgverzekeraar of ziekenhuis rondklikt. Heel verbazingwekkend zou dat niet moeten zijn – dergelijke pixels vallen immers gewoon onder de cookiewet, en er wordt zelden toestemming gevraagd zoals het hoort. Plus, je hebt een grondslag nodig voor deze bijzondere persoonsgegevens en ook dat gaat mis.

Het komt natuurlijk vooral in het nieuws omdat het gaat om Facebook, maar uiteindelijk is het gewoon een punt (haha): als je mensen gaat tracken en je doet dat over meerdere sites heen, dan moet daar gewoon toestemming voor gegeven zijn. Allereerst omdat het gaat om informatie die je bij iemand opslaat – cookiewet – en daarnaast ook omdat het een nogal invasieve verwerking van iemands persoonsgegevens is – Wbp/AVG. Bij dat tweede is soms nog te verdedigen dat je kunt werken onder een eigen gerechtvaardigd belang, maar dat houdt heel snel op als het gaat om third-party tracking over meerdere sites heen.

De Facebook pixel is technisch een niet zo ingewikkelde constructie. Een website-eigenaar neemt een code op van Facebook, waarmee een plaatje van 1×1 pixel wordt opgenomen in zijn site. Dit plaatje komt van Facebook, en men kan vervolgens informatie uitlezen van de browser waarmee het plaatje wordt opgehaald. Maar de pixel doet meer: hij kijkt of je ingelogd bent bij Facebook, en slaat dan informatie over de pagina op bij je Facebook-interesseprofiel. Vervolgens kan de eigenaar van die site op Facebook je reclame tonen voor deze site (“retargeting”).

Dit noemen we profileren onder de AVG, en het is natuurlijk een vorm van verwerken van persoonsgegevens. Daarom is daarop (vanaf 25 mei) de AVG van toepassing. Die zegt dat toestemming nodig is voor deze vorm van tracking. Bovendien geldt op deze pixel de cookiewet, want de pixel is immers informatie die wordt opgeslagen op de computer van de bezoeker terwijl die informatie niet technisch noodzakelijk is voor de website. En ook die wet eist dan toestemming. En als triple whammy hebben we het specifiek hier nog eens over bijzondere persoonsgegevens (immers over gezondheid).

Ik zie dus geen manier om dit legaal te doen, tenzij je als website-eigenaar toestemming vraagt voor het mogen plaatsen van deze pixel en daarbij uitlegt dat het doel is om op Facebook gerichte reclame te kunnen doen. Oh, en die toestemming moet te weigeren zijn zonder dat je van de site geweerd wordt.

Arnoud

Deel dit artikel

  1. Dat ligt dan gevoelig als die pagina’s medische gegevens over jou bevatten

    Iets genuanceerder: bij het ophalen van zo’n pixel zal de referrer pagina meegegeven worden, en als dat de pagina http://www.zorgverzekeraar.nl/uwaccount/ is, dan zegt dat niet zo veel, ook al bevat die pagina mijn medische gegevens. Ik neem niet aan dat de inhoud van de pagina meegestuurd wordt. Dat betekent niet dat het meegeven van de URL niet privacy-gevoelig is: Als blijkt dat ik de pagina http://www.zorgverzekeraar.nl/dementie/ bezoek, dan vind ik dat toch best persoonlijk.

    • Die tracking code kan een heel stuk meer hoor. Meestal is het een implementatie van een javascript snippet die uiteindelijk een of meer pixels inlaadt, dan wel ruwe data overdraagt. Meestal gaat dit over de url uit de url-balk, hoe lang je blijft en op welke links je klikt. Maar met javascript snippets kun je ook een analyse uitvoeren over de inhoud van de bezochte pagina, hoe lang je naar welk stuk (viewport) kijkt, over welke links je hovert, op welke links je klikt en in het ergste geval zelfs toetsaanslagen registreren. En site-eigenaren zijn tegenwoordig maar al te makkelijk in het implementeren van snippets van Jan en Alleman, onder het mom van conversie-optimalisatie.

