Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische gegevens over jou bevatten, wat natuurlijk gebeurt als je bij je zorgverzekeraar of ziekenhuis rondklikt. Heel verbazingwekkend zou dat niet moeten zijn – dergelijke pixels vallen immers gewoon onder de cookiewet, en er wordt zelden toestemming gevraagd zoals het hoort. Plus, je hebt een grondslag nodig voor deze bijzondere persoonsgegevens en ook dat gaat mis.

Het komt natuurlijk vooral in het nieuws omdat het gaat om Facebook, maar uiteindelijk is het gewoon een punt (haha): als je mensen gaat tracken en je doet dat over meerdere sites heen, dan moet daar gewoon toestemming voor gegeven zijn. Allereerst omdat het gaat om informatie die je bij iemand opslaat – cookiewet – en daarnaast ook omdat het een nogal invasieve verwerking van iemands persoonsgegevens is – Wbp/AVG. Bij dat tweede is soms nog te verdedigen dat je kunt werken onder een eigen gerechtvaardigd belang, maar dat houdt heel snel op als het gaat om third-party tracking over meerdere sites heen.

De Facebook pixel is technisch een niet zo ingewikkelde constructie. Een website-eigenaar neemt een code op van Facebook, waarmee een plaatje van 1×1 pixel wordt opgenomen in zijn site. Dit plaatje komt van Facebook, en men kan vervolgens informatie uitlezen van de browser waarmee het plaatje wordt opgehaald. Maar de pixel doet meer: hij kijkt of je ingelogd bent bij Facebook, en slaat dan informatie over de pagina op bij je Facebook-interesseprofiel. Vervolgens kan de eigenaar van die site op Facebook je reclame tonen voor deze site (“retargeting”).

Dit noemen we profileren onder de AVG, en het is natuurlijk een vorm van verwerken van persoonsgegevens. Daarom is daarop (vanaf 25 mei) de AVG van toepassing. Die zegt dat toestemming nodig is voor deze vorm van tracking. Bovendien geldt op deze pixel de cookiewet, want de pixel is immers informatie die wordt opgeslagen op de computer van de bezoeker terwijl die informatie niet technisch noodzakelijk is voor de website. En ook die wet eist dan toestemming. En als triple whammy hebben we het specifiek hier nog eens over bijzondere persoonsgegevens (immers over gezondheid).

Ik zie dus geen manier om dit legaal te doen, tenzij je als website-eigenaar toestemming vraagt voor het mogen plaatsen van deze pixel en daarbij uitlegt dat het doel is om op Facebook gerichte reclame te kunnen doen. Oh, en die toestemming moet te weigeren zijn zonder dat je van de site geweerd wordt.

Arnoud

23 reacties

    1. Dat is onder de huidige wetgeving verdedigbaar maar de AVG is expliciet hoe je toestemming vraagt en het negeren van een cookiemelding is niet genoeg. Het moet apart worden gevraagd. En een vraag met afgedwongen antwoord zoals bij een cookiemuur is zéér twijfelachtig, omdat je dan eigenlijk niet meer kunt spreken van vrijwillig gegeven toestemming.

  1. Dat ligt dan gevoelig als die pagina’s medische gegevens over jou bevatten

    Iets genuanceerder: bij het ophalen van zo’n pixel zal de referrer pagina meegegeven worden, en als dat de pagina http://www.zorgverzekeraar.nl/uwaccount/ is, dan zegt dat niet zo veel, ook al bevat die pagina mijn medische gegevens. Ik neem niet aan dat de inhoud van de pagina meegestuurd wordt. Dat betekent niet dat het meegeven van de URL niet privacy-gevoelig is: Als blijkt dat ik de pagina http://www.zorgverzekeraar.nl/dementie/ bezoek, dan vind ik dat toch best persoonlijk.

