Toezichthouder: cookiepop-ups advertentie-industrie in strijd met AVG

De cookiepop-ups waar zeer veel websites gebruik van maken voor het plaatsen van trackingcookies zijn in strijd met de AVG, zo heeft de Belgische Gegevensbeschermingsautoriteit (GBA) bepaald. Dat meldde Security.nl vorige week. De websites maken gebruik van het Transparency and Consent Framework (TCF) van het Interactive Advertising Bureau Europe (IAB Europe), de branchevereniging voor de advertentie-industrie. Die heeft natuurlijk vanaf het begin duidelijk aangegeven dat dit de manier is om AVG-compliant real time bidding te doen voor advertenties, dus dat zal een forse tegenvaller zijn geweest.

Het TCF is een kader voor Real Time Bidding op advertentieruimte. Het idee is dat als je op een website komt met advertentieruimte (zoals een banner), een hele sloot bedrijven (denk een kleine duizend) hun waarde voor jouw bezoek met elkaar vergelijken (ik bied 2 cent, ik bied 1 cent maar heb betere targeting) zodat de website de best passende gebruikerservaring kan bieden.

Punt is dat je daarvoor toestemming nodig hebt, want voor zulk tracken en profileren kom je onder de AVG niet weg op een andere manier. Security.nl legt uit:

Het TCF vergemakkelijkt, via het Consent Management platform of CMP, het vastleggen van de voorkeuren van gebruikers. Deze voorkeuren worden dan opgeslagen in een “TC string”, die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt.
Dat is dus een probleem in België:
De verwerking van persoonsgegevens (bijv. gebruikersvoorkeuren vastleggen) onder de huidige versie van het TCF is niet in overeenstemming met de AVG, wegens een inherente inbreuk op het beginsel van behoorlijkheid en rechtmatigheid. Men vraagt mensen om hun toestemming te geven, terwijl de meesten van hen niet weten dat hun profielen dagelijks talloze keren worden verkocht om hen aan gepersonaliseerde advertenties bloot te stellen.
Wat natuurlijk precies is dat iedereen in de industrie eigenlijk wel wist. Het komt terug op het algemene punt: zeg je “oh ja leuk, ik wil dat 1500 techbedrijven profielen van me opbouwen om advertenties te matchen nadat ze mijn data hebben gecorreleerd met aangekochte vage bestanden” of “donder op met je cookies ik wil het nieuws lezen”. De GBA zegt nu “dat laatste” en in juridische taal noemen we dit dan een non-AVG-compliant toestemming.

Het is wel een beetje de “hou maar op met je website”-week zo lijkt het: geen Analytics, geen Google Fonts, geen cookietoestemming meer. Toeval denk ik dat die uitspraken tegelijk komen, maar het is wel een duidelijk signaal: het recht loopt traag, maar als het eenmaal loopt dan moet je écht aan de bak.

Arnoud

19 reacties

  1. Anders dan de Google Fonts uitspraak is deze helemaal niet verrassend. Vrijwel alle cookie-popups slaan het ‘informed’ deel van informed consent over. In dat kader is de Apple actie wel mooi, het geeft goed aan hoe de consument reageert als je echt eerlijk informed consent zoekt.

    “App would like permission to track you across apps and websites owned by other companies”

    Als je daar ja klikt is er sprake van informed consent. Wat blijkt? Mensen klikken nee! Daarom willen ad bedrijven niet vertellen wat ze doen. Als ze het wel vertellen zeggen consumenten gewoon nee.

      1. ook ’track you across apps and websites’ is niet specifiek.

        1) Wat wordt er getracked? Puur het feit dat ik die apps en websites heb opengedaan, of ook hoe lang ik er geweest ben er wat ik er gedaan heb? 2) Welke apps en websites? Allemaal of sommige? En mag ik weten welke? 3) En wat is het (officiele) doel? Mag ik aub weten waarom ik getracked wordt. Om de user experience echt te verbeteren, of om de user experience vermeend te verbeteren, of om een andere reden?

