Een lezer vroeg me:
Marketingcookies (retargeting) worden vrijwel door alle websites toegepast om advertenties te tonen op sociale media. Onlangs heeft de EDPB bepaald dat Meta moet stoppen met onrechtmatige gepersonaliseerde advertenties binnen Europa. Moeten de richtlijnen van de EDPB geïnterpreteerd worden dat marketingcookies met verdere verwerking door Meta niet zijn toegestaan, ook als er toestemming is via de cookiebanner? En n hoeverre is de website die de marketing cookies plaatst verantwoordelijk voor de verdere verwerking door Meta en Google voor het opstellen van profielen?Marketingcookies staan stevig in de spotlight de laatste maanden. Zo oordeelde de Oostenrijkse rechter onlangs dat cookiebanners een weigerknop moeten hebben direct in de eerste laag. Google ging er al helemaal mee stoppen, maar nu toch weer niet https://www.marketing-interactive.com/google-decides-to-keep-cookies-in-chrome-should-marketers-be-relieved En de populariteit van adblockers en cookiecutters neemt alleen maar toe.
De vraagsteller verwijst naar een uitspraak van de samenwerkende Europese AVG-toezichthouders. Die bepaalde dat Meta’s “pay or consent” model niet rechtsgeldig is. Je moet een “echte keuze” hebben en daar hoort eigenlijk gewoon een gratis variant zonder persoonsgetargete advertenties bij. De kern hierachter is dat toestemming onder de AVG vrij gegeven moet worden, iedere vorm van dwang of zelfs maar stevig nudgen maakt deze al niet meer rechtsgeldig.
Dit zien we ook terug bij marketingcookies. Ja, er komt een popup met “Ja ik wil” en er is een optie om aan te geven dat je niet wil. Maar we zijn zó getraind om blind om op “ja” te klikken, dat je nauwelijks nog kunt spreken van een vrije keuze. Zeker als er niet een equivalente knop “Nee, ik wil niet” naast staat, maar alleen
- Een “Beheer instellingen” popup (onduidelijke term)
- Een grijze knop “weiger alles” naast de groene “ja” knop (afschrikken, onaantrekkelijk presenteren van alternatief)
- De knop “Beheer instellingen” tussen ja en nee (overweldigende opties)
- Vooraf aangevinkte vinkjes voor bijvoorbeeld functioneel, analytics en marketing (mag niet van de AVG, doet afschrikken)
- Een “weiger” knop die leidt naar een popup met instellingen, waarbij de standaardknop “Sla alles op” heet en daarmee alle cookies accepteert
Wat de tweede vraag betreft: ja, jij bent verantwoordelijk en aansprakelijk voor de gevolgen van trackingcookies. Althans, als die via jouw site en de popup daarop gezet zijn na een ongeldige toestemming. Je bent in AVG-jargon gezamenlijk verwerkingsverantwoordelijke met Meta of met Google, je beslist samen dat er persoonsgegevens verzameld worden via jouw site en wie daar wat mee mag doen. Dat de onderlinge verdeling neerkomt op “jij vraagt om toestemming en wij zeggen jou niet wat we gaan doen”, is volgens de wet jouw probleem.
Al sinds februari roept de AP dat ze cookies op de radar hebben staan. In juli kreeg de Kruidvat een boete van zes ton voor het niet rechtsgeldigt vragen van cookies. Haar popup had vooraf aangevinkte categorieën en de afwijsoptie stond niet als equivalent naast de toestemmingsoptie. De hoogte kwam dan weer mede omdat een drogist al snel gezondheidsgegevens verzamelt, maar dat terzijde.
Het is flauw om dan als jurist te zeggen “stop maar met tracking cookies” want dat is makkelijk praten en ja mijn bedrijf heeft “Accepteren” ook aantrekkelijker dan “Alleen noodzakelijk”. Maar het blijft een probleem dat alleen dankzij trage handhaving steeds maar niet opgelost wordt.
Arnoud
Zo flauw is dat niet. Als iedereen stopt met trackingcookies is er alsnog een gelijk speelveld. Ga maar weer contextspecifieke advertenties plaatsen, dat kunnen papieren ‘sites’ ook.
Het wordt tijd voor een uitspraak die gepersonaliseerde advertenties keihard verbiedt. Er is werkelijk geen enkele website die fatsoenlijk toestemming vraagt. Ik durf te beargumenteren dat zelfs bij een popup die “accepteer” en “weiger” gelijk stelt toestemming niet vrij gegeven is, omdat de gemiddelde bezoeker geen flauw idee heeft waar die toestemming voor geeft.
Ik heb zelf jaren terug een (voornamelijk) CS forum gehad. Dat begon met non tracking reclame banners, die de hosting kosten net aan dekte.
Toen tracking gangbaar werd storte de inkomsten in en had ik de keuze om ook aan tracking reclame te gaan doen, of te stoppen. Geld vragen was de dood van het forum geweest.
Omdat ik voor mijn werk met de privacy wetgeving te maken had zag ik de bui al hangen. Gelukkig was het forum gehost in de VS en de registrar was daar ook gevestigd. Ik heb de hele boel op naam gezet van een Amerikaanse mede-admin en mij als admin terug getrokken. Hij is overgestapt op tracking banners. Het forum heeft het zo nog een paar jaar uit kunnen houden door tracking, totdat dat ook de kosten van hosten niet meer opbracht.
Dat is waarom ik mij hieronder zo boos maak om de suggestie dat je als alternatief gratis toegang moet bieden. Dat is gewoon wereld vreemd.
