Toezichthouder: cookiepop-ups advertentie-industrie in strijd met AVG

| AE 13144 | Ondernemingsvrijheid, Privacy | 19 reacties

De cookiepop-ups waar zeer veel websites gebruik van maken voor het plaatsen van trackingcookies zijn in strijd met de AVG, zo heeft de Belgische Gegevensbeschermingsautoriteit (GBA) bepaald. Dat meldde Security.nl vorige week. De websites maken gebruik van het Transparency and Consent Framework (TCF) van het Interactive Advertising Bureau Europe (IAB Europe), de branchevereniging voor de advertentie-industrie. Die heeft natuurlijk vanaf het begin duidelijk aangegeven dat dit de manier is om AVG-compliant real time bidding te doen voor advertenties, dus dat zal een forse tegenvaller zijn geweest.

Het TCF is een kader voor Real Time Bidding op advertentieruimte. Het idee is dat als je op een website komt met advertentieruimte (zoals een banner), een hele sloot bedrijven (denk een kleine duizend) hun waarde voor jouw bezoek met elkaar vergelijken (ik bied 2 cent, ik bied 1 cent maar heb betere targeting) zodat de website de best passende gebruikerservaring kan bieden.

Punt is dat je daarvoor toestemming nodig hebt, want voor zulk tracken en profileren kom je onder de AVG niet weg op een andere manier. Security.nl legt uit:

Het TCF vergemakkelijkt, via het Consent Management platform of CMP, het vastleggen van de voorkeuren van gebruikers. Deze voorkeuren worden dan opgeslagen in een “TC string”, die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt.
Dat is dus een probleem in België:
De verwerking van persoonsgegevens (bijv. gebruikersvoorkeuren vastleggen) onder de huidige versie van het TCF is niet in overeenstemming met de AVG, wegens een inherente inbreuk op het beginsel van behoorlijkheid en rechtmatigheid. Men vraagt mensen om hun toestemming te geven, terwijl de meesten van hen niet weten dat hun profielen dagelijks talloze keren worden verkocht om hen aan gepersonaliseerde advertenties bloot te stellen.
Wat natuurlijk precies is dat iedereen in de industrie eigenlijk wel wist. Het komt terug op het algemene punt: zeg je “oh ja leuk, ik wil dat 1500 techbedrijven profielen van me opbouwen om advertenties te matchen nadat ze mijn data hebben gecorreleerd met aangekochte vage bestanden” of “donder op met je cookies ik wil het nieuws lezen”. De GBA zegt nu “dat laatste” en in juridische taal noemen we dit dan een non-AVG-compliant toestemming.

Het is wel een beetje de “hou maar op met je website”-week zo lijkt het: geen Analytics, geen Google Fonts, geen cookietoestemming meer. Toeval denk ik dat die uitspraken tegelijk komen, maar het is wel een duidelijk signaal: het recht loopt traag, maar als het eenmaal loopt dan moet je écht aan de bak.

Arnoud

Wat kun je juridisch doen tegen advertenties in je superdure Samsungtelevisie?

| AE 12011 | Ondernemingsvrijheid | 32 reacties

Bovenstaande afbeelding zag ik op Twitter bij privacyadviseur Floor Terra. Zijn zo te zien superdure Samsungtelevisie (ik heb een iets ander model maar herken het menu) toont net boven het hoofdmenu een minstens zo grote balk met daarop een advertentie van Canal Digitaal voor hun digitaletelevisiepakket. “Hey @SamsungNL en @CanalDigitaal, hoe zet ik deze advertenties uit? Dit vind ik echt niet sympathiek.” zegt Floor dan heel netjes.

Ik was iets minder gecharmeerd toen ik de eerste reclames op zag duiken, maar wist dankzij een bevriende Tweaker het domein te blokkeren vanaf waar de advertenties komen, en kan dus nu weer ongestoord televisie kijken op een door mij gekocht apparaat. En ja het is te gek voor woorden dat je best veel geld betaalt voor iets dat beloofd een kwaliteitsapparaat te zijn, en vervolgens ineens advertenties aantreft waar de vorige keer je Settings-menu zat. (Want ja dat zit me minstens zo hard dwars, dat het dus maskereert als een knopje in je menubalk dat er soms wel, soms niet is.)

