Toezichthouder: cookiepop-ups advertentie-industrie in strijd met AVG

| AE 13144 | Ondernemingsvrijheid, Privacy | 19 reacties

De cookiepop-ups waar zeer veel websites gebruik van maken voor het plaatsen van trackingcookies zijn in strijd met de AVG, zo heeft de Belgische Gegevensbeschermingsautoriteit (GBA) bepaald. Dat meldde Security.nl vorige week. De websites maken gebruik van het Transparency and Consent Framework (TCF) van het Interactive Advertising Bureau Europe (IAB Europe), de branchevereniging voor de advertentie-industrie. Die heeft natuurlijk vanaf het begin duidelijk aangegeven dat dit de manier is om AVG-compliant real time bidding te doen voor advertenties, dus dat zal een forse tegenvaller zijn geweest.

Het TCF is een kader voor Real Time Bidding op advertentieruimte. Het idee is dat als je op een website komt met advertentieruimte (zoals een banner), een hele sloot bedrijven (denk een kleine duizend) hun waarde voor jouw bezoek met elkaar vergelijken (ik bied 2 cent, ik bied 1 cent maar heb betere targeting) zodat de website de best passende gebruikerservaring kan bieden.

Punt is dat je daarvoor toestemming nodig hebt, want voor zulk tracken en profileren kom je onder de AVG niet weg op een andere manier. Security.nl legt uit:

Het TCF vergemakkelijkt, via het Consent Management platform of CMP, het vastleggen van de voorkeuren van gebruikers. Deze voorkeuren worden dan opgeslagen in een “TC string”, die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt.
Dat is dus een probleem in België:
De verwerking van persoonsgegevens (bijv. gebruikersvoorkeuren vastleggen) onder de huidige versie van het TCF is niet in overeenstemming met de AVG, wegens een inherente inbreuk op het beginsel van behoorlijkheid en rechtmatigheid. Men vraagt mensen om hun toestemming te geven, terwijl de meesten van hen niet weten dat hun profielen dagelijks talloze keren worden verkocht om hen aan gepersonaliseerde advertenties bloot te stellen.
Wat natuurlijk precies is dat iedereen in de industrie eigenlijk wel wist. Het komt terug op het algemene punt: zeg je “oh ja leuk, ik wil dat 1500 techbedrijven profielen van me opbouwen om advertenties te matchen nadat ze mijn data hebben gecorreleerd met aangekochte vage bestanden” of “donder op met je cookies ik wil het nieuws lezen”. De GBA zegt nu “dat laatste” en in juridische taal noemen we dit dan een non-AVG-compliant toestemming.

Het is wel een beetje de “hou maar op met je website”-week zo lijkt het: geen Analytics, geen Google Fonts, geen cookietoestemming meer. Toeval denk ik dat die uitspraken tegelijk komen, maar het is wel een duidelijk signaal: het recht loopt traag, maar als het eenmaal loopt dan moet je écht aan de bak.

Arnoud

Duitse website veroordeeld voor doorgeven ip-adres bezoeker via Google Fonts

| AE 13140 | Ondernemingsvrijheid, Privacy | 43 reacties

Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts. Dat meldde Security.nl afgelopen maandag. De klagende bezoeker krijgt 100 euro schadevergoeding. Volgens de rechter heeft de website geen gerechtvaardigd belang, aangezien Google Fonts ook lokaal is te gebruiken waarbij er geen ip-adres van bezoekers naar Google wordt gestuurd. Exit Google Fonts?

De dienst Google Fonts is bedoeld om website-eigenaren makkelijker mooie lettertypes te kunnen laten serveren. Natuurlijk kan iedereen eigen fonts op de eigen site zetten, maar dan blijf je downloaden. Google zet ze centraal neer (fonts.googlea.com), en dan onthoudt je browser welke fonts al gedownload. Dat scheelt, en als er updates zijn (een ontbrekend karakter, een nieuwe emoji, noem maar op) kan dat op één plek doorgevoerd.

Nadeel: je browser maakt dan verbinding met een site van Google, waardoor die je IP-adres te pakken krijgt. En -als ik even snel in mijn eigen cookiejar kijk- ook analyticscookies en andere gezellige trackers, die ongetwijfeld gecombineerd zijn met mijn Google-profiel en ander online gedrag. Dit ter verbetering van de gebruikerservaring, veronderstel ik.

