Google gaat individuele identifiers van adverteerders blokkeren

| AE 12544 | Ondernemingsvrijheid, Privacy | 5 reacties

Google wil binnen een aantal jaar stoppen met het individueel volgen van gebruikers, las ik bij Tweakers. Google wil alle unieke identifiers blokkeren, zowel van het bedrijf zelf als van adverteerders. “People shouldn’t have to accept being tracked across the web in order to get the benefits of relevant advertising”, aldus de toelichtingsblog van Google. Toch blijven er volgens Google manieren waarop websites gericht kunnen adverteren. Het bedrijf noemt ‘vooruitgang in aggregate, anonimisatie, on-device-verwerkingen en andere privacybehoudende technologieën’. Ik ben erg benieuwd.

Als je één bedrijf moet noemen dat je continu volgt, dan zullen veel mensen Google noemen. De stap voelt dan ook raar en onverwacht, en het bedrijf zal er zeker goede PR garen bij spinnen: kijk ons eens ineens pivotten naar een privacyvriendelijke webbelevenis. Maar de grap is natuurlijk dat Google dit soort tracking helemaal niet meer nodig heeft, ze kan met contextual advertising al meer dan genoeg mensen passende advertenties voorschotelen. Het zijn dus vooral Google’s concurrenten die hier last van gaan krijgen.

Daar komt bij dat Google ook een nieuwe technologie heeft ontwikkeld waarmee het beheren van persoonsinformatie privacyvriendelijker wordt. In de kern wordt alle data op de eigen computer geladen en in een machine learning model gevoegd. Data van andere mensen wordt op een privacyvriendelijke (want geanonimiseerde) manier gedeeld, zodat iedereen zijn of haar eigen profiel kan verrijken zonder dat ergens centraal álle gegevens (of zelfs maar de gegevens per cohort) beschikbaar zijn. Het is vrij nieuw, maar al getest met het Android-toetsenbord Gboard en lijkt te werken zoals beloofd.

In theorie wordt dit zelfs een open standaard, zodat concurrenten het ook over kunnen nemen. Maar de marktmacht van Google blijft wel zo groot dat het lange tijd vooral dit bedrijf een groot voordeel zal opleveren. En dat maakt het zorgelijk, ondanks de belofte van meer privacy en bescherming van persoonsgegevens.

Arnoud

Oh sjonge, optimaliseren van onze website is dus een boetewaardige cookietekst

| AE 12395 | Privacy | 12 reacties

De Franse privacyautoriteit CNIL heeft Google en Amazon een boete van respectievelijk 100 miljoen en 35 miljoen euro gegeven, las ik bij Nu.nl. Het boetebesluit is opmerkelijk omdat het gewoon recht voor z’n raap beboet wat veel mensen al lang zeggen maar bedrijven gewoon blijven doen: direct een tracking cookie zetten en ook nog eens in de cookiemelding alleen maar vage teksten als “By using this website, you accept our use of cookies allowing to offer and improve our services. Read More” te hanteren. Het blijft me verbazen, dat iedereen daar gewoon mee doorging.

Of nou ja, eigenlijk ook weer niet want iedereen doet het en er werd toch niet op gehandhaafd. Maar ik had denk ik wel ergens verwacht dat die vage teksten als “wij gebruiken cookies om uw bezoekerservaring te optimaliseren” wel zouden verdwijnen toen de AVG haar intocht maakte. Dat blijkt dus fors tegen te vallen.

De CNIL is de Franse toezichthouder, en legt dan ook de boete op voor de dienst Google.fr en Amazon.fr – aan de Franse dochter van Google en Amazon, omdat die daadwerkelijk in de EU gevestigd zijn. Zo concludeert men:

Therefore, the processing consisting of operations of accessing or entering information in the terminal of users of the Google Search search engineresiding in France, in particular for advertising purposes, is carried out within the framework of the activities of the company GOOGLE FRANCE on French territory, which is in charge of the promotion and marketing of GOOGLE products and their advertising solutions in France.
(Wat natuurlijk klopt, die Europese dochterbedrijven zitten er om advertenties te verkopen dus die tracking cookies draaien daar voor hún zakelijk belang. De juridische bedrijfsstructuur doet er dan gewoon niet meer toe.)

