Privacyexpert dient klacht in tegen adblocker-detectie YouTube

Sophieja23 / Pixabay

Privacyexpert Alexander Hanff heeft bij de Ierse privacytoezichthouder DPC een klacht ingediend over de detectie van adblockers door YouTube. Dat meldde Security.nl onlangs. Googles videoplatform zou de Telecommunicatiewet overtreden (de ePrivacyrichtlijn, eigenlijk), omdat het detecteren van adblockers neerkomt op uitlezen van gegevens bij de gebruiker, en dat vereist toestemming.

De aanleiding is dat YouTube recent is begonnen met het blokkeren van gebruikers die een adblocker hebben geïnstalleerd. Ik blogde hier in februari over, maar kon geen goede juridische tegenargumenten bedenken, afgezien van (dank, tipgever) de Telecomwet:

ik kreeg de tip dat de EC dit ooit illegaal had genoemd, omdat je met zo’n blockerdetector informatie uitleest van de client zonder directe noodzaak. Dat is dan in strijd met de cookiewet, oftewel de op randapparaten lezen- en schrijvenwet. Ik ben niet helemaal overtuigd, je leest niet uit welke addons geïnstalleerd zijn, je kijkt in de DOM van je eigen pagina of een bepaald element zichtbaar is dan wel of iets op je eigen server opgevraagd werd.
Dit is dus ook de insteek die Hanff kiest, en hij hoopt dat de Ierse privacytoezichthouder snel actie onderneemt wanneer er veel mensen gaan klagen.

Hoe houdbaar is het nu echt? Dat verbod op uitlezen van informatie op randapparatuur gaat over snuffelen, spioneren, rondkijken waar je niet hoort te zijn. Het detecteren of iets van je eigen pagina geladen of getoond wordt vind ik niet echt daarmee in lijn.

De webpagina is geconfigureerd om te kijken of een bepaald vakje op die pagina (genaamd “_banner”) wel of niet zichtbaar is in het browservenster. Zo niet, dan concludeer je dat er een adblocker in het spel is. Dat is volgens mij niet uitlezen van informatie op het randapparaat, dat is uitlezen in je zelf verzonden informatie.

De ACM gaf iets later nog aan dat zij het niet als overtreding van de Telecomwet zien, vanwege de Nederlandse uitzondering op de cookiewet over gebruik dat slechts zeer gering of geen inbreuk op de privacy maakt. En inderdaad kan ik het detecteren van een adblocker moeilijk als een serieuze schending van mijn persoonlijke levenssfeer zien. Maar dat is een Nederlands bedenksel in de wet waarvan de vraag is of dat überhaupt wel mag.

Arnoud

31 reacties

  1. De webpagina is geconfigureerd om te kijken of een bepaald vakje op die pagina (genaamd “_banner”) wel of niet zichtbaar is in het browservenster. Zo niet, dan concludeer je dat er een adblocker in het spel is. Dat is volgens mij niet uitlezen van informatie op het randapparaat, dat is uitlezen in je zelf verzonden informatie.

    Je leest natuurlijk niet DIRECT uit van het randapparaat, maar wel INDIRECT door een signaal te sturen en dan te kijken wat de volgende actie van de andere partij is. Je vraagt dus eigenlijk een status van het randapparaat op. Dat is ook onnodig.

    Zeker als je daar een zware consequentie aan verbindt (blokkeren) kun je niet met droge ogen volhouden dat het je niet om het (onnodig) uitlezen van die status te doen is.

      1. Het internet wordt sowieso in eerste instantie al gebruikt natuurlijk, door de check naar de client te sturen. Als de check enkel op de client gebeurt en niet teruggestuurd wordt zou het geen gevolgen voor je account mogen hebben, en zou YouTube überhaupt niet weten wie wel en niet voldoet. Probleem daarmee is wel dat de gemiddelde consument niet weet of kan bepalen of iets clientside gebeurt of server side, wat het in mijn ogen sowieso dubieus maakt.

      2. En op ICTRecht staat het (heb je het) nog zo mooi uitgelegd: zelfs voor het versturen van een script om deze niet strikt noodzakelijke activiteit uit te voeren, ook als dit voor de rest volledig client-side zou gebeuren, is toestemming vereist.

  2. De webpagina is geconfigureerd om te kijken of een bepaald vakje op die pagina (genaamd “_banner”) wel of niet zichtbaar is in het browservenster. Zo niet, dan concludeer je dat er een adblocker in het spel is. Dat is volgens mij niet uitlezen van informatie op het randapparaat, dat is uitlezen in je zelf verzonden informatie.

    Als een blocker echt zo simpel is om elke DIV met “_banner” op het einde niet weer te geven dan kun je dat op die manier wel detecteren, maar dat is natuurlijk voor elke blocker heel triviaal om te omzeilen in 3 regels aan JavaScript. Dan laat je de DIV staan maar maak je hem leeg, doorzichtig of je zet hem helemaal op de achtergrond zodat ie door de content wordt afgedekt.