  2. Weet een van de lezers van dit onvolprezen blog misschien hoeveel het nu echt uitmaakt voor zo’n website, of ze kiezen voor TCF van de IAB om RTB te doen via het CMP (snapt u het nog?) in plaats van “ouderwetse” content-gerelateerde advertenties? Scheelt dit echt zoveel, qua inkomsten? Ik snap dat ik niet representatief ben voor de gemiddelde gebruiker, dus dat zal ongetwijfeld mijn kijk hierop beinvloeden, maar ik doe werkelijk alle mogelijke moeite om die hele brei aan drieletterige acroniemen buiten de deur te houden. Browserinstellingen, adblockers, scriptblockers, containers, canvasblockers, URL parameter cleaners en dergelijke. Ik misgun websites hun inkomsten niet, maar ik wil gewoon niet getrackt en geprofileerd worden. Ik zou veel meer advertenties zien als ze gewoon ouderwets content-afhankelijk en niet trackend zouden zijn. Vandaar: iemand een goed idee hoeveel het die websites daadwerkelijk meer oplevert?

    1. De STER heeft dat gedaan, en daar over geschreven. Het werkt prima. https://www.emerce.nl/opinie/cookieloos-adverteren-lessons-learned

      Wat ik mis in het stuk, en wat denk ik de reden is dat veel partijen er niet aan willen, is dat je vaak een niet commercieel interessante context hebt. Het reclamebudget van Whiskas is maar zo groot, dus wat zet je bij het volgende kattenfilmpje? Dan is het handig om een profiel van de bezoeker te hebben en iets anders te tonen wat wellicht interessant is.

      1. Dank, dat was een interessant stuk. Het lijkt dus op zich prima mogelijk, al zal het sterk afhangen van de aard en hoeveelheid content die een website heeft.

        Voor wat betreft reclames bij kattenfilmpjes..nou ja, merken kattenvoer denk je geljik aan, maar ik zie er wel meer. Supermarkten met aanbiedingen voor kattenvoer, bijvoorbeeld. Maar je kan ook iets verder kijken. Als je weet dat gezinnen vaker katten hebben dan alleenstaanden, en vrouwen vaker dan mannen, dan kan je rondom kattenfilmpjes ook reclame maken voor gezinsverpakkingen waspoeder en producten met aloe-vera. (disclaimer: Ik generaliseer heel bewust; een hyperbool ter illustratie). Ik bedoel maar, ik denk werkelijk dat het prima mogelijk is om advertenties content-afhankelijk te maken, en jouw artikel laat dat ook zien. Een nieuwe vraag die zich voordoet: welke bedrijven en producten zijn het precies die, quote uit hetr artikel: “Veel merken willen immers zo specifiek mogelijk targeten”, zo specifiek mogelijk willen targeten, en waarom willen ze dat zo graag?

      2. Het verhaal van de STER klopt in zoverre niet dat publiekeomroepsites anno 2022 nog steeds cookietoestemming vragen. En dat doen ze voor AL hun sites (onder verschillende domains) via EEN gemeenschappelijk domain. Daardoor zijn het allemaal third-party cookies. Als je die in je browser niet toestaat, onthoudt hij ze niet, en moet je elke keer opnieuw door dat gezeik heen. DAT is pas irritant.

    2. Scheelt dit echt zoveel, qua inkomsten?

      Toen ik nog advertenties op mijn site had, bleken ze bij testen meestal NIET gerelateerd aan de content van de pagina, EN ik als geprofileerde gebruiker was er niet in geïnteresseerd.

      Op Youtube, waar ik altijd ingelogd sta met mijn Google-account, krijg ik vooral reclames voor damesgezichtverzorgingsproducten, waar ik beslist NIET in geïnteresseerd ben.