Maar dan de echte discussie, hoe moet je uitleggen wat je doet? Na eerst alleen maar “Beheer uw privacy klik hier” te hebben gehad, had Google bijvoorbeeld op zeker moment dit ingevoerd:

Google uses cookies and other data to provide, manage and improve its services and ads. If you agree, we’ll personalize the content and ads you see based on your activity on Google services like Search, Maps, and YouTube. Some of our partners also assess how our services are used. Click “More Info” to explore your options or visit g.co/privacytools anytime
Maar is dit genoeg? Nee, aldus de CNIL: hieruit haal je niet dat je gevolgd wordt over meerdere apparaten en diensten heen, dat sprake is van vérgaande personalisatie en vooral dat je dit alles kunt uitzetten. Ja, er staat “more info to explore options” maar dat is bij lange na natuurlijk niet een mogelijkheid om te weigeren. En laat de wet nu niet alleen een weigermogelijkheid eisen maar zelfs een vooráfgaande: je moet gewoon vrijelijk toestemming kunnen geven of niet.

Wie heel hard zocht, kon een opt-out mogelijkheid vinden. Alleen bleek daarbij dat daarna niet alle cookies daadwerkelijk werden verwijderd of op opt-out werden gezet, zodat het tracken vrolijk verder kon gaan.

Goed, en nu. Moet iedereen stoppen met die vage zinnen, en vooral met cookies plaatsen voordat mensen op ja hebben geklikt? Nou ja, wat denk je zelf. Maar ik weet ook wel dat de concurrent er gewoon mee doorgaat, dat deze zaak nog jaren gaat slepen en dat er dus bar weinig prikkel is om morgen over te stappen op een volledig compliant systeem. Dit is echt een probleem.

Arnoud

Mag een tracking cookie van de AVG als je het “gerechtvaardigd belang” noemt?

| AE 12165 | Ondernemingsvrijheid, Privacy | 8 reacties

Een lezer vroeg me:

Sinds een tijdje valt het me op dat er steeds meer cookie-popups zijn die schermen met de term “gerechtvaardigd belang” als reden waarom ze cookies mogen plaatsen. Ook tracking cookies, terwijl dat toch gewoon onder toestemming valt volgens de AVG? Waar komt die term vandaan en hoezo is het niet misleidend om jouw commerciële belang op voorhand “gerechtvaardigd” te noemen?
Die term is inderdaad wat misleidend, zeker gezien hoe mensen de term nu gebruiken namelijk als schaamlap voor alles dat ze maar willen. Maar ‘gerechtvaardigd’ betekent niet dat jij het goed moet vinden, het betekent dat het binnen de wet past, van de wet te rechtvaardigen is.

In de kern komt het erop neer dat er situaties zijn waarin jij ook gewoon een belang hebt, bijvoorbeeld de bescherming van jouw eigendom (een grondrecht, immers). Dat belang moet je dan kunnen beschermen, zoals door cameratoezicht. De AVG zegt dan dat dat mag, mits je maar zo veel mogelijk de privacy van passanten beschermt.

Daar zit dan een hele belangenafweging in, inclusief zo mogelijk een opt-out op basis van persoonlijke omstandigheden. Maar in de kern zegt de AVG dus dat het mag, “in principe” zoals de AVG dat noemt.

Het lastige is natuurlijk wanneer een belang “gerechtvaardigd” is. De AVG gaat daar niet op in, en er is ook geen jurisprudentie hierover van het Hof van Justitie. Onze eigen Autoriteit Persoonsgegevens publiceerde in haar normuitleg hier wel een formulering over:

[Gerechtvaardigd] houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden.
De insteek is dus dat een belang ergens te herleiden moet zijn tot de wet, zoals in mijn voorbeeld van het eigendomsrecht dat ik wil beschermen. Een ander belang zou kunnen zijn dat ik een rechtsvordering wil instellen tegen jou, omdat jij mijn schadeclaim niet betaalt. Daarvoor heb ik jouw persoonsgegevens nodig, en dat zou ik dan onder deze grondslag kunnen doen.

