Nederlandse supermarkten en drogisterijen bleken massaal data over interesse in of aankopen van zwangerschapstesten door te sluizen naar grote techbedrijven als Google en Meta. Dat meldde Tweakers vorige week op basis van onderzoek van de Groene Amsterdammer en Investico. Mag niet, maar heel kwaadaardig voelt het ook weer niet.
De drogisten hebben zogenoemde ‘tracking cookies’ op hun website staan, waarmee Google, Meta en Tiktok gebruikers van de homepage tot in het winkelmandje kunnen volgen. ‘Die cookies bevatten codes die uniek zijn voor jouw computer of browser’, zegt Güne? Acar, computerwetenschapper aan de Radboud Universiteit. ‘Als je ergens bent ingelogd bij bijvoorbeeld Google, Youtube, Facebook of Instagram, kunnen ze de zwangerschapstest meteen linken aan de rest van de informatie die ze over je hebben. Zo volgen ze je over het hele internet.’Heel bijzonder is dit niet: heel ecommerce-internet hangt aan elkaar van de tracking cookies, pixels en serverside technieken om maar zo veel mogelijk over datapunten, pardon consumenten te weten te komen.
Dus tsja, als jij na je pak melk of beautyproduct ook een zwangerschapstest in je mandje doet, dan gaat dat via hetzelfde kanaal naar dezelfde Big Tech partijen. Het is geen gericht besnuffelen op zwangerschap of andere gezondheidszaken, maar gewoon wat gebeurt als je als winkel tracking aanzet.
Tegelijkertijd: nee, mag niet. Want zwangerschap is (hoewel geen ziekte) een gezondheidsgegeven, en dus een bijzonder persoonsgegeven onder de AVG. Dat mag niet worden verwerkt behalve in bijzondere gevallen die hier niet opgaan. Ook niet als het in je cookiebanner staat, als je het had kunnen weten of als je “ja (uitdrukkelijk)” klikt op de banner.
Alleen: is “bezoeker thx1137 koopt een zwangerschapstest” wel een persoonsgegeven? Drogist DA meent van niet, aldus het Tweakers-artikel:
“Het bestellen van een zwangerschapstest in een webshop leidt niet tot bijzondere persoonsgegevens. Een dergelijke bestelling kan namelijk bedoeld zijn voor iemand anders of voor een onzekere toekomstige situatie. Dit betekent dus dat dergelijke informatie niet met zekerheid iets zegt over de gezondheidstoestand van de klant. De koop van een zwangerschapstest vormt een persoonsgegeven, maar geen bijzonder persoonsgegeven zoals bedoeld in de AVG”, meent DA.“Onzekere toekomstige situatie”, da’s er eentje voor naast “geen actieve herinnering”. Maar de kern van het argument is: is iets een bijzonder persoonsgegeven als het kan wijzen op gezondheid, of pas als we zeker weten dat het daarover gaat?
Dit argument kwam in 2024 aan de orde in het Lindenapotheke-arrest van het Hof van Justitie (C-21/23). Dat ging over de vraag of concurrenten elkaar van AVG-schendingen mochten betichten, maar onderliggend was de kwestie of de verkochte producten (apothekerswaren) raakten aan bijzondere persoonsgegevens.
Ook hier kwam het argument langs dat je dat niet 100% zeker weet, omdat je geen doktersrecept hebt. Maar het Hof van Justitie wijst dat scherp af (punt 78):
Gegevens over de aankoop van geneesmiddelen die het mogelijk maken om conclusies te trekken over de gezondheidstoestand van een geïdentificeerde of identificeerbare persoon, moeten dus worden aangemerkt als gegevens over de gezondheid in de zin van artikel 4, punt 15, AVG.Genoeg hiervoor is dus dat het kan. Natuurlijk kan die conclusie dan onjuist zijn (niet Marietje is zwanger maar haar zus, voor wie zij de test kocht). Maar dat maakt expliciet niet uit:
Dit principiële verbod staat los van de vraag of de informatie die bij de betrokken verwerking aan het licht komt al dan niet juist is en of de exploitant het doel nastreeft om [de bijzondere persoonsgegevens] te verkrijgen (…).De achterliggende gedachte is dat het om zeer zwaarwegende redenen verboden is om die gegevens te verwerken als ze gezondheidsgegevens zijn, en dat we willen uitsluiten dat die gegevens verwerkt worden met slappe-hap argumenten als “het kan anders liggen” of “onzekere toekomstige omstandigheden”.
Dus nee, dit mag niet. Ook niet als het bijvangst is van ‘gewone’ Analytics of tracking die werkelijk geen interesse heeft in medische informatie. (Verplichte link naar dat Big Data-verhaal uit 2012.)
Hoe het anders moet? Een zwarte lijst met gezondheidsproducten die uitgesloten moeten worden van de tracking. Ik weet niet of dat technisch kan. Wat ook wel weer wat zegt over Adtech: niemand weet echt hoe het werkt.
Arnoud
“De huisarts weet niet zeker wat er met me aan de hand is, dus mijn zorgdossier bevat geen bijzondere persoonsgegevens”. Sja.
Tenzij ik wat mis: het is simpelweg bepaalde code die wel of niet op een bepaalde pagina is ingeladen. Niet anders dan dat een “cookie-policy” pagina niet zelf achter een cookiewall staat. Of dat interne beheerpagina’s niet zijn voorzien van de cookies.
Het is niet aan de trackende ad-boer, het is aan de webwinkel die er voor kan kiezen de tracking troep weg te laten op elke pagina waar een zwarte lijst-product op staat. En welk product wat is weten ze natuurlijk. Als er code is om voor dat ene product een prijs en een plaatje te tonen kunnen ze ook code regelen die de cookies niet aanbiedt.
En als ze niet weten hoe: tot ze iemand hebben ingehuurd om het op te lossen kan het desnoods helemaal uit. Tracking is tertiair (de er uit voortvloeiende gerichte reclame secundair), de primaire inkomstenbron zal zijn het verkochte product.
Dit vind ik eigenlijk net zo weerzinwekkend.
Inderdaad.. Het argument voor al die tracking en gerichte advertenties is altijd dat dit meer oplevert dan ongericht of content-gebaseerd adverteren. Die opbrengsten, zo gaat het argument dan, zijn nodig om de “gratis” diensten te leveren waar veel consumenten aan gewend zijn geraakt, zoals websites met nieuws of product-reviews.
Alleen dat argument gaat hier niet op; een webwinkel van een drogisterij-keten moet zichzelf kunnen bedruipen omdat het geen gratis dienst is. Het is een winkel, die moet draaien van de winst die gemaakt wordt op de verkoop van producten.
Niemand zou het accepteren als je bij het naar binnen willen gaan bij een drogist eerst langs een balie moet waar je een formulier moet invullen waarop je naam, adres en contactgegevens moet invullen plus allemaal informatie over je geplande aankopen en de samenstelling van je gezin, zodat als je vervolgens aan de overkant van de straat een andere winkel binnenloopt het personeel daar kan zeggen welk plastic bakje het meest geschikt is om je aambeienzalf goed te houden of je dropjes in te bewaren. Waarom we dit gedrag online wel accepteren komt volgens mij alleen omdat niet genoeg mensen uberhaupt weten hoe het werkt en waar die cookies en trackingpixels voor worden gebruikt.
De tekst ” Het is …. gewoon wat gebeurt als je als winkel tracking aanzet.” moet zijn: “Dat is wat gebeurt als een winkel tracking aanzet en je als websitebezoeker instemt met advertentiecookies”. Dit soort cookies zijn allemaal opt-in (zo niet, dan houdt de webwinkel zich niet aan de wet). Welke mensen zetten dit soort third-party tracking ellende actief aan? Als niemand dat meer zou doen (en de AP eens frequent zou gaan handhaven om foutieve implementaties – wat ook gewoon met kleine boetes kan), dan houdt het vanzelf op.
De “onzeker of het voor jezelf is” argument is mogelijk strijdig met de eis “privacy by design” en “by default”. Er is een gerede kans dat het om je eigen gezondheidsgegeven gaat. Privacy by design en default zou voor mij dicteren dat als de kans aannemelijk is dat het wel bijzonder is, ook al is dat niet zeker, je dan voor de privacy-beschermende optie kiest.
Overigens vind ik dat uitsluiten van bepaalde productgroepen voor tracking niet ver genoeg gaat. Drogisterijen zijn een aparte branche waaraan sowieso al extra eisen zijn ten opzichte van reguliere winkels, je mag niet zomaar een drogisterij uitbaten en verkopen wat je wilt. Je kunt mijns inziens best zeggen dat drogisterijen daarom ook de plicht rust om geen aankoopgegevens aan derden te verstrekken.
“Privacy by design/default” is de officiële policy die in de EU zou moeten gelden, maar waar blijkbaar iedereen grote moeite heeft om dat te implementeren. De oorzaak kan uit de VS overgewaaid zijn waar “Design for tracking” veelal de default is.
Wat kunnen we aan deze situatie doen? Het gaat hier niet alleen om deze specifieke websites, maar om het ecosysteem waar volgcode ingebouwd zit in toolkits voor webontwerp en applicatieontwikkeling. Management dat graag rapporten wil en laten we de advertentie-inkomsten even niet vergeten.
Geen bezwaar tegen stevige boetes en meer geld voor toezichthouders, maar wat belangrijker is: mentaliteitsverandering op dit front.
Hoe zie je dat dan in het licht van artikel 9 lid 2? Dat regelt toch juist dat uitdrukkelijke toestemming (voor een of meer welbepaalde doeleinden) wél het verbod (tot het verwerken van bijzondere persoonsgegevens) uit lid 1 kan opheffen? Of is er in Unierecht of lidstatelijk recht ergens bepaald dat het verbod uit lid 1 niet door de betrokkene kan worden opgeheven?
De duidelijke oplossing is om gewoon te stoppen met tracking cookies en zelfs met on line tracking in het algemeen. Dan moeten on line reclames maar minder efficiënt zijn en minder geld opleveren of zoiets. Moet je ineens weer adverteren obv van bijvoorbeeld de inhoud van de bekeken pagina zonder dat je weet of de bezoeker een ongeveer 16 of ongeveer 60 jarige is of zonder dan je als adverteerder weet of het een man of een vrouw betreft Het is onbegrijpelijk dat de EU tot nu toe geen wetten tegen on line tracking heeft ingevoerd.
Een totaalverbod op adverteren op basis van bezoekersprofielen lijkt me de enige uitweg uit deze eindeloze surveillancenachtmerrie.
En iets minder efficiënt adverteren: ik denk dat het juist efficiënter is om te adverteren op basis van de inhoud van kanalen waar je in adverteert: dat voegt waarde toe voor de consument (als die leest over een zeker onderwerp, is hij mogelijk ook op zoek naar gerelateerde producten of diensten), de uitgever van het kanaal (krijgt relevante advertenties, en de inspanning om redactionele inhoud te produceren wordt beter beloond), en de adverteerder. De enige verliezers in dit geheel zijn de advertentieplatformen zelf, die door de huidige toestand een veel groter deel van de advertentiebudgetten naar zich toe kunnen trekken.
Ik ben het met je eens, maar hoe zie je zo’n verbod voor je? Het Internet is internationaal, dus je hebt jurisdictieproblemen.
- Voor welke websites zou het verbod moeten gaan gelden?
- Hoe kunnen websites weten dat hun adverteerder profileert?
- Hoe dwing je naleving af als de beheerders van de websites onbekend zijn of in het buitenland zitten?
- Aan welke advertentienetwerken kun je een profileringsverbod opleggen?
- Hoe controleer je of een netwerk profileert?
- Wie is aansprakelijk als het advertentienetwerk liegt en toch profileert?
- Hoe dwing je nakoming af bij een buitenlands advertentienetwerk?
Eens, goed idee, maar met de nodige haken en ogen. Om een voorbeeld te noemen, “The Pirate Bay” een verboden website is nog steeds in de lucht.We maken het een oneerlijke handelspraktijk om als merk een advertentie te doen verschijnen op basis van profileren. Dan leg je het risico waar het hoort, bij de partijen wiens advertentie getoond wordt. En die zijn gewoon aan te spreken bij de Nederlandse rechter.
Inderdaad, volgens het principe van “follow the money”. Een adverteerder wil een zeker publiek bereiken dat zich bevindt in een regio waar die zelf ook actief is, omdat hij daarmee inkomsten verwerft. Je gaat niet adverteren in een regio waar je geen zaken doet.
Daarnaast kun je natuurlijk ook de (binnenlandse) websites aanspreken die dergelijke advertenties tonen, ook als die hun advertentieruimte ter beschikking hebben gesteld van zo’n internationale partij.
“En die zijn gewoon aan te spreken bij de Nederlandse rechter.” Als ze in Nederland (of de EU) kantoor houden.
Op zich een zinnige aanpak, maar wie kun je aansprakelijk stellen in een schimmige lijn van bemiddelaars waar de opdracht “geen profilering” na drie tussenstappen verdwenen is en de advertentie toch via Google verspreid wordt.