    Volgens mij is het detecteren van blockers toch echt wat ingewikkelder, zoals blocker-detectie die kijkt of er wel echt een request gestuurd is naar de advertentie-server voor het serveren van de ad. Als dat niet gebeurt, dan probeert de blocker de pagina om de tuin te leiden.

    1. Het kan zeker technisch ingewikkelder, maar het principe blijft hetzelfde: de client manipuleert de DOM om banner-elementen buiten het zicht te houden, en Javascript van de webpagina detecteert die manipulatie. Leest die dan iets uit van de client?

      Ja: de DOM staat in het geheugen van de browser. Nee: de JS staat in datzelfde geheugen, hij leest dus zichzelf uit en dat verbieden kan niet de bedoeling zijn van de Tw.

      1. Het probleem met uitlezen van manipulatie en daaraan consequenties verbinden gaat nog verder. Er zijn genoeg landen waar een bepaalde mate van toegankelijkheid voor webpagina’s verplicht is, en je dus de mogelijkheid moet bieden om een pagina te manipuleren zodat die voor slechtzienden zichtbaar is, of voor te lezen valt met een screenreader. Als je een adblocker-detectie doet op basis van manipuleren van pagina’s, dan maak je die toegankelijkheids-opties onmogelijk.

        Ook de mogelijkheid voor het blokkeren van ads zou je af kunnen dwingen op toegankelijkheidsgronden, denk bijvoorbeeld aan epillepsie-patiënten die getriggerd kunnen worden door flitsende beelden in advertenties, en die dus preventief advertenties willen blocken.

        Nu is dat juridisch wel een heel ander argument dan puur de privacy/cookiewet die zegt dat je andermans device niet zo maar uit mag lezen, maar daardoor niet minder valide.

        1. Is deze hele discussie niet “besides the point”? Wat ik bedoel is dat als ik dit lees:

          Hanff vermoedde dus dat adblocker-detectiescripts ook vallen onder informatie opslaan bij gebruikers en dat het zonder melding en toestemming uitvoeren hiervan dus niet toegestaan is. De Europese Commissie heeft dit nu bevestigd. Ook heeft de Commissie duidelijk gemaakt dat het uitvoeren van server-side-scripts een vorm is van informatie ophalen.

          het helemaal niet uitmaakt in welke mate de adblock-detectie nu wel of niet alleen kijkt naar de DOM of kijkt of bepaalde requests gedaan zijn. De EC lijkt te hebben bepaald dat de huidige wet dusdanig is dat adblocker-detectie zonder toestemming van de gebruiker niet toegestaan is, punt. De exacte implementatie lijkt volgens de EC helemaal niet zo relevant.

          Of je het eens bent met dat standpunt is dan wat anders, maar voor zover ik het kan zien is dit wat de wet op dit moment zegt, of in elk geval hoe de wet op dit moment geinterpreteerd dient te worden.

          1. De EC heeft helemaal niets te zeggen over hoe wetten geïnterpreteerd worden. Ja, zij maken de tekst en mogen dan aangeven wat ze bedoelen, maar zodra de tekst in het Official Journal staat is de duiding aan de rechter en uiteindelijk aan het Hof van Justitie. De EC mag dan gerust meningen hebben maar die wegen niet zwaarder dan de jouwe of de mijne.

  3. Hoe belangrijk is het in de praktijk? Want Gootube kan wel leuk controleren of _banner zichtbaar is, en dan kan de adblocker leuk liegen over de zichtbaarheid van _banner.

    Uiteindelijk is dat een wedloop die Gootube alleen kan winnen als ze volledige controle hebben over het device, en alle adblockers kunnen weigeren aan de installatiekant. En dan zit je heel snel in het mededingingsrecht.

  4. Je stipt hier de zogenaamde cosmetische filters aan. Die zijn leuk als je een banner niet wilt zien maar het je verder niet kan schelen of de eventuele banner wel opgehaald wordt. Veel moderne add-blockers gaan veel verder en blokkeren het inladen van bepaalde externe content, wat resulteert in sneller ladende pagina’s, en geen data van jou die bij derden terecht komen als de content van een derde afkomstig was. Zie onder andere https://github.com/gorhill/uBlock/wiki/Does-uBlock-Origin-block-ads-or-just-hide-them . Addblocken gaat dus al lang niet meer alleen maar over irritant banners weghalen, maar over voorkomen dat jouw data bij commerciële bedrijven terecht komt.

