Wat mag je nog met tracking pixels tegenwoordig?

orgverzekeraars maken gebruik van omstreden tracking-software die is verstopt in e-mails aan klanten, zo meldde Radio 1 onlangs. Deze reportage was een vervolg op eerdere berichten dat onderwijsdienst DUO trackers gebruikte om te zien of studenten hun mail wel lazen, zonder dit te melden. Dat zou in strijd zijn met de AVG. DUO is ermee gestopt, de door Reporter Radio onderzochte zorgverzekeraars gaan hun privacyverklaring aanpassen maar lijken niet te stoppen. Wat dus de vraag oproept, mag dat nu wel of niet van de AVG?

Een tracking pixel is een al wat oudere truc om te achterhalen of iemand je mailbericht heeft gelezen, althans opengeklikt. Er zit dan een plaatje van 1 bij 1 pixel in de mail, en je mailprogramma haalt dat plaatje op net zoals andere afbeeldingen. Dat valt jou als lezer niet op want het is maar 1×1 pixel en bovendien wit of transparant. Maar bij het ophalen wordt je IP-adres geregistreerd, en de bestandsnaam is uniek voor jou als ontvanger zodat de afzender kan zien dat deze pixel vanuit jouw mailbericht is opgevraagd. Dat is dan het bewijs dat jij die mail hebt geopend.

In deze context is dat IP-adres een persoonsgegeven, of iets preciezer: die unieke bestandsnaam in combinatie met IP-adres en datum plus tijd van opvraging is het persoonsgegeven “persoon ed@example.com heeft de mail opengeklikt”. En dan is de AVG van toepassing.

Onder de AVG moet je allereerst een grondslag hebben. Dat zal gewoonlijk het eigen gerechtvaardigd belang moeten zijn, want toestemming vraagt geen hond en echt noodzakelijk voor een overeenkomst is het niet. Welke nieuwsbrief is zo belangrijk dat je moet moet moet weten dat deze aangekomen is? Maar een eigen belang – marketing en statistieken – dat zie ik wel. Daar staat dan natuurlijk het privacybelang van de ontvanger tegenover, maar wanneer je de vastlegging uitsluitend gebruikt voor algemene statistieken (deze truc geeft 5% meer opens, in België leest slechts 20% onze nieuwsbrief) dan denk ik dat het marketingbelang wint.

Wel moet je duidelijk informeren over de tracking. Dat zal op zijn minst in de privacyverklaring moeten gebeuren. Maar eigenlijk denk ik dat het duidelijker moet dan dat – een zin bij het “inschrijven voor de nieuwsbrief” formulier, en misschien zelfs wel een zin in de mail zelf. Hoewel dat laatst eigenlijk wat laat is, de tracking pixel is dan al ingeladen. Ook moet er een opt-out (bezwaar) mogelijkheid zijn. Dat mensen zelf blockers kunnen installeren, is wat mager. Je zult mensen dat dan uit moeten leggen. Maar ik denk dat je dan een heel eind komt.

Oh ja, dan is er ook nog de Telecommunicatiewet die in tegenstelling tot wat de Volkskrant zegt wél geldt voor tracking pixels. Er wordt immers een pixel op je computer gezet. Dat “de registratie gebeurt op de server van de afzender” is niet relevant, de Telecomwet gaat niet over waar persoonsgegevens worden verwerkt maar of er data op randapparatuur wordt opgeslagen. Maar het gaat desondanks goed, omdat dergelijke simpele analytics vallen onder de Nederlandse uitzondering op de cookiewet. Dit schendt niet of nauwelijks de privacy en is bedoeld om de effectiviteit van een geleverde dienst te meten. Dan is er geen toestemming nodig.

Dus onder de streep kom ik uit bij een kopje in de privacyverklaring “nieuwsbrief en volgsysteem” waaronder je uitlegt dat je tracking toepast, welke gegevens je vastlegt daarvoor en hoe mensen dit tegen kunnen houden. Toestemming vragen is niet nodig.

Voor DUO ligt dat anders. Dat is een overheidsinstantie, dat die mails verstuurt in de uitoefening van haar publieke taak. In dat geval is zij niet bevoegd de grondslag van het eigen gerechtvaardigd belang in te roepen – zij moet een wettelijke grondslag hebben om dit te mogen doen. En die is er niet.

Arnoud

25 reacties

  1. Ik stel een tracking-pixel uitwisselingssysteem voor. Voer de URLs van je eigen tracking-pixels in, en dan wordt er een stuk of honderd (of meer!) tracking-pixels van ander deelnemers ingeladen. Doe dat een tijdje en die dingen worden redelijk nutteloos.