Bij al die cookiedingen wordt er geschermd met “direct marketing” als gerechtvaardigd belang, omdat de AVG dat expliciet noemt als een voorbeeld. Daar zet de AP tegenover:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc
Over wat een “zuiver commercieel belang” is, heb ik het eerder gehad. Ik las dat als dat je “ik wil geld verdienen anders ga ik failliet” niet als belang mag opvoeren, maar de AP lijkt het te interpreteren als “iedere motivatie waarin ‘ik wil geld verdienen’ staat, is ongeldig”. Dat gaat wel héél ver, met name omdat grondrechten wél als gerechtvaardigd belang kunnen dienen en de vrijheid van ondernemerschap een grondrecht is. Net als de vrijheid van meningsuiting; als ik jouw privacy mag schenden door iets te publiceren, waarom dan niet door jou te tracken?

Specifiek bij cookies werkt dit trouwens bijna nooit. De Telecommunicatiewet eist toestemming voor ieder plaatsen of uitlezen van informatie, ongeacht wat de AVG eventueel zegt over de persoonsgegevens-aspecten van die informatie. Dus een cookie plaatsen of een remote software update uitvoeren mag alleen met toestemming.

De Nederlandse uitzondering daarop is dat cookies die geen of geringe privacy-inbreuk maken, géén toestemming nodig hebben. Daarmee kun je dus bijvoorbeeld third-party analytics inzetten, hoewel daar tracking cookies bij komen kijken. Als je dat goed dichttimmert, dan is dat legaal zonder toestemming – en dán kun je je dus op gerechtvaardigd belang beroepen. Ik zou dus zeggen vrijheid van informatiegaring – weten hoe je site bezocht wordt.

Arnoud

Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische… Lees verder

Facebook mag niet-ingelogde internetters in België weer gaan volgen

| AE 8766 | Privacy | 22 reacties

Facebook mag niet-ingelogde Belgische internetters weer twee jaar gaan volgen met een datr-cookie, meldde Tweakers vorige week. In 2015 verbood de rechtbank dit volgen op verzoek van de Privacycommissie (de Belgische Autoriteit Persoonsgegevens), maar dat verbod wordt nu ongeldig verklaard omdat er onvoldoende spoedeisend belang zou zijn geweest. Facebook weet alles van iedereen, onder meer… Lees verder

Huh, in alle grote steden word je via je telefoon gevolgd?!

| AE 8725 | Innovatie, Privacy | 53 reacties

Mensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding… Lees verder

Mag een advertentie onhoorbaar piepen?

| AE 8186 | Informatiemaatschappij | 24 reacties

Er wordt geëxperimenteerd met video-advertenties die voor mensen onhoorbare piepjes produceren, las ik bij Ars Technica (dank, tipgever!). Deze worden dan opgepikt door weer andere video’s (of apps) op een ander apparaat, waardoor ze weten dat die twee beiden van dezelfde gebruiker zijn. Ook kun je nagaan hoe snel de advertentie wordt gesloten et cetera…. Lees verder

Yahoo negeert privacy-instelling IE10

| AE 4631 | Privacy | 26 reacties

Yahoo verklaart als één van de eerste grote internetnamen dat het de Do-Not-Track instelling van IE10 negeert, las ik bij Webwereld. Microsoft had eerder aangekondigd deze optie standaard aan te zetten, oftewel standaard mocht je niemand tracken die IE10 gebruikt. Volgens Yahoo veroorzaakte de browsermaker daarmee een gedegradeerde gebruikerservaring. En wanneer marketeers gaan spreken van… Lees verder

Heise’s alternatieve Facebookknopje

| AE 2689 | Privacy | 16 reacties

Vorige week schreef ik over het Facebook-‘Like’-knopje dat iedereen blijkt te tracken, ook als je niet ingelogd bent of zelfs als je geen lid bent van het sociale netwerk. Deze aanpak is juridisch dubieus, zeker nu er een cookiewet aankomt die dit expliciet gaat verbieden. In Duitsland lijkt nieuwssite Heise een oplossing te hebben gevonde…. Lees verder