    1. Die tracking code kan een heel stuk meer hoor. Meestal is het een implementatie van een javascript snippet die uiteindelijk een of meer pixels inlaadt, dan wel ruwe data overdraagt. Meestal gaat dit over de url uit de url-balk, hoe lang je blijft en op welke links je klikt. Maar met javascript snippets kun je ook een analyse uitvoeren over de inhoud van de bezochte pagina, hoe lang je naar welk stuk (viewport) kijkt, over welke links je hovert, op welke links je klikt en in het ergste geval zelfs toetsaanslagen registreren. En site-eigenaren zijn tegenwoordig maar al te makkelijk in het implementeren van snippets van Jan en Alleman, onder het mom van conversie-optimalisatie.

      1. Klopt, ik ken de JavaScript code, maar ging er van uit dat bij de Facebook pixel ongeveer evenveel wordt meegestuurd als bijvoorbeeld Google Analytics (dus info over OS, schermgrootte, etc.). Wellicht dat Facebook nog wat extra gegevens probeert te achterhalen (email adres of accountnaam wellicht?). Ik weet van het bestaan van de “session replay” code, inclusief registreren van toetsaanslagen (er was een Nederlandse universiteit die dit gebruikte), maar zo ver gaat die Facebook pixel toch niet? (Hmm, misschien ben ik naïef aan het worden — moet ik naast het niet hebben van Facebook, uBlock en EFF Privacy Badger nog meer doen?)

  2. Naar mijn mening ben je sowieso in overtreding van de GDPR, ook met toestemming van de betrokkene, wanneer de persoonsgegevens van bezoekers naar Facebook stuurt via de pixel.

    In de notities die Mark Zuckerberg voor zich had tijdens zijn verhoor, stond dat hij niet moest antwoorden dat Facebook aan de GDPR voldoet.

    Omdat er persoonsgegevens verzonden worden van de de verantwoordelijk (De website eigenaar die de pixel plaatst) naar de verwerker (facebook) moet een verwerkersovereenkomst worden overeengekomen die voldoet aan de daaraan gestelde vereisten van de GDPR.

    Een ervan is dat de verantwoordelijke (de website-eigenaar) zich ervan vergewissen dat Facebook zich aan deze verwerkersovereenkomst (en GDPR) houdt.

    Nu deze notities openbaar zijn en hieruit afgeleid kan worden dat Facebook niet aan de GDPR voldoet, is iedere verwerking bij facebook toch in overtreding met de GDPR? Ongeacht of er toestemming is of niet?

    1. Facebook is helemaal geen verwerker van de website die de pixel plaatst. Facebook verwerkt die gegevens voor eigen doeleinden en is dus gewoon verwerkingsverantwoordelijke. De website-eigenaar is dat ook, dat kan onder de AVG prima dat twee verantwoordelijken in dezelfde situatie gegevens verkrijgen bij een betrokkene.

      1. Dus voor de duidelijkheid, de betrokkene dient bij een bezoek van een website met Facebook pixel in ieder geval explicite toestemming te geven aan Facebook voor het verwerken door Facebook? Wie is er dan verantwoordelijk voor deze toestemmingsvraag en het bijhouden hiervan? Facebook?

        Stel je dan eens voor, je hebt 27 pixels (of andersoortige tracking mechanismen op de site), moet je dan 27 keer apart toestemming geven? Doe mij dan maar dit cookie-muur. Dat is een stuk gebruiksvreidelijker.

        1. Het klopt, voor elke tracking moet je aan elke partij die dat doet, toestemming geven. Dus ja als een site-eigenaar 27 derden uitnodigt om lekker te tracken, dan moet de bezoeker dus 27 maal toestemming geven. In normale situaties vinden we dat idioot en zegt die site-eigenaar “dat gaan we niet doen”.

          1. Dan kom je in hetzelfde gebied als cookies. Zet maar eens voor de grap in je browser de optie aan om voor elke cookie toestemming te vragen. Gegarandeerd ben je dat na de eerste paar websites wel zat.

