‘Klantje-pik’ met hulp van mobiele gegevens, mag dat?

Verschillende grootwinkelbedrijven gebruiken telefoongegevens om te zien wie bij hun concurrenten over de vloer komt. Dat meldde het FD onlangs. De achterliggende techniek staat bekend als ‘geo-conquesting’ en komt erop neer dat je op basis van iemands locatie – specifiek, hij is bij de concurrent – een advertentie toont die bedoeld is om hem weg te lokken bij de concurrent. Dit matchen gebeurt op basis van IMEI- en dergelijke nummers uit de telefoon, of profielen van dienstverleners zoals Facebook of Google. En het zou niet in strijd zijn met de AVG. Wishful thinking, als je het mij vraagt.

Commercieel is het een best slimme truc, om mensen een aanbieding te doen om naar jou te komen terwijl ze net bij de concurrent dat wilden kopen. Het voorbeeld uit de FD is koffieketen Dunkin’ Donuts dat kortingscoupons voor koffie stuurt als je bij de Starbucks in de buurt bent. Google weet dat je daar bent, en kan dan die advertentie op dat moment vertonen. Veel relevanter en daardoor effectiever dan wanneer je in de trein zit of ’s avonds na het diner nog even wat nazoekt.

Twee dingen vallen daarbij op. Allereerst wordt gezegd dat dit niet in strijd is met de AVG, omdat er geen naam of adres nodig is, “ze hebben genoeg aan anonieme gebruikerscodes – user id’s – van telefoons”. Maar dat is geen argument. Onder de AVG is ieder gegeven een persoonsgegeven zodra het gekoppeld is aan een identificator, en dat begrip is veel breder dan iemands naam of adres. Een online identificator zoals een cookie of een uit de telefoon uitgelezen IMEI is gewoon een persoonsgegeven.

Opvallender vind ik deze passage:

Klanten geven er, al zullen ze het niet doorhebben, zelf toestemming voor dat adverteerders die data verzamelen. Wie commerciële app’s gebruikt, geeft toestemming om gebruiksinformatie te delen of te verkopen.

Dit is vanuit AVG-perspectief de grootst mogelijke onzin. Toestemming onder de AVG moet immers een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting zijn. Je kunt dus niet op voorhand voor van alles en nog wat toestemming vragen in algemene zin. Wie dus een spelletje installeert, en op basis daarvan wordt geprofileerd als een koffiedrinker zodat hij bij de Starbucks een bon voor de concurrent gaat krijgen, heeft daar geen toestemming voor gegeven. Ook al staat het honderd keer in de privacyverklaring en weet iedereen dat appbouwers ook geld moeten verdienen.

Wat wél kan, is dat deze advertenties op basis van de grondslag “eigen gerechtvaardigd belang” worden verstuurd. Dan is er geen toestemming nodig. Wel moet je informeren dat je dit doet en waarom jouw belang opweegt tegen de privacy van mensen. Ook moet er een opt-out mogelijkheid zijn (recht van bezwaar).

Het argument wordt dan, waarom weegt jouw commercieel belang op tegen de privacy. Direct marketing kunnen doen is een legitiem belang onder de AVG, het gaat er dus om hoe ver je mag gaan met welke reclame je stuurt en wanneer. Dat gaat hier best ver, het voelt nogal indringend dat je weet waar ik ben en daar een gericht aanbod op doet. En dat maakt dat het privacybelang erg zwaar zal wegen. Ik denk dus niet dat je het onder deze grondslag rond krijgt.

Arnoud

14 reacties

    1. Is het wel geinformeerd als mensen als een kudde blinde koeien achter het “GRATIS!!!!!” aanstormen en de kleine letters niet lezen omdat ze dan toch echt hun leesbril moeten pakken en ze toch al laaggeletterd zijn? Want Gratis heel groot en de voorwaarden heek klein en in heel moeilijke taal is wel een populaire tactiek. En een rotstreek.