    Daarnaast laad mijn e-mailsoftware die dingen sowieso niet in, en ik zal vast niet de enige zijn, dus ik betwijfel altijd het nut van dit soort systemen, krijg je zo niet alleen data van mensen waar het niet geblokkeerd is?

      1. Eh, briefgeheim? Hoe verhoudt zich dit dan tot een aangetekende zending of een zending met ontvangstbevestiging? Daar is toch ook geen toestemming voor nodig? Ja, je kunt weigeren, maar dan krijg je de brief niet maar wordt de weigering alsnog geregistreerd. Die pixel (wel of niet weigeren) heb je dan dus hoe dan ook te pakken… Overigens zegt art 8 van het EVRM niet zoveel over het briefgeheim volgens mij. Er wordt hooguit gesproken over respect voor correspondentie, en dat is een dermate ruim begrip dat ik daar niet zoveel mee kan in de context van dit onderwerp.

  2. “zodat de afzender kan zien dat deze pixel vanuit jouw mailbericht is opgevraagd. Dat is dan het bewijs dat jij die mail hebt geopend.” Dat laatste klopt denk ik al lang niet meer altijd. Er zullen vast wel mail filter oplossingen zijn die alles in een sandbox binnenhalen om te zien wat er allemaal in die email zit, dan zul je dus ook moeten gaan kijken wie/wat/waar het geopend is.

    1. Dat dacht ik ook. Iedere keer als ik een mailtje binnen krijg moet ik zelf aangeven dat ik de plaatjes er ook bij wil zien, en gek genoeg zeg ik eigenlijk nooit “ja” op die vraag.

      Daarmee worden deze vervloekte pixels ook geblokkeerd toch? Dus ook met zo’n pixel kun je echt niet zien of iemand wel of niet de mail gelezen heeft, en wat heb je er dan aan?

      1. Als je geen afbeeldingen laadt, wordt de pixel ook niet geladen. Het aantal opens wat wordt geregistreerd door dergelijke pixels is het minimale aantal; opens zonder pixel-load worden niet meegeteld. Klik je op een (trackable) link, dan wordt naast de click (ook zonder pixel) een ‘open’ geregistreerd – je kunt niet klikken zonder te openen.

        1. Met andere woorden, als bewijs dat je iets wel/niet gelezen hebt is het redelijk waardeloos (behalve dan wanneer iemand wel de plaatjes laadt, hele volksstammen doen dat natuurlijk gewoon) Je kunt het echter dus wel gewoon openen zonder dat de ontvanger het gemerkt heeft 😉

  3. Ik heb meegemaakt, dat een incassobureau ze gebruikte als bewijs, dat hun mail gelezen was. Dat begrijp ik wel, zo weten ze of die geadresseerde hem gezien heeft. Maar die mail voldeed in zijn opbouw aan alle voorwaarden, waaraan je mogelijke fishing mails kunt herkennen, dus ik had hem gesloten en weggegooid. Toen ze me belden, wees ik ze daarop, maar daar wilden ze niets mee doen. Ik vraag me af, wat een rechter in zo’n geval zou doen? Leuk dat ze weten, dat ik de mail heb gezien, maar het zou fijn zijn, wanneer ze op de inhoud van hun mail letten. Geachte heer/mevrouw, zonder de achternaam erbij blijft dubieus. Per slot van rekening moet dat gegeven toch onderdeel zijn van hun dossier.

  4. Daar staat dan natuurlijk het privacybelang van de ontvanger tegenover, maar wanneer je de vastlegging uitsluitend gebruikt voor algemene statistieken (deze truc geeft 5% meer opens, in België leest slechts 20% onze nieuwsbrief) dan denk ik dat het marketingbelang wint.

    Voor de voorbeelden die je noemt is het m.i. niet nodig om te weten dat ed@example.com de mail heeft geopend. Een algemeen plaatje/pixel zonder unieke bestandsnaam voor jou als ontvanger volstaat dan. Het afzender IP adres geeft al een indicatie van de regio waar de mail gelezen wordt.

    1. Nou, je wilt natuurlijk wel weten of er 1 persoon is die de mail 10000x heeft geopend, of dat het 8000 verschillende mensen waren. En dat kun je niet garanderen puur door het ipadres, aangezien dat gemakkelijk te wijzigen is (TOR, ander netwerk enzovoort)

  5. Vindt het allemaal toch wat dubieus. Marketing als eigenbelang heb ik al zo mijn vraagtekens bij, maar goed, stel dat dat nog mag.