Dit is dus een probleem, om dezelfde reden als waarom Google Analytics een probleem is. Als website forceer je zo dat mensen hun persoonsgegevens (IP-adres en/of cookie) naar Amerika gaan. En hier is er ook een eenvoudig alternatief, aldus de rechtbank: je mag die fonts gewoon lokaal hosten. Je hebt dan wel een beetje overhead en extra downloads, maar toen ik dat schreef twee alinea’s terug zat ik ondertussen te Netflixen met Spotify aan én een AI model te renderen dus ik twijfelde al of ik dat nog wel een serieus argument vind in 2022.

De rechtbank bevestigt nog eens dat een IP-adres een persoonsgegeven is, ook als het “maar” dynamisch is. Gecombineeerd met datum en tijd is het gewoon het adres van een persoon – de netsurfer – en zeker voor Google, die het zo kan koppelen aan nog veel meer gegevens. En dat alles dus zonder toestemming en zonder goede reden (gerechtvaardigd belang).

In de comments bij Security.nl wordt gewezen op moderne beveiligingsmaatregelen in Firefox, waarmee je sowieso al niet meer profiteert van centrale opslag: fonts worden opnieuw opgehaald vanaf de Google-site bij iedere nieuwe site, zodat er niet één centraal overzicht komt voor de beheerder van de Google Fonts site. Wat dus specifiek bij Google niet werkt, maar bij andere meegluurders wel.

De 100 euro is een interessante opsteker voor de vele AVG-schadeclaimverzoekers. Heel hard wordt het niet onderbouwd:

The amount of the claimed damages is appropriate in view of the seriousness and duration of the infringement and is not challenged by the defendant.
Oftewel, “mja dat klinkt niet onredelijk en ik hoor ook geen serieus bezwaar van de website-eigenaar”.

Arnoud

Kun je via algemene voorwaarden je auteurs- en persoonlijkheidsrechten afstaan?

| AE 12983 | Ondernemingsvrijheid | 29 reacties

stevepb / Pixabay

Een interessante op het forum van Security.nl: “Bij ons in het dorp heeft een bedrijf diverse uitjes, dit is te boeken voor een groep. Van escaperoom, kinderfeestjes tot aan Wie is de Mol. Maar nu staat er in de Algemene voorwaarde dit:

7.5 Mogelijk zullen beeld- en/of geluidsopnamen worden gemaakt van het evenement en de deelnemers en worden opnamen openbaar gemaakt of verveelvoudigd. De bezoeker verleent onvoorwaardelijk toestemming tot het maken van voornoemde opnamen en exploitatie daarvan zonder dat de organisatie of derden een vergoeding aan de bezoeker verschuldigd is of zal zijn. Een eventueel naburig- en/of auteurs- en/of portretrecht draagt de bezoeker bij deze en zonder enige beperking over aan de organisatie. Voorts doet de bezoeker onherroepelijk afstand van het recht zich te beroepen op zijn/haar persoonlijkheidsrechten.
Tsja, hoe rechtsgeldig is zoiets. Het staat er -zoals zo vaak bij algemene voorwaarden- vooral omdat het mooi klinkt en je 90% van de klachten kunt pareren door meewarig te glimlachen en te zeggen “ja meneertje, maar artikel 7.5 zegt wat anders he”.

Het achterliggende punt is natuurlijk dat de organisatie video wil produceren op zo’n evenement, bijvoorbeeld voor reclame of social media. Dat kan niet zomaar, de mensen die daar rondlopen hebben recht op privacy en bescherming van hun persoonsgegevens. (Vroeger zouden we dan ook nog zeggen dat mensen portretrecht hebben als ze gefilmd worden, maar portretrecht is opgegaan in de AVG.)

Wat hier opvalt, is dat deze clausule zijn leven begon als een auteursrechtclausule, waar het portretrecht en persoonlijkheidsrechten aan toegevoegd zijn. Als forensisch jurist zeg ik dus dat deze tekst geschreven is door een IE-specialist. Echter, de kans dat een bezoeker een naburig of auteursrechtelijk relevante handeling verricht op het evenement is minimaal. Nog los van het feit dat voor overdracht van die rechten een ondertekend document nodig is, en algemene voorwaarden worden niet ondertekend.

