Toezichthouder: cookiepop-ups advertentie-industrie in strijd met AVG

De cookiepop-ups waar zeer veel websites gebruik van maken voor het plaatsen van trackingcookies zijn in strijd met de AVG, zo heeft de Belgische Gegevensbeschermingsautoriteit (GBA) bepaald. Dat meldde Security.nl vorige week. De websites maken gebruik van het Transparency and Consent Framework (TCF) van het Interactive Advertising Bureau Europe (IAB Europe), de branchevereniging voor de advertentie-industrie. Die heeft natuurlijk vanaf het begin duidelijk aangegeven dat dit de manier is om AVG-compliant real time bidding te doen voor advertenties, dus dat zal een forse tegenvaller zijn geweest.

Het TCF is een kader voor Real Time Bidding op advertentieruimte. Het idee is dat als je op een website komt met advertentieruimte (zoals een banner), een hele sloot bedrijven (denk een kleine duizend) hun waarde voor jouw bezoek met elkaar vergelijken (ik bied 2 cent, ik bied 1 cent maar heb betere targeting) zodat de website de best passende gebruikerservaring kan bieden.

Punt is dat je daarvoor toestemming nodig hebt, want voor zulk tracken en profileren kom je onder de AVG niet weg op een andere manier. Security.nl legt uit:

Het TCF vergemakkelijkt, via het Consent Management platform of CMP, het vastleggen van de voorkeuren van gebruikers. Deze voorkeuren worden dan opgeslagen in een “TC string”, die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt.
Dat is dus een probleem in België:
De verwerking van persoonsgegevens (bijv. gebruikersvoorkeuren vastleggen) onder de huidige versie van het TCF is niet in overeenstemming met de AVG, wegens een inherente inbreuk op het beginsel van behoorlijkheid en rechtmatigheid. Men vraagt mensen om hun toestemming te geven, terwijl de meesten van hen niet weten dat hun profielen dagelijks talloze keren worden verkocht om hen aan gepersonaliseerde advertenties bloot te stellen.
Wat natuurlijk precies is dat iedereen in de industrie eigenlijk wel wist. Het komt terug op het algemene punt: zeg je “oh ja leuk, ik wil dat 1500 techbedrijven profielen van me opbouwen om advertenties te matchen nadat ze mijn data hebben gecorreleerd met aangekochte vage bestanden” of “donder op met je cookies ik wil het nieuws lezen”. De GBA zegt nu “dat laatste” en in juridische taal noemen we dit dan een non-AVG-compliant toestemming.

Het is wel een beetje de “hou maar op met je website”-week zo lijkt het: geen Analytics, geen Google Fonts, geen cookietoestemming meer. Toeval denk ik dat die uitspraken tegelijk komen, maar het is wel een duidelijk signaal: het recht loopt traag, maar als het eenmaal loopt dan moet je écht aan de bak.

Arnoud

IAB Europe heeft wellicht Europese privacywet geschonden met cookiepop-ups

OpenClipart-Vectors / Pixabay

IAB’s raamwerk waarop de cookiepop-ups voor veel websites zijn gebaseerd, is wellicht in strijd met de Europese privacywetgeving.Dat meldde Tweakers onlangs. De Belgische Gegevensbeschermingsautoriteit heeft een concept-uitspraak (die dus het raamwerk in strijd met de AVG verklaart) afgerond en met de collega-toezichthouders gedeeld voor commentaar. Dit is verplicht vanwege het grensoverschrijdend karakter van de inbreuk. De kern is dat het systeem te onduidelijk voor gewone mensen is.

Na invoering van de AVG lanceerde de Interactive Advertising Board een handig framework waarmee adverteerders in heel Europa AVG-compliant marketingcookies zouden kunnen zetten. Met een standaard interface geef (of weiger) je toestemming, of beheer je je legitiem-belang wensen. Deze worden centraal beheerd in een consent string, waarmee adverteerders dus niet bij elke site opnieuw toestemming hoeven te vragen.

Een kernvereiste van de AVG is transparantie en duidelijkheid: wat gebeurt er precies, tot in detail en in gewonemensentaal. Dat gaat al snel mis bij iets complex als online adverteren, helemaal als we het begrip real-time bidding (RTB) erbij halen. De kern daarvan is dat als je een site bezoekt, er een paar honderd (of duizend) robots met elkaar gaan bieden op advertentieruimte gericht op jou, op basis van wat zij van je weten en hoe interessant jij op dat moment bent.

Dit uitleggen is een stuk moeilijker dan de IAB consent teksten doen voorkomen, en dat is dan gelijk het probleem: als je niet duidelijk en in eenvoudige taal uitlegt wat er speelt, dan ga je op dat moment al tegen de AVG in. We komen dan niet eens toe aan de vraag of er op eerlijke manier toestemming is gevraagd, of de legitiem belang afweging klopt of ga zo maar door. U bent af, delete al uw data en doe het niet meer. En dat zou een pijnlijke zijn.

Een bijkomend probleem is dat  hoewel het IAB framework expliciet niet bedoeld is om de zogeheten bijzondere persoonsgegevens te verwerken (zoals seksuele voorkeur of etnische afkomst), dit in de praktijk wel gebeurt. Zo bleek in 2019 mensen uit de LGBTQI+ community getarget te worden voor Poolse wetgevingslobby, en in Ierland 1300 mensen te zijn getarget in de categorieën “Brain Tumor,” “Incontinence” and “Depression”.

Formeel is het nog geen besluit, want in theorie kunnen de collega-toezichthouders de boel afkeuren of een geheel andere insteek presenteren. Maar het voorspelt weinig goeds.

Arnoud