IAB Europe heeft wellicht Europese privacywet geschonden met cookiepop-ups

OpenClipart-Vectors / Pixabay

IAB’s raamwerk waarop de cookiepop-ups voor veel websites zijn gebaseerd, is wellicht in strijd met de Europese privacywetgeving.Dat meldde Tweakers onlangs. De Belgische Gegevensbeschermingsautoriteit heeft een concept-uitspraak (die dus het raamwerk in strijd met de AVG verklaart) afgerond en met de collega-toezichthouders gedeeld voor commentaar. Dit is verplicht vanwege het grensoverschrijdend karakter van de inbreuk. De kern is dat het systeem te onduidelijk voor gewone mensen is.

Na invoering van de AVG lanceerde de Interactive Advertising Board een handig framework waarmee adverteerders in heel Europa AVG-compliant marketingcookies zouden kunnen zetten. Met een standaard interface geef (of weiger) je toestemming, of beheer je je legitiem-belang wensen. Deze worden centraal beheerd in een consent string, waarmee adverteerders dus niet bij elke site opnieuw toestemming hoeven te vragen.

Een kernvereiste van de AVG is transparantie en duidelijkheid: wat gebeurt er precies, tot in detail en in gewonemensentaal. Dat gaat al snel mis bij iets complex als online adverteren, helemaal als we het begrip real-time bidding (RTB) erbij halen. De kern daarvan is dat als je een site bezoekt, er een paar honderd (of duizend) robots met elkaar gaan bieden op advertentieruimte gericht op jou, op basis van wat zij van je weten en hoe interessant jij op dat moment bent.

Dit uitleggen is een stuk moeilijker dan de IAB consent teksten doen voorkomen, en dat is dan gelijk het probleem: als je niet duidelijk en in eenvoudige taal uitlegt wat er speelt, dan ga je op dat moment al tegen de AVG in. We komen dan niet eens toe aan de vraag of er op eerlijke manier toestemming is gevraagd, of de legitiem belang afweging klopt of ga zo maar door. U bent af, delete al uw data en doe het niet meer. En dat zou een pijnlijke zijn.

Een bijkomend probleem is dat  hoewel het IAB framework expliciet niet bedoeld is om de zogeheten bijzondere persoonsgegevens te verwerken (zoals seksuele voorkeur of etnische afkomst), dit in de praktijk wel gebeurt. Zo bleek in 2019 mensen uit de LGBTQI+ community getarget te worden voor Poolse wetgevingslobby, en in Ierland 1300 mensen te zijn getarget in de categorieën “Brain Tumor,” “Incontinence” and “Depression”.

Formeel is het nog geen besluit, want in theorie kunnen de collega-toezichthouders de boel afkeuren of een geheel andere insteek presenteren. Maar het voorspelt weinig goeds.

Arnoud

9 reacties

  1. We moeten gewoon af van dat op kenmerken van de bezoeker gericht adverteren (gewoon keihard verbieden), en ons weer gaan richten op advertenties die passen bij de inhoud van de site die bezocht wordt, vanuit het eenvoudige principe dat iemand die interesse heeft voor dat onderwerp, ook waarschijnlijk interesse heeft voor op dat onderwerp gerichte relevante advertenties. Dat is ook veel beter voor kleinere websites, die niet de marktmacht van een Google of Facebook hebben, en voor de bezoekers, die niet zitten te wachten op advertenties voor stofzuigers (ik noem maar iets), omdat ze gisteren er een gezocht en gekocht hebben.

    1. De enige reden dat ik naar advertenties kijk is omdat ik benieuwd ben wat het algoritme nu weer heeft opgepikt. Wat ik koop bepaal ik op basis van ervaring en reviews van partijen die ik daarmee vertrouw.

      Je slaat echt de spijker op de kop met jouw laatste zin. Afgelopen week weer een mooi voorbeeld van gezien. Ik had bij Megekko een CPU gekocht en kreeg een week lang op allerlei sites advertenties voor CPU’s voorgeschoteld. Het interessante is natuurlijk dat ik hiervoor letterlijk twee sites heb bezocht: op Tweakers de Pricewatch voor de CPU die ik ging kopen en van daaruit direct doorgeklikt naar de pagina bij Megekko besteld en betaald.