    Hier kan je de huidige wapenwedloop tussen uBlockOrigin en YouTube volgen voor de huidige week: https://old.reddit.com/r/uBlockOrigin/comments/178yasm/youtubeantiadblockandadsoctober162023 Dit is al maanden bezig. Zodra YouTube een nieuwe blockmanier introduceert wordt dat binnen enkele uren, soms nog veel sneller gepatcht, het is dan dus puur wie de langst adem heeft.

    Overigens, People should be able to render web content as they want: https://www.w3.org/TR/ethical-web-principles/#render

  5. Laten we even een ander scenario aangeven: Als gebruiker van een website heb je de keuze om akkoord te gaan met de regels van de website of anders moet je de website verlaten. En onder die regel valt het recht dat YT advertenties mag tonen terwijl jij kijkt. Daar ben je mee akkoord gegaan want dat staat in de algemene voorwaarden die je hebt geaccepteerd. Dan kun je ook voorstellen dat YT het recht heeft om te controleren of die ads ook daadwerkelijk getoond worden, anders ben je in overtreding van de regels.

    Het detecteren van dit soort overtredingen lijkt mij een toegestane uitzondering voor de adblocker-blocker. Ik denk dat die expert dit zal verliezen. De YouTube Terms hebben in al dat Legalese vast wel iets over staan. Daar ben je mee akkoord gegaan als je op YT filmpjes gaat kijken.

    1. Het recht om advertenties te verzenden is toch echt wat anders als de plicht om die advertenties te kijken.

      Wat is het verschil tussen de advertenties skippen of naar de toilet gaan (om het oude VCR/TV voorbeeld maar weer eens van de plank te halen)?

      1. Ik las ooit het voorstel om een televisie te voorzien van aanwezigheidssensor: als de sensor detecteert dat er mensen de kamer verlaten, dan wordt het beeld gepauzeerd. Handig voor als je naar de voordeur moet tijdens een spannende film, maar een bijkomstige implementatie is dat de commercials worden gepauzeerd tot jij terug bent van de wc.

      2. Oh, je bent niet verplicht om de advertenties te bekijken, maar je mag de dienst van de website niet verstoren door deze advertenties te verwijderen voor ze worden weergegeven. Dat staat in de voorwaarden van YouTube. En als je het daar niet mee eens bent moet je YT gewoon niet gebruiken.

        De voorwaarden van YT bepalen dat je geen AdBlocker mag gebruiken om deze advertenties weg te filteren uit de pagina. Dit omdat je zo inkomsten voor YT ontneemt. Wil je geen advertenties dan kun je gewoon de betaalde YT versie nemen. Simpel, toch? Betalen of advertenties laden.

        1. Het probleem is mijns inziens vooral dat ze geen redelijk abonnement bieden. Ik had YouTube Premium, maar omdat ik stopte het gebruik van YouTube Music, ging ik terug naar Premium Lite. Dat bedragje had ik er wel voor over. Maar nu stoppen ze daarmee en word ik gedwongen om weer terug te gaan naar het dure, overkill-abonnement. Dan liever blokkeren van advertenties in plaats van zoveel te betalen.

          Ik zeg niet dat ze niets mogen verdienen, maar het is wel zo netjes om betaalbare opties voor iedereen aan te bieden. Stel je voor dat je straks alleen nog met de trein mag als je een duur maandabonnement neemt…

    2. Daarbij ga je er vanuit dat iemand überhaupt die voorwaarden heeft gezien en er akkoord mee gegaan is. Je kan op YouTube echter ook video’s kijken zonder ingelogd te zijn, en dus zonder akkoord te gaan met de voorwaarden.

      1. Nou ja, iedereen weet dat als je een website bezoekt, dat er dan ook voorwaarden aan zijn verbonden. Dat jij die regels gewoon negeert of niet eens leest is jouw eigen keuze. Maar dat betekent nog niet dat ze niet geldend zijn…

        Dat geldt ook voor bijvoorbeeld de huisregels van winkels. Je gaat een winkel binnen, maar binnen die winkel gelden regels. Daar moet je je gewoon aan houden.

        1. Er zijn verschillende rechterlijke uitspraken geweest waarin de “huisregels” van de website niet-bindend werden verklaard voor de bezoekers, omdat de bezoekers niet, niet duidelijk genoeg of niet tijdig gewezen werden op deze regels. Dat zal ook voor YouTube gelden want als ik de homepage open zie ik geen enkele verwijzing naar huisregels.

        2. Als ik (incognito en dus zonder oude cookies en zonder adblocker) YouTube bezoek, krijg ik dfe keuze:

          We gebruiken cookies en gegevens voor het volgende: * Google-services leveren en onderhouden * Uitval bijhouden en bescherming bieden tegen spam, fraude en misbruik * Doelgroepbetrokkenheid en sitestatistieken meten om inzicht te krijgen in hoe onze services worden gebruikt en de kwaliteit van die services te verbeteren Als je Alles accepteren kiest, gebruiken we cookies en gegevens ook voor het volgende: * Nieuwe services ontwikkelen en verbeteren * Advertenties laten zien en de effectiviteit ervan meten * Gepersonaliseerde content laten zien (afhankelijk van je instellingen) * Gepersonaliseerde advertenties laten zien (afhankelijk van je instellingen) Als je Alles afwijzen kiest, gebruiken we cookies niet voor deze aanvullende doeleinden.