        2. Nee, want die cookiemuur geeft als info bijvoorbeeld ‘Om de website van XXX goed te laten werken en u de beste online ervaring te bieden gebruiken we cookies.’

          Huh? de beste online ervaring? De website goed te laten werken?

          Onzin, bijna alle cookies hebben niets daarmee te maken. Hoe wordt mijn ervaring beter als ik getrackt wordt?

          Dus ze verkrijgen die toestemming op basis van leugens.

  3. Oh, en die toestemming moet te weigeren zijn zonder dat je van de site geweerd wordt.

    Dit geldt toch alleen maar voor websites die een ‘publiek doel’ dienen (of iets vergelijkbaars) ? Of is dat onder de AVG weggevallen en moet je iedereen die dat wilt een privacyvriendelijkere versie van je site aanbieden?

    1. Dat is de Nederlandse implementatie van de huidige cookiewet, inderdaad. Maar de AVG zegt in het algemeen dat toestemming niet zomaar mag worden afgedwongen. Keihard verboden is het niet, maar er wordt zéér kritisch naar gekeken of het wel vrijwillig te noemen is. Mijn gevoel is dat hoe groter de marktmacht van de dienst is, hoe strenger dit gaat worden. Dat zou dan betekenen dat Facebook en Google geen toestemming meer kunnen afdwingen maar mijn blog wel, bijvoorbeeld.

      1. En wat is er mis mee om sites zo privacy vriendelijk mogelijk te maken? Bv door geen content van derden te laden als je niet weet of ze mogelijk iets met de verkregen informatie doen. Ik denk hierbij onder andere aan alle javascript en css zaken die vanaf centrale servers komen. Bv jquery wordt nog wel eens op die manier geladen.

        1. Bij jQuery is inderdaad het advies om dit van een centrale server te laden:

          CDNs can offer a performance benefit by hosting jQuery on servers spread across the globe. This also offers an advantage that if the visitor to your webpage has already downloaded a copy of jQuery from the same CDN, it won’t have to be re-downloaded.
          Het is aan elke websitebouwer om deze afweging tussen performance en privacy te maken. Misschien om bij keuze van een CDN te kijken naar het businessmodel ervan, en wellicht niet Google als CDN te kiezen.

  4. Wat mij nog steeds niet helemaal duidelijk is met de cookies ten aanzien van de AVG: je ziet nu op de meeste sites cookiemeldingen in de trant van “Als u verder navigeeert, gaat u akkoord met blabla”. Dit mag onder de AVG niet meer of is dit nog steeds mogelijk? Daarbij een duidelijke link die op elke pagina zichtbaar is om de cookie-voorkeuren aan te passen?

    1. Een melding negeren lijkt me geen actieve handeling, maar stilzwijgen. Lijkt niet toegestaan, artikel 32 AVG.

      Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.

      1. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden.

        Maar een cookiebanner met aangekruiste vakjes, gecombineerd met een button ‘ik geef toestemming’ mag wel? De daadwerkelijke toestemming geef je pas op het moment dat je op de button klikt, niet het feit dat de vakjes zijn voorgeselecteerd. Voordat je op de button klikt kan je naar believen vakjes uitzetten. Uiteraard mag je, als de vakjes zijn voorgeselecteerd, en er nog niet op de button is geklikt, geen persoonsgegevens verwerken.

        In de memorie van toelichting kan ik hier geen nadere informatie over vinden.

        Wat denken jullie?

  5. De tripple whammy begrijp ik niet helemaal. Als ik de pagina ‘dementie’ of ‘been gebroken, wat nu’ bij een zorgverzekeraar of waar dan ook op vraag (heb dat net na ingelogd te zijn bij mijn ziektekostenverzekeraar gedaan), dan zegt dat iets over mijn interesse of nieuwsgierigheid, maar hoeft zeker niet te betekenen dat ik dement ben of een gebroken been heb. Daarmee is het voor mij dus geen bijzonder persoonsgegeven.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.