      • Klopt, ik ken de JavaScript code, maar ging er van uit dat bij de Facebook pixel ongeveer evenveel wordt meegestuurd als bijvoorbeeld Google Analytics (dus info over OS, schermgrootte, etc.). Wellicht dat Facebook nog wat extra gegevens probeert te achterhalen (email adres of accountnaam wellicht?). Ik weet van het bestaan van de “session replay” code, inclusief registreren van toetsaanslagen (er was een Nederlandse universiteit die dit gebruikte), maar zo ver gaat die Facebook pixel toch niet? (Hmm, misschien ben ik naïef aan het worden — moet ik naast het niet hebben van Facebook, uBlock en EFF Privacy Badger nog meer doen?)

  2. Naar mijn mening ben je sowieso in overtreding van de GDPR, ook met toestemming van de betrokkene, wanneer de persoonsgegevens van bezoekers naar Facebook stuurt via de pixel.

    In de notities die Mark Zuckerberg voor zich had tijdens zijn verhoor, stond dat hij niet moest antwoorden dat Facebook aan de GDPR voldoet.

    Omdat er persoonsgegevens verzonden worden van de de verantwoordelijk (De website eigenaar die de pixel plaatst) naar de verwerker (facebook) moet een verwerkersovereenkomst worden overeengekomen die voldoet aan de daaraan gestelde vereisten van de GDPR.

    Een ervan is dat de verantwoordelijke (de website-eigenaar) zich ervan vergewissen dat Facebook zich aan deze verwerkersovereenkomst (en GDPR) houdt.

    Nu deze notities openbaar zijn en hieruit afgeleid kan worden dat Facebook niet aan de GDPR voldoet, is iedere verwerking bij facebook toch in overtreding met de GDPR? Ongeacht of er toestemming is of niet?

  3. Oh, en die toestemming moet te weigeren zijn zonder dat je van de site geweerd wordt.

    Dit geldt toch alleen maar voor websites die een ‘publiek doel’ dienen (of iets vergelijkbaars) ? Of is dat onder de AVG weggevallen en moet je iedereen die dat wilt een privacyvriendelijkere versie van je site aanbieden?

  4. Wat mij nog steeds niet helemaal duidelijk is met de cookies ten aanzien van de AVG: je ziet nu op de meeste sites cookiemeldingen in de trant van “Als u verder navigeeert, gaat u akkoord met blabla”. Dit mag onder de AVG niet meer of is dit nog steeds mogelijk? Daarbij een duidelijke link die op elke pagina zichtbaar is om de cookie-voorkeuren aan te passen?

    • Een melding negeren lijkt me geen actieve handeling, maar stilzwijgen. Lijkt niet toegestaan, artikel 32 AVG.

      Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.

      • Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden.

        Maar een cookiebanner met aangekruiste vakjes, gecombineerd met een button ‘ik geef toestemming’ mag wel? De daadwerkelijke toestemming geef je pas op het moment dat je op de button klikt, niet het feit dat de vakjes zijn voorgeselecteerd. Voordat je op de button klikt kan je naar believen vakjes uitzetten. Uiteraard mag je, als de vakjes zijn voorgeselecteerd, en er nog niet op de button is geklikt, geen persoonsgegevens verwerken.

        In de memorie van toelichting kan ik hier geen nadere informatie over vinden.

        Wat denken jullie?

  5. De tripple whammy begrijp ik niet helemaal. Als ik de pagina ‘dementie’ of ‘been gebroken, wat nu’ bij een zorgverzekeraar of waar dan ook op vraag (heb dat net na ingelogd te zijn bij mijn ziektekostenverzekeraar gedaan), dan zegt dat iets over mijn interesse of nieuwsgierigheid, maar hoeft zeker niet te betekenen dat ik dement ben of een gebroken been heb. Daarmee is het voor mij dus geen bijzonder persoonsgegeven.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

Volg de reacties per RSS