Privacy/AVG technisch is dit een stuk lastiger te regelen. Je kunt in AV geen toestemming opeisen voor gebruik van je persoonsgegevens, dat moet immers van de AVG expliciet en dus apart gebeuren. Bovendien moet je vrijelijk toestemming kunnen weigeren en intrekken – je hebt er dus eigenlijk niets aan, als je toestemming vraagt aan mensen.

En ja, specifiek bij journalistieke verwerkingen is toestemming niet intrekbaar, dat klopt. Maar het soort video dat deze organisatie gaat maken zou ik héél moeilijk een journalistieke verwerking kunnen noemen, hoewel ik daar normaal erg ruimhartig in ben. Maar zelfs dan blijft het punt over dat je de toestemming expliciet moet vragen en dat deze vooraf geweigerd moet kunnen worden.

Arnoud

Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR ‘ondermijnt’

| AE 12801 | Ondernemingsvrijheid, Privacy | 9 reacties

Het Oostenrijkse Hooggerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. Dat las ik bij Tweakers. De vraag draait om het verschil tussen toestemming en een contract als grondslag om persoonsgegevens te mogen verwerken. Sinds de AVG van kracht is, houdt Facebook namelijk vol dat… Lees verder

Kan iemand mij uitleggen waarom ik het gerechtvaardigd belang van anderen aan en uit kan zetten?

| AE 12691 | Ondernemingsvrijheid | 10 reacties

Via Reddit: Al een tijdje krijgen we in de koekjesschermen een andere keuze. Het gaat niet alleen meer om waar ik toestemming voor geef, maar ook om gerechtvaardigd belang. … Wat ik niet snap, is waarom ik dan in de cookiebanner naast de toestemmingsvraag ook een vraag krijg over legitiem belang. Er staat legitiem belang en… Lees verder

Heeft die consent-balk van Teams bij video-opnames ook maar enige betekenis?

| AE 12255 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Twitter: als tijdens een videooverleg de organisator ‘opnemen’ aanzet dan lijkt dit me geen AVG-conforme manier om toestemming omdat die ‘vrijelijk’ gegeven moet worden. Ik verbaas me ook regelmatig over dat balkje bovenin de meeting, met de tekst “This meeting is being recorded. By joining you are giving consent for this meeting to be… Lees verder

Waarom hebben alle cookiepopups ineens een legitiem belang?

| AE 12221 | Privacy | 13 reacties

Een lezer vroeg me: Sinds een tijdje valt me op dat allerlei cookiepopups niet alleen om toestemming vragen, maar ook opties aanbieden onder het kopje “legitiem belang”. Vaak kun je die opties niet uitzetten, maar soms wel alleen heet dat dan “bezwaar”. Wat is dit in vredesnaam? Wie dit heeft bedacht, weet ik ook niet,… Lees verder

Mag de horeca gasten weigeren die geen naam en contactgegevens willen geven?

| AE 12137 | Ondernemingsvrijheid, Privacy | 33 reacties

Horecagelegenheden mogen gasten die geen naam en contactgegevens willen geven niet weigeren, las ik bij Security.nl. Dit blijkt uit een bericht van Koninklijke Horeca Nederland in reactie op de nieuwe maatregelen voor de horeca in de strijd tegen corona. Een van die nieuwe regels is dat iedere horecatent moet werken met reserveringen, ook als het… Lees verder

Moet ik nog zeggen dat die ondergoedfotoapp van Albert Heijn van de AVG niet mag?

| AE 11634 | Ondernemingsvrijheid, Privacy | 28 reacties

Winkelpersoneel van Albert Heijn is binnenkort in nieuwe bedrijfskleding te zien. De maat zou worden bepaald door foto’s in ondergoed. Dat las ik bij NRC (dank, vele tipgevers, ook voor dit gedicht). De foto’s worden – als ik het goed begrijp – door een AI geanalyseerd om zo de best passende maat te weten te… Lees verder

Toestemming vragen voor inzage in je studieschuld is waarom toestemming niet werkt

| AE 11517 | Privacy | 21 reacties

“Hypotheekverstrekkers gaan toestemming voor toegang tot studieschuld bij DUO opvragen”, las ik in het AD vorige week. Momenteel hebben hypotheekverstrekkers hier standaard geen informatie over, zodat het kan gebeuren dat mensen een hogere hypotheek krijgen dan verstandig zou zijn als wél rekening zou zijn gehouden met de DUO schuldpositie. Maar softwarebedrijf Ockto gaat komende maand… Lees verder