      Op basis van louter die informatie krijg je dan een week reclames voor iets wat je al gekocht hebt. De AI die daar achter zit is vooral artificieel en weinig intelligent 😉 Als de targetting zo werkt dan kan je inderdaad beter doen wat jij zegt: site gerelateerde reclames. Dit is slechts het laatste voorbeeld in een lange reeks voorbeelden, ik vraag me echt af hoe iemand kan denken dat iemand met reclame bestoken voor iets wat die net gekocht heeft effectiever kan zijn als ouderwetse context gerelateerde reclame.

      1. Dat komt doordat advertenties niet rechtstreeks verkocht worden, maar er een laag advertentieboeren tussenzit. Die worden betaald per conversie (of krijgen meer per advertentie als ze een hogere conversierate hebben), en er zijn twee manieren om de conversierate op te krikken: 1) Zulke goede advertenties laten zien dat je het product daadwerkelijk koopt. 2) Voorspellen wat je van plan bent om te kopen, daar advertenties van tonen, en dan roepen dat je het daarom koopt. Ze hebben je dus niet goed genoeg gevolgd om te weten dat je die CPU al hebt gekocht, maar weten wel dat je hem wilt hebben, en hopen dus hun advertenties te kunnen linken aan jouw toekomstige aankoop. (En “een beetje” te veel advertenties laten zien voor iets waarvan vrij zeker is dat je het gaat kopen is het wel waard)

  2. of beheer je je legitiem-belang wensen.

    of beheer je HUN legitiem belang, althans zo lees ik dat soort popup walls met knopjes. Zij denken dat ZIJ een legitiem belang hebben. Gekke is dat het soms een grijs knopje is dat je niet uit kunt zetten en soms een knopje wat je wel uit mag zetten. Maar in essentie zijn dat soort schermen nooit eenvoudig. Bergen knopjes en vaak twee of drie lagen diep allerlei vage partijen die allemaal wat willen met mijn gegevens.

  3. Dat legitiem belang in sommige pop-ups begreep ik nooit. Een bedrijf heeft toch wel of niet een legitiem belang? Wat heeft dat met toestemming / goedkeur te maken?

    Het enige dat ik kan verzinnen is dat jij hun legitiem belang erkend door dat vinkje niet uit te zetten en dat je dan niet zou mogen klagen later dat ze geen belang zouden hebben. Deze redenatie komt bij mij niet door de giecheltoets. Ik vond Facebooks argument nog beter, een overeenkomst met de gebruiker hebben voor het leveren van persoonlijke reclame aan hem, dus is de uitzondering voor uitvoer van een overeenkomst van toepassing.

    1. Van wat ik uit een eerder AVG-gerelateerde post op dit blog begreep, is dat de mogelijkheid om die optie ‘legitiem belang’ uit te vinken in dit soort AVG-meldingen, bedoeld is als een soort vereenvoudigde bezwaarprocedure. Het klopt dat bij de grond ‘legitiem belang’ je geen toestemming hoeft te vragen om de data te verwerken, maar het moet wel mogelijk zijn om hiertegen bezwaar te maken door de persoon waar de data over gaat.

      Veel bedrijven zullen niet zitten te wachten op het ontvangen en moeten afhandelen van mailtjes die bezwaar maken tegen de gemaakte belangenafweging; het is dan wel zo handig als mensen zelf dat bezwaar kunnen afhandelen door ook de ‘legitiem belang’ optie handmatig uit te schakelen. Het voelt wat gekunsteld omdat het in de presentatie op hetzelfde neerkomt als ’toestemming’, maar ik kan het vanuit praktisch oogpunt wel begrijpen.

  4. waarmee adverteerders dus niet bij elke site opnieuw toestemming hoeven te vragen.

    Wacht even, er wordt toch toestemming gevraagd voor de site die je op dat moment bezoekt ? Hoe kan dat toestemming voor andere sites opleveren ?

  5. Zoals ik het lees is dit hele systeem compleet idioot. Ik geloof niet dat site X die advertentie provider Y gebruikt werkelijk zorgvuldig selecteert welke van de 300+ partners werkelijk fatsoenlijk met de privacy van de bezoekers omgaan. Naast het feit dat het onmogelijk is om werkelijk geïnformeerd toestemming te geven voor bepaalde verwerking. Mijn persoonlijke probleem is dat ik wellicht een site wil vertrouwen, en wellicht een paar specifieke advertentieboeren (reward schema?), maar niet een hele industrie. Ik weet ook heel goed hoe websitebouwers denken en die denken aan (gratis) features, niet aan privacy. Denk aan zaken als google analytics en Facebook like buttons (allebei web bugs).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.