    Maar de effectiviteit van je marketing meten is natuurlijk nog weer een stapje verder verwijderd van de core-business, verzekeringen verkopen (bijvoorbeeld), dan de marketing op zich. Ik twijfel dus aan de belangenafweging.

    De belangenafweging is namelijk niet ‘marketing mogen doen vs privacy’, maar ‘effectiviteit van marketing inschatten (niet eens bepalen) vs privacy’

    En ook de privacy-verklaring, daar kom je niet ver mee. Je kunt moeilijk verwachten van een consument dat hij de privacyverklaring van alle bedrijven waar hij emails van ontvangt gaat opzoeken en nalezen. In dit specifieke geval is ‘je had het kunnen weten want het stond in de privacyverklaring’ een flauw excuus, niet een reden waarom het wel zou mogen.

    En zelfs als ik al klant zou zijn, en ervoor zou willen kiezen wel de nieuwsbrief te willen ontvangen, na de privacyverklaring gelezen en begrepen te hebben, maar die nieuwsbrief zonder tracking pixel wil ontvangen, heb ik daar dan recht op? En hoe geef ik dat aan.

    Het is toch niet omdat ik toestemming geef om mijn emailadres op te slaan om nieuwsbrieven te ontvangen, dat ik dan meteen verplicht ook die tracking pixel erbij moet accepteren?

    Het simpele feit dat tracking pixels ontworpen zijn om stiekem te zijn, en ook altijd onopvallend gebruikt worden, maakt dat de verantwoordingslast op de verzender extra zwaar weegt.

  6. Merkwaardig. Zoals Daniël hieroven al opmerkte, zijn de toezichthouders een andere mening toegedaan. Die schreven in hun Opinie 2/2006 al:

    The Working Party 29 expresses the strongest opposition to this processing because personal data about addressees’ behaviour are recorded and transmitted without an unambiguous consent of a relevant addressee. This processing, performed secretly, is contradictory to the data protection principles requiring loyalty and transparency in the collection of personal data, provided by Article 10 of the Data Protection Directive.

    In order to carry out the data processing activity consisting in retrieving from the recipient of an email, whether the recipient has read it and when and whether it has forwarded it to third parties, unambiguous consent from the recipient of the email is necessary. No other legal grounds justify this processing. Therefore, the data processing that is performed secretly is contradictory to the data protection principles requiring unambiguously given consent, laid down by Article 7 of the Data Protection Directive. Hoe Arnoud dan nog ruimte ziet voor de interpretatie die hij hier geeft, is me een raadsel.

    1. Voor mij is die Opinie specifiek gericht op het “performed secretly”, stiekem mensen volgen is natuurlijk zeer not done. Maar als je duidelijk aangeeft dat je leesgedrag bijhoudt en waarom, en dat is een legitiem en weinig inbreukmakend doel (ontvangstbevestiging van facturen & zakelijke stukken bijvoorbeeld) dan zie ik met deze Opinion geen probleem.

      1. Bij komt dat niet door de giecheltoets: het hele idee van een pixel (ipv. een groter plaatje, of een read-receipt-request) is juist dat het ding niet opgemerkt wordt.

        En het vereiste van een opt-out-mogelijkheid, recht van bezwaar en beperking, etc. maakt het toch hoe dan ook ontoepasbaar in de praktijk?

  7. Ik denk dat we hier niet moeten vergeten dat (vrijwel) alle emailprogramma’s opt-in hanteren voor leesbevestigingen. Daarom moet je er vanuit gaan dat de gebruiker standaard géén toestemming verleent, en dat er dus nog uitdrukkelijk toestemming nodig is om dat om te keren. Het enkele feit dat sommige grappenmakers een technisch middel gevonden hebben om die opt-in te omzeilen (de trackingpixel) lijkt me geen argument om dan te zeggen: oh, dan heb ik opeens mijn eigen bedrijfsbelang als grondslag.

  8. Tracking pixels hoeft niemand last van te hebben. Ooit bestond e-mail uit alleen platte tekst, tot een bedrijf bedacht in zijn e-mail client een HTML processor op te nemen en daar wat onzin over bedacht om het voor velen aantrekkelijk te maken. Maar als iemand in zijn e-mail client de HTML processor op inactief zet wordt de platte tekst van elk bericht precies als platte tekst zichtbaar gemaakt en daarmee wordt het HTML formaat in e-mail berichten vrijwel onleesbaar. En omdat een tracking pixel in e-mail berichten als een HTML link naar een extern bestand is opgenomen wordt dat bestand niet opgehaald omdat de HTML processor niet actief is. Extra voordeel van geen HTML is minder data transmissie, dus een snelheidswinst en minder beveiligingsproblemen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.