Nou ben ik dus jurist, dus ik denk dan gelijk: welke juridische stappen kun je nemen om hier wat aan te doen. Ik zie een paar routes, maar echt eenvoudig is het niet vrees ik. In ieder geval heb ik het voorgevoel dat het meer geld gaat kosten dan het oplevert. Maar goed, in gevallen als deze moeten principes het winnen van het zakelijke, toch?

De eerste voor de hand liggende optie is dat je het gooit op nonconformiteit: die televisie werkt niet zoals verwacht, want voor deze prijs en kwaliteitsbelofte hoef ik geen advertenties In. De. Menu. Balk. te verwachten. In ieder geval is me dat niet verteld, dit staat zeker weten niet in de productinformatie bij Coolblue en andere elektronicaleveranciers. En als ze zoiets opmerkelijks er niet bij vertellen, dan hoef ik dat niet te verwachten.

Wat zegt u, staat dat in de privacyverklaring die ik bij de installatieprocedure gedachteloos heb weggeklikt? Of de 64 pagina’s tellende gebruiksovereenkomst digitale media randapparatuur (of hoe het monstrum maar heet). Ach. Wat leuk voor ze. Maar totaal niet relevant: aan informatieplichten voldoe je niet door een jurist een lijvig document op te laten stellen, ook niet als mensen voor akkoord moeten klikken. Grofweg: staat het niet op de site of op de doos, dan telt het niet.

Het lastige is alleen: als je het gooit op nonconformiteit, dan is de remedie in principe dat de winkel het moet herstellen en anders de televisie terug moet nemen en jou je geld terug moet geven. En dat laatste is natuurlijk niet wat ik wil. Ik wil die advertenties eruit, en ik wil de televisie houden. Maar of het een vorm van ‘herstel’ is die haalbaar is voor een Coolblue, dat betwijfel ik. Ja, natuurlijk kan Samsung alles maar dat ligt een stap verder.

Samsung zelf aanspreken maakt een stuk minder kans, want zij zijn geen partij in de koop van die televisie. Ja, tenzij ik erken dat ik een licentie met ze heb gesloten (die weggeklikte EULA) en ik daar dan een zin in mijn voordeel in vind, zodat ik ze wegens contractbreuk kan pakken met hun eigen tekst. Nee, leek me ook al geen goed verhaal.

Advocaat Menno Weij stelde nog een beroep op dwaling voor: als ik dit had geweten, had ik die televisie nooit gekocht en de winkel had mij dit moeten vertellen. Ook daar is de remedie in principe het terugdraaien van de koop, maar er is nog een optie: je kunt de rechter vragen om nadeelcompensatie (art. 6:230 BW) oftewel een aanpassing van de prijs ter compensatie van het geleden nadeel door de dwaling. Daar zit wel wat in, zij het dat ik bij dwaling altijd het gevoel krijg dat je veel specifieke omstandigheden aan moet dragen, en dan wordt het een lastiger verhaal dan bij conformiteit of informatieplichten – “het stond niet op de site”.

De AVG dan wellicht? Want reken maar dat die advertenties mij tracken. Er zit zelfs een tracking API in die dingen. Dan zou Samsung dus in strijd met de AVG een interesseprofiel van me opbouwen. En nee, dat dat in de privacvyerklaring staat is niet genoeg, dat moet duidelijk en in eenvoudige taal gemeld zijn toen de televisie hiermee begon. Nu heb ik een dochter van vier die op ie-aag-ree kan klikken, maar deze televisie heeft echt geen cookiebalk of trackingpopup getoond (dan had ik wel gehoord dat Doc McStuffins het niet deed).

