Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische gegevens over jou bevatten, wat natuurlijk gebeurt als je bij je zorgverzekeraar of ziekenhuis rondklikt. Heel verbazingwekkend zou dat niet moeten zijn – dergelijke pixels vallen immers gewoon onder de cookiewet, en er wordt zelden toestemming gevraagd zoals het hoort. Plus, je hebt een grondslag nodig voor deze bijzondere persoonsgegevens en ook dat gaat mis.

Het komt natuurlijk vooral in het nieuws omdat het gaat om Facebook, maar uiteindelijk is het gewoon een punt (haha): als je mensen gaat tracken en je doet dat over meerdere sites heen, dan moet daar gewoon toestemming voor gegeven zijn. Allereerst omdat het gaat om informatie die je bij iemand opslaat – cookiewet – en daarnaast ook omdat het een nogal invasieve verwerking van iemands persoonsgegevens is – Wbp/AVG. Bij dat tweede is soms nog te verdedigen dat je kunt werken onder een eigen gerechtvaardigd belang, maar dat houdt heel snel op als het gaat om third-party tracking over meerdere sites heen.

De Facebook pixel is technisch een niet zo ingewikkelde constructie. Een website-eigenaar neemt een code op van Facebook, waarmee een plaatje van 1×1 pixel wordt opgenomen in zijn site. Dit plaatje komt van Facebook, en men kan vervolgens informatie uitlezen van de browser waarmee het plaatje wordt opgehaald. Maar de pixel doet meer: hij kijkt of je ingelogd bent bij Facebook, en slaat dan informatie over de pagina op bij je Facebook-interesseprofiel. Vervolgens kan de eigenaar van die site op Facebook je reclame tonen voor deze site (“retargeting”).

Dit noemen we profileren onder de AVG, en het is natuurlijk een vorm van verwerken van persoonsgegevens. Daarom is daarop (vanaf 25 mei) de AVG van toepassing. Die zegt dat toestemming nodig is voor deze vorm van tracking. Bovendien geldt op deze pixel de cookiewet, want de pixel is immers informatie die wordt opgeslagen op de computer van de bezoeker terwijl die informatie niet technisch noodzakelijk is voor de website. En ook die wet eist dan toestemming. En als triple whammy hebben we het specifiek hier nog eens over bijzondere persoonsgegevens (immers over gezondheid).

Ik zie dus geen manier om dit legaal te doen, tenzij je als website-eigenaar toestemming vraagt voor het mogen plaatsen van deze pixel en daarbij uitlegt dat het doel is om op Facebook gerichte reclame te kunnen doen. Oh, en die toestemming moet te weigeren zijn zonder dat je van de site geweerd wordt.

Arnoud

Hoe veel dode pixels moet ik accepteren op mijn LCD-scherm?

| AE 1279 | Contracten | 7 reacties

lcd-scherm-display-dode-pixels.jpgEen lezer mailde me:

Ik heb een LCD-monitor gekocht, en daar zitten nu na drie maanden al twee dode pixels in. Ik ben teruggegaan naar de winkel, maar die zeggen dat ze pas bij drie dode pixels iets hoeven te doen. Maar klopt dat wel? Ik heb toch gewoon recht op een dodepixelvrije monitor?

Volgens de Nederlandse wet heb je recht op een product dat doet wat je mag redelijkerwijs verwachten. De vraag is dus, wat mag je verwachten bij een LCD scherm? In de rechtspraak is die vraag nooit aan de orde geweest. In 2001 heeft de inmiddels opgeheven geschillencommissie computers geoordeeld (dank aan Serge voor het vinden) dat LCD monitoren dodepixelvrij moeten zijn:

[In] elk geval vanaf de tweede helft van het jaar 2000 [is] de stand der techniek zodanig, dat een consument bij aanschaf van een TFT-beeldscherm niet langer zonder meer bedacht moet zijn op pixelfouten in een dergelijk beeldscherm. Bij de beantwoording van de vraag welke eigenschappen de koper van een dergelijk beeldscherm op grond van de overeenkomst mocht verwachten, dient derhalve aangenomen te worden dat dat in elk geval een beeldscherm is waarin geen pixelfouten voorkomen. Komt er toch een pixelfout voor in het beeldscherm, dan dient dat in beginsel als een gebrek aan het scherm te worden beschouwd.

Het blijkt echter ook vandaag de dag nog steeds moeilijk om consistent dodepixelloze beeldschermen te produceren. Als we bovenstaande als norm hanteren (waar ik persoonlijk wel wat voor voel), dan betekent dit dat de winkelier de klant dus tijdig moet informeren over eventuele risico’s. Als hij dat doet, dan is het risico inbegrepen bij het product en is dus voldaan aan de conformiteitseis. Oftewel: als je wist dat er dode pixels konden komen, kun je niet meer ruilen als ze er ook echt blijken te zitten.

Om die waarschuwingen wat eenduidiger te maken, hebben de fabrikanten een ISO norm opgesteld. Deze ISO norm 13406-2 definieert vier klassen met bijbehorende te verwachten defecten, zodat je met één oogopslag kunt aangeven met wat voor monitor je te maken hebt. Zo mag een klasse II monitor maximaal 2 dode pixels hebben of maximaal 5 dode subpixels. Een klasse I monitor mag geen enkel defect hebben. De winkelier moet voor de verkoop duidelijk aangeven om wat voor klasse monitor het gaat, en liefst ook wat dat concreet inhoudt. En dus niet door alleen maar te verwijzen naar ISO norm 13406-2, want die kost 142 euro om in te zien. De winkel moet aangeven wat er in die norm staat (“Klasse II: maximaal 2 defecte pixels of 5 subpixels”).

Steeds meer fabrikanten bieden vrijwillige garanties dat hun monitoren geen dode pixels hebben. Daar kun je die fabrikanten dan aan houden natuurlijk, want garanties gaan boven de gewone verwachtingen van een product.

Arnoud<br/> Afbeelding uit Defecte pixel – Wikipedia.