      De getargete reclames die ik opmerk betreffen dingen die ik al heb en dus niet nog eens ga afnemen. Zo hebben we sinds kort glasvezel van Caiway. Krijg ik reclames voor glasvezel van Delta Fiber. Maar dat is al jaren één concern.

      Kortom: ook dit werkt helemaal niet, het is een hype. Iedereen denkt van wel, praat elkaar na, en betaalt er grif en grof voor.

  3. Een nieuwe vraag die zich voordoet: welke bedrijven en producten zijn het precies die, quote uit hetr artikel: “Veel merken willen immers zo specifiek mogelijk targeten”, zo specifiek mogelijk willen targeten, en waarom willen ze dat zo graag?

    Omdat de kans op conversie toeneemt naarmate een advertentie beter aansluit (relevanter is).

    1. Daar lijkt wel een soort logica in te zitten, maar is daar ook bewijs voor? Vooralsnog wordt ik vaak nog achtervolgd door advertenties voor een product wat ik net heb gekocht.

      Weegt dat bovendien op tegen de privacyschending die het volgen van vrijwel alle internet activiteit van een individu is? IRL zou je ook niet willen dat iemand je door het winkelcentrum heen volgt om de volgende dag een folderselectie op maat door de brievenbus te gooien.

        1. Er is ongetwijfeld sprake van automatisering bij het runnen van dergelijke campagnes. Bij boeken werkt dit beter (‘klanten die dit boek kochten, kochten ook…’). Maar bij een rijstkoker passen doorgaans geen aanbevelingen van soortgelijke apparaten (maar bijvoorbeeld wel kookboeken, recepten, stoommandjes, enz).

      1. Er is ongetwijfeld onderzoek naar gedaan zijn, maar ik heb zo geen bron paraat. Dat je nog ‘achtervolgd’ wordt (op hetzelfde device) is m.i. vaak gebrekkige inrichting; geconverteerde klanten moeten (natuurlijk) uitgesloten worden van retargeting. Over devices heen is dat wat lastiger, natuurlijk.

        1. Het ironische is dat om dit probleem op te lossen er juist eigenlijk méér data naar de advertentieboer toe moet: het feit dat jij inmiddels een product of dienst hebt aangeschaft, en daar geen advertenties meer voor moet krijgen. Ik kan mij zo voorstellen dat de meeste mensen daar ook niet op zitten te wachten, zeker als het om wat delicatere zaken gaat dan een rijstkoker.

          Overigens is dat ook niet noodzakelijk een garantie: als je net terugkomt van je prachtige vakantie in Argentinië met die overnachting die je via booking.com had geboekt, bestoken zij je ook rustig nog even met “Plan snel je volgende trip terug naar Argentinië” en “Deze hotels in Buenos Aires zijn nu extra goedkoop”, alsof je daar wekelijks naartoe afreist.

  4. Ik stel voor dat iedereen eens naar b.v. het Privacy- en cookiebeleid van Drimble surft: https://drimble.nl/ (Wel vanuit een ‘schone’ browserhistorie overigens.) Als het goed is, komt dan de popup met het privacy- en cookiebeleid naar voren. Waar gaan gegevens naar toe: meer dan 35 pagina’s (!!) later heb je het volledige overzicht over het delen van persoonsgegevens vanuit toestemming of gerechtvaardigd belang, maar of dit dan ook voldoende inzicht geeft….

    1. Mja, die 35 pagina’s (en de 1000+ zorgvuldig geselecteerde advertentiepartners) zullen ongetwijfeld ook door de “duidelijke taal toets” komen. Lees taal-niveau van 13-jarige. Vage statements zoals: “voor kwaliteitsdoeleinden, om uw ervaring te verbeteren, etc.” werken ook niet. Naast het feit dat ze het bewaren van de voorkeur ook achter een cookie gooien zodat je elke keer weer toestemming moet geven (maar dan niet vertellen wat er veranderd is).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.