Het lastige is dan weer dat Samsung (hierna te noemen “Samsung Electronics Co., Ltd.”) in Zuid-Korea gevestigd is en dus wat lastig aan te spreken is door de Nederlandse kortgedingrechter die je dan met een verzoekschrift zou vragen om een verwerkingsverbod. Natuurlijk kun je het Costéja-arrest volgen, waarin (naast het vergeetrecht) werd bepaald dat als de verantwoordelijke buiten de EU zit, een economisch verwante Europese entiteit ook aangesproken kan worden. Dan zou je dus wellicht Samsung Nederland een verbod opleggen met dwangsom totdat Samsung Electronics Co., Ltd. een software-update naar me pusht. Ik vind ‘m leuk maar heb zo enige twijfels bij de praktische uitvoering.

Dus nee, alles bij elkaar lijkt de effectiefste manier toch om gewoon die domeinen te blokkeren. Maar frustrerend is het wel.

Arnoud

Mag Tesla’s autopilot eigenlijk wel autopilot heten in de reclame?

| AE 9006 | Ondernemingsvrijheid | 31 reacties

tesla-autopilotAutobedrijf Tesla mag in Duitsland de term ‘autopilot’ niet meer gebruiken, las ik bij Ars Technica. De Duitse Minister van Transport (sinds wanneer gaat die over reclame?) heeft het bedrijf gezegd dat hier sprake zou zijn van een misleidende term die bij het publiek verwarring kan geven. Tesla vindt dat maar raar, in de vliegwereld is die term al tientallen jaren ingeburgerd dus wat is het probleem?

Natuurlijk, we weten toch allemaal zo ongeveer wat een autopilot is? Ik citeer even Wikipedia:

De automatische piloot is een mechanisme waarmee een voertuig bestuurd kan worden zonder hulp van een mens. Ook systemen die de stuurtaak van de mens vereenvoudigen, door logische stuurhandelingen van de bestuurder te vertalen naar complexe stuuracties van het voertuig, worden tot de automatische piloten gerekend. De term wordt meestal gebruikt voor de automatische besturing in vliegtuigen, maar ook vaartuigen kennen een automatische piloot. Automatische piloten worden toegepast in zelfrijdende auto’s, maar ook cruisecontrol is een vorm van een eenvoudige automatische piloot.

Kijk, weer wat geleerd: ook systemen die de stuurtaak vereenvoudigen worden tot de automatische piloten gerekend. In vliegtuigen zijn dit bijvoorbeeld systemen die een simpele beweging (een pookje naar links) vertalen naar een complexe serie zware bewegingen (zoals de stuurvlakken bewegen, wat een mens niet kan gezien de krachten die erop duwen van buitenaf). Dus Tesla heeft gelijk, het valt onder de definitie dus daarmee is de bewering waar.

Maar daarmee zijn we er niet, juridisch gezien. Een term in een reclameuiting is misleidend als het relevante publiek er redelijkerwijs door in verwarring kan raken, kan denken dat het product een eigenschap heeft die het niet bezit. Daarbij gaat het dus niet per se om wat het woordenboek of Wikipedia zegt dat het mógelijk kan betekenen, het gaat erom wat het publiek zál denken.

Jaren geleden hoorde ik het verhaal van een man die ‘aanstekers’ verkocht, en dan kreeg je een lucifer in een doosje. Daarmee kun je dingen aansteken, dus dat was een aansteker. Eh, nee. Dat overleeft de giecheltoets niet eens, dus dat is echt gewoon misleiding.

De autopilot van Tesla is niet zó evident fout. Maar ik heb er ergens wel mijn twijfels bij of het publiek bij ‘autopilot’ als eerste denkt aan een stuurtaakvereenvoudigend systeem zoals dat in de Tesla-auto’s zit. Mijn eerste gedachte bij die term was namelijk ook een volledig automatisch systeem, ga gerust even slapen en ik zorg dat je thuis komt. Zo ken ik die term uit boeken en televisieseries over vliegtuigen. En als dat de heersende interpretatie is, dan heeft Tesla reclamerechtstechnisch dus ongelijk.