          Als ik kies voor alles afwijzen, op basis waarvan wordt mijn adblocker dan precies gedetecteerd?

  6. En inderdaad kan ik het detecteren van een adblocker moeilijk als een serieuze schending van mijn persoonlijke levenssfeer zien.

    Hm, daar kijk ik toch anders tegenaan. Zoals @Michel al beschreef, zijn adblockers veel meer dan cosmetische filters. Mijn adblocker voorkomt dat ik onbewust data deel met derde partijen. Het zorgt er ook voor dat mijn browserervaring vlot en soepel is. Bovendien raak ik zwaar overprikkeld door al die advertenties, wat stressvol is en dus ongezond.

    Voor mij is het zelfs zo serieus, dat ik helemaal stop met youtube, als ik niet zonder ads kan kijken.

    1. Nee, ze zijn een overduidelijke schending van je zeggenschap over persoonsgegevens. Dat is juridisch een ander recht dan je privacy, je persoonlijke levenssfeer. Mark Z komt niet kijken als je op de wc zit, dát is een privacyschending. Hij weet hoe lang je daar zit en welke sites je dan bezoekt, dat gaat over persoonsgegevens.

      De uitzondering op de cookiewet voor trackingcookies verwijst naar persoonlijke levenssfeer, als die slechts gering is dan mag je tracken zonder toestemming. (Dit was voor firstparty analytics bedoeld.) Hoe ernstig je persoonsgegevens misbruikt worden, staat daar los van.

      1. Tracking gaat inderdaad over persoonsgegevens. Maar het feit dat ik ongevraagd met advertenties word gebombardeerd is toch wel een levenssfeer ding?

        Elke keer als ik een advertentie zie word ik een stukje ongelukkiger, en het is ondertussen al zover dat ik iedereen die ook maar iets met de advertentiewereld te maken heeft iets toewens wat ik hier niet ga herhalen.

      2. Ik neig wel een beetje naar WilleM’s standpunt. Het verplicht moeten kennisnemen van advertenties, met vervelende geestelijke en directe of indirecte lichamelijke gevolgen, lijkt me in strijd met de grondwet, artikels 10.1 en 11.

  7. Wordt een lastige zaak denk ik. Je gaat akkoord met het beleid van youtube, en als je vervolgens tools gebruikt om ads te blokkeren, dan ben je in feite in overtreding. Daarbij zie je in de Youtube Policy dat ze ook duidelijk een alternatief bieden. Niemand wil dat alternatief natuurlijk, maar ze bieden het wel. En je kiest dan om daar dat aanbod af te slaan. En dus voor de reclame optie te kiezen.

    Wat ik soms wel doe is erop klikken lol. Je zou zeggen dat ze dat juist willen. Maar als je kijkt naar hoe die ads werken, Zoals hier bijv. Dan zie je dat ze betalen voor elke klik. Maar die klik hoeft niet per se een verkoop te zijn. Dus wanneer je snel weg klikt dan kost het ze geen geld. maar als je er op klikt, dan betalen ze voor niks! 😀

    Ja goed, niet echt een oplossing. Maar als iedereen het gaat doen, dan wordt adverteren wel een stuk minder aantrekkelijk hahaha.

    1. Je gaat enkel akkoord met de voorwaarden van YouTube als je een account aanmaakt. Je kan ook zonder account video’s bekijken, en dan krijg je enkel een cookiemelding te zien. Naar eventuele voorwaarden moet je daarna zelf op zoek.

      1. Ok Fair enough haha! Maar dat zou betekenen dat je zonder account gewoon je adblockers mag gebruiken, omdat je nergens officieel mee akkoord bent gegaan? Zit er geen verstopte regel tussen in de vorm van “Door youtube te bezoeken ga je automatisch akkoord met bla bla?”

        1. Geen idee, maar vraag is dan ten eerste hoe rechtsgeldig dat is, zeker omdat je de voorwaarden ook niet actief aangeboden krijgt zoals dat met de cookiemelding wél gebeurt.

          Ten tweede is het zo dat YouTubefilmpjes automatisch starten als je naar de betreffende video gaat, en dat kan ook gebeuren door een link, een zoekresultaat in Google, of zelfs door embedding waarbij je wellicht niet eens weet dat je een YouTubefilmpje kijkt. Als je een adblocker gebruikt ben je dan dus al aan het blokkeren voor je überhaupt de voorwaarden van YouTube hebt kunnen lezen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.