Hosten van een website is niet gratis en het geld moet ergens vandaan komen. Voor niets gaat de zon op! Gratis is geen optie, reclame zonder tracking is – zonder een totaalverbod op tracking – geen optie. Wat ik deed kunnen anderen net zo goed of beter.
Het enige waar dit beleid toe leidt is dat de Amerikaanse overheersing van het internet vergroot wordt en dat meer en meer sites voor ons alleen via vpn bereikbaar zijn of de EU regels negeren omdat men toch geen fysieke aanwezigheid in de EU heeft.
Een forum voor hobbyisten kan natuurlijk best door die hobbyisten zelf of met een inzamelingsactie worden betaald. Verenigingen doen dat al heel lang op die manier. Ik ben zelf verantwoordelijk voor een forum en draag de kosten zelf, voor die paar tientjes ga ik niet leuren en advertenties vind ik lelijk.
Als ik zie dat buienradar juist nu op het “pay or consent” model overstapt dan kan ik alleen maar concluderen dat de handhaving veel te wensen over laat. Anders namen ze dat risico niet.
Het internet heeft de hele wereld gek gemaakt. Informatie was nooit gratis, boeken en tijdsschriften kosten gewoon geld. Toen kwam het internet en probeerde men met ‘gratis’ informatie en reclame zieltjes te werven. Je betaalde door naar reclame te kijken. Die reclame werd steeds invasiever omdat de aanbieders van banners elkaar naar het putje concurreerden, maar de informatie was nooit gratis.
En nu heeft iedereen zich zo gek laten maken dat het alternatief voor die reclame een gratis aanbod moet zijn. Ik ben het daar fundamenteel mee oneens. Het alternatief is terug naar de situatie voor die banners en dat is dat toegang tot informatie geld kost.
Er is helemaal niets mis met de keuze betalen met geld of betalen met privacy, het enige wat gereguleerd moet worden is dat de twee in balans moeten zijn. Als facebook een vergoeding vraagt om geen tracking/of reclame te gebruiken, dan mogen ze daar niet meer voor vragen als de inkomsten die ze per persoon hebben door die tracking/reclame.
Als je roept dat het gratis moet, dan begrijp je niet helemaal hoe de wereld in elkaar zit.
Ik vraag me af hoe iedereen gaat zitten janken dat alles zo duur is en geld kost als de EU dit beleid doorzet en grote websites die realistisch gezien niet zonder tracking kunnen overleven nog maar 1 optie aanbieden in de EU: betaald. De VS gaat daar nooit aan meewerken dus gevolg: Iedereen die niet digibeet is aan de VPN en de EU staat er voor idioot bij?
Reclame zonder tracking levert niet genoeg op om de kosten van een website te dekken, bedrijven dwingen om verlieslatend te draaien is typisch politiek, wensdenken en een maakbare maatschappij.
Als de EU echt serieus was over de privacy hadden we niet deze idiote wetgeving gehad maar een heel simpele en effectieve wetgeving: Tracking is ten alle tijden verboden. Dat is de enige manier waarop er geld uitgegeven gaat worden aan reclames zonder tracking en personalisatie. Zolang er een keuze is voor reclame met tracking (bewezen veel effectiever) gaat geen enkel commercieel bedrijf geld uitgeven aan reclame zonder.
Nog een paar antipatterns: – Het niet bewaren (of makkelijk toestemming geven voor een cookie daartoe) van de toestemming – Geen onderscheid tussen 1e end 3de partij cookies. – Veel verschillende categorieën “legitiem belang” die allemaal afzonderlijk uitgezet moeten worden
Daarnaast vraag ik me af of deze bedrijven/sites wel degelijk een verwerkingsovereenkomst hebben met al deze 400 “zorgvuldig geselecteerde” partners.
Ik zou graag willen weten wat er zit achter “Gerechtvaardigd belang /Legitimate interest” optie die wordt voorgelegd door veel websites (ook Europese websites). Deze optie is telkens opnieuw default aangezet ook al ben je al eerder op de site geweest en heb je alle andere opties uitgezet.
Heeft de optie ‘Gerechtvaardigd belang’ enige betekenis in het Europese recht (zeker ten aanzien van 3rd party cookies of gegevensdoorgifte aan derden) als je al heb aangegevens cookies te weigeren.
Gerechtvaardigd belang is een wettelijke grond voor verwerking van persoonsgegevens. Je kunt daarbij denken aan handhaving van gebieds- en lokaalverboden, administreren van schadevergoedingen, etc. DDoS bescherming van een website kan er m.i. ook onder vallen.
Ik denk dat wanneer je (liever nog: de AP) serieus onderzoek doet naar de 120 partners met “gerechtvaardigd belang” er een resultaat van meer dan 90% bullshit uitkomt.
Ter aanvulling: de AP zegt:
Je kunt hier een uitleg-pdf van de AP downloaden.Maar let op: dat is slechts de interpretatie van de AP. Hun interpretatie komt geen bijzondere betekenis toe.
De AP is de aangewezen handhaver; zij hebben zich aan de door hun gepubliceerde interpretatie te houden bij handhaving. De burger mag op deze interpretatie een beroep doen wanneer het tot handhaving komt.
Wel degelijk, zij zijn de aangestelde handhaver van de AVG. Deel van hun taak is het interpreteren van de wet en daaruit voortvloeiend aangeven van richtsnoeren over wat wel en legaal is. Natuurlijk kun je dat bij de rechter aanvechten, maar “op de blog van Engelfriet stond dat het mag” is écht wat anders dan “in de Richtsnoeren persoonsgegevens op internet van de AP stond dat het mag”.