    2. Dit is vanuit AVG-perspectief de grootst mogelijke onzin. Toestemming onder de AVG moet immers een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting zijn. Je kunt dus niet op voorhand voor van alles en nog wat toestemming vragen in algemene zin. Wie dus een spelletje installeert, en op basis daarvan wordt geprofileerd als een koffiedrinker zodat hij bij de Starbucks een bon voor de concurrent gaat krijgen, heeft daar geen toestemming voor gegeven. Ook al staat het honderd keer in de privacyverklaring en weet iedereen dat appbouwers ook geld moeten verdienen.

      Volgens mij dekt dit de lading. Natuurlijk kun je er dan nog expliciet om vragen, maar als dat té standaard wordt, krijgen we daar ook een wet tegen, lijkt me zo.

  1. ik denk dat de eerste vraag is wie de verwerkingsverantwoordelijke is. Ik vermoed dat dat niet de koffieketen is, maar het advertentiebureau, die op basis van locatie (en profiling?) advertenties aanbied aan de doelgroepen van haar klanten.

    met profiling op basis van gerechtvaardigd belang (anders kan ons bedrijf niet bestaan) en vervolgens het met derden delen van gepseudonimiseerde gegevens zoeken ze zeker de randjes van de wet op…

  2. IMEI? Hoe werkt dat dan? Ik snap het wel als ik de AH-app geïnstalleerd heb, hoe dat dan zou kunnen. (Alhoewel ik wel vreemd zou opkijken als Android zou aangeven dat AH mijn locatie gebruikt wanneer ik de app niet actief gebruik.) Maar hoe werkt het met een IMEI?

  3. Als de app van AH een korting geeft als je hem opent in of in de buurt van bv een Jumbo denk ik dat weinig mensen er problemen mee hebben. In andere gevallen wordt het lastiger. Voor mij zou het reden zijn dergelijke apps te verwijderen. Het liefste zou ik op simpele wijze elke vorm van tracking blokkeren.

  4. Hi Arnoud, Voor het uitlezen van het IMEI of het uitlezen van locatiegegevens uit het apparaat door bv Google of Facebook is toestemming vereist op grond van artikel 11.7a van de Telecomwet. Dat betekent volgens mij, ivm de samenloop van wetgeving, en omdat de Verordening niet boven de huidige ePrivacyrichtlijn gaat, dat toestemming ook de enige mogelijke grondslag is voor de resulterende verwerking ervan voor het tonen van de advertenties. Dus geen gerechtvaardigd belang?

    1. Daar zit wat in. Ik twijfel wel of je kunt spreken van “toegang verkrijgen tot informatie in de randapparatuur van een gebruiker” in de zin van 11.7a Tw, omdat die informatie niet al in het apparaat zit maar op het moment van bevraging wordt berekend en doorgegeven. Daarnaast kun je je afvragen of dit te zien is als onderdeel van een gevraagde dienst, bij de app van McDonalds hoort wellicht gewoon dat hij locatiegebaseerde berichten stuurt. Krijg je wel de circulaire discussie wanneer iets “strikt noodzakelijk” is voor een dienst die op zichzelf volstrekt overbodig is.

      Verder zullen de app-bouwers natuurlijk volhouden dat er toestemming is gegeven toen je de app installeerde en Android vroeg “mag de app locatiegegevens uitlezen” in combinatie met een privacyverklaring waarin staat dat je op locatie afgestemde diensten gaat krijgen.

      1. Ik twijfel wel of je kunt spreken van “toegang verkrijgen tot informatie in de randapparatuur van een gebruiker” in de zin van 11.7a Tw, omdat die informatie niet al in het apparaat zit maar op het moment van bevraging wordt berekend en doorgegeven.

        Arnoud, meen je dit serieus of is het een vrijdagmiddag verspreking?

        Als we streamen als downloaden zien omdat het ergens heel kort in een cache zit dan moet alle informatie die uit een telefoon komt (dus ook berekende informatie) gewoon gezien worden als informatie die in het toestel zit.

  5. Goh wat een verrassing. Weer blijkt maar dat als je iets “gratis” gebruikt (bijv apps van grootgrutters of koffie ketens) dat JIJ het product bent en dat je je privacy weggeeft. Ikzelf heb FB ruim een jaar geleden buitengezet en ben inmiddels op Diaspora* overgestapt. Een SOCIAAL media platform dat privacy wel hoog in het vaandel heeft staan.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.