Toezichthouder: cookiepop-ups advertentie-industrie in strijd met AVG

De cookiepop-ups waar zeer veel websites gebruik van maken voor het plaatsen van trackingcookies zijn in strijd met de AVG, zo heeft de Belgische Gegevensbeschermingsautoriteit (GBA) bepaald. Dat meldde Security.nl vorige week. De websites maken gebruik van het Transparency and Consent Framework (TCF) van het Interactive Advertising Bureau Europe (IAB Europe), de branchevereniging voor de advertentie-industrie. Die heeft natuurlijk vanaf het begin duidelijk aangegeven dat dit de manier is om AVG-compliant real time bidding te doen voor advertenties, dus dat zal een forse tegenvaller zijn geweest.

Het TCF is een kader voor Real Time Bidding op advertentieruimte. Het idee is dat als je op een website komt met advertentieruimte (zoals een banner), een hele sloot bedrijven (denk een kleine duizend) hun waarde voor jouw bezoek met elkaar vergelijken (ik bied 2 cent, ik bied 1 cent maar heb betere targeting) zodat de website de best passende gebruikerservaring kan bieden.

Punt is dat je daarvoor toestemming nodig hebt, want voor zulk tracken en profileren kom je onder de AVG niet weg op een andere manier. Security.nl legt uit:

Het TCF vergemakkelijkt, via het Consent Management platform of CMP, het vastleggen van de voorkeuren van gebruikers. Deze voorkeuren worden dan opgeslagen in een “TC string”, die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt.
Dat is dus een probleem in België:
De verwerking van persoonsgegevens (bijv. gebruikersvoorkeuren vastleggen) onder de huidige versie van het TCF is niet in overeenstemming met de AVG, wegens een inherente inbreuk op het beginsel van behoorlijkheid en rechtmatigheid. Men vraagt mensen om hun toestemming te geven, terwijl de meesten van hen niet weten dat hun profielen dagelijks talloze keren worden verkocht om hen aan gepersonaliseerde advertenties bloot te stellen.
Wat natuurlijk precies is dat iedereen in de industrie eigenlijk wel wist. Het komt terug op het algemene punt: zeg je “oh ja leuk, ik wil dat 1500 techbedrijven profielen van me opbouwen om advertenties te matchen nadat ze mijn data hebben gecorreleerd met aangekochte vage bestanden” of “donder op met je cookies ik wil het nieuws lezen”. De GBA zegt nu “dat laatste” en in juridische taal noemen we dit dan een non-AVG-compliant toestemming.

Het is wel een beetje de “hou maar op met je website”-week zo lijkt het: geen Analytics, geen Google Fonts, geen cookietoestemming meer. Toeval denk ik dat die uitspraken tegelijk komen, maar het is wel een duidelijk signaal: het recht loopt traag, maar als het eenmaal loopt dan moet je écht aan de bak.

Arnoud

Een vindikleuk is geen steunbetuiging naar Nederlands recht

Pijnlijk: de massaclaim van The Privacy Collective tegen Oracle en Salesforce is gestrand op een procedurefout, las ik bij VPNgids. Deze werd augustus 2020 gestart als grote poging om de online advertentieveilingen, waarbij grootschalig in profieltoegang wordt gehandeld, aan te pakken door van vele kleintjes één grote claim te maken. Dat kan in Nederland, maar je moet daarbij kunnen aantonen voldoende representatief te zijn voor je achterban. TPC gebruikte daarvoor een simpel en transparant mechanisme, dat nu door de rechtbank wordt afgekeurd: de vindikleuk-knop. (Geen grappen over dat die knoppen zelf ook zouden tracken.)

In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent. Hoe meer informatie je dan kunt combineren, hoe beter je dat kunt. Vervolgens kun je een bod uitbrengen om een advertentie te mogen tonen, en het hoogste bod wint dan. Maar geen hond wordt daar duidelijk over geïnformeerd, dus de AVG-schending zie ik wel.

Het probleem is natuurlijk de schade: welk geldbedrag kun je zetten op het leed dat ik heb ondervonden door dit proces?Daar kom je niet uit. Vandaar:  claims bundelen om zo massa te creëren waardoor er genoeg geld binnenkomt. Daar hebben we een wettelijke basis voor, de Wet afhandeling massaschade in collectieve actie (Wamca). Maar om te voorkomen dat iedereen een stichting opricht en claimt namens heel Nederland, eist die wet dat je moet aantonen voldoende representatief te zijn.

TPC deed dat zo (afbeelding uit vonnis):

Inderdaad, één klik was genoeg. Weliswaar met serverside ontdubbelen op basis van IP-adres en een onafhankelijke audit, maar geen inschrijfformulier, betaling of andere techniek om officiële NAW gegevens van je achterban te verzamelen.

De rechtbank heeft daar moeite mee, om twee redenen:

  1. De tekst van de knop is te vaag: steunt men concreet de claimrechtszaak of enkel het abstracte idee van grote bedrijven aanpakken wegens inbreuk (“je stem laten horen”)? Die vond ik ook wat gezocht.
  2. De organisatie dient nauwkeurig te omschrijven voor welke groep personen zij opkomt. “Zij die ons liken” is niet nauwkeurig genoeg, bijvoorbeeld omdat we nu niet weten of deze personen in de relevante periode een cookie van Oracle en Salesforce op hun apparatuur hebben gehad.
Deze twee punten zijn fundamenteel en TPC mag terug naar huis om na te denken over een volgende zaak. Dit alsnog herstellen vindt de rechtbank niet de bedoeling. Je moet op dit punt je zaken in één keer op orde hebben.

Voor de volledigheid (en dat is opmerkelijk, want als de zaak afgeschoten is dan hou je normaal op met vonnissen) komt de rechtbank nog met een juridische spitsvondigheid