(Kleine lettertjes gaan hier overigens niets aan veranderen, mocht iemand een folder van Tesla hebben gevonden waarin een Amerikaanse jurist uitlegt wat dient te worden verstaan onder ‘autopilot’.)

Arnoud

Wie is aansprakelijk voor schade door malware op een website?

| AE 8957 | Security | 30 reacties

Een lezer vroeg me: Wie is verantwoordelijk voor schade door malware op een website, wanneer mijn browser of besturingssysteem ook niet up-to-date zijn? In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto’s bekrassen tot malware infecteren. Op zich is het… Lees verder

Detectie van adblockers volgens Europese Commissie illegaal

| AE 8606 | Privacy | 64 reacties

Volgens Europese wetgeving is het illegaal dat websites zonder toestemming scripts draaien op apparaten van gebruikers om te achterhalen of bezoekers gebruik maken van adblockers, las ik bij Tweakers. De Europese Commissie had dat gesteld in een brief aan privacyactivist Alexander Hanff. Je mag immers geen informatie opslaan op mensen hun computers zonder toestemming, en… Lees verder

Mag een advertentie onhoorbaar piepen?

| AE 8186 | Informatiemaatschappij | 24 reacties

Er wordt geëxperimenteerd met video-advertenties die voor mensen onhoorbare piepjes produceren, las ik bij Ars Technica (dank, tipgever!). Deze worden dan opgepikt door weer andere video’s (of apps) op een ander apparaat, waardoor ze weten dat die twee beiden van dezelfde gebruiker zijn. Ook kun je nagaan hoe snel de advertentie wordt gesloten et cetera…. Lees verder

Pleeg je merkinbreuk als Google je advertenties aanvult met iemands merk?

| AE 7532 | Ondernemingsvrijheid | 8 reacties

Is sprake van merkinbreuk wanneer Google een keyword in je advertentie aanvult met iemands merknaam? Voor die vraag stond de rechter in Overijssel onlangs. Het bedrijf Serbo is eigenaar van het merk “Luminus” voor dakconstructies, lichtkoepels en dergelijke. En tot hun verbazing verscheen op zeker moment een advertentie van een ander bedrijf, Luxlight, wanneer je… Lees verder

Is een site aansprakelijk voor besmette advertenties?

| AE 6053 | Ondernemingsvrijheid | 12 reacties

Verschillende bekende Nederlandse websites hebben vanwege een gehackte advertentieplatform bezoekers geïnfecteerde advertenties getoond, las ik bij Security.nl. Een server van het bedrijf Adfactor was gecompromitteerd en daardoor kon een banking Trojan (Sinowal) worden verspreid. Echter, door een fout van de aanvallers werkte de aanval niet. Maar goed, stel hij werkte wél, had je dan het… Lees verder

Mag een advertentieblokker een betaalde whitelist hebben?

| AE 5974 | Informatiemaatschappij | 12 reacties

Intrigerend. Advertentieblokker AdBlock Plus werkt met een betaalde whitelist: bedrijven die liever niet meteen geadvertentieblokkeerd willen worden, kunnen het bedrijf achter Adblock Plus betalen om standaard op een witte lijst te komen. Natuurlijk kan de gebruiker alsnog die bedrijven of hun advertenties blokkeren maar dan moet je wel moeite gaan doen, en als het gaat… Lees verder

Is advertenties blokkeren te verbieden?

| AE 4743 | Innovatie | 43 reacties

Bij Computerworld las ik een opiniestuk over advertentieblokkers als het volgende juridische slagveld in het internetrecht. Want nu inkomsten steeds meer onder druk staan, zullen sites naar meer en meer middelen grijpen om gemiste inkomsten tegen te gaan. Er is geen wetsartikel dat specifiek het blokkeren van advertenties verbiedt. Als consument ben je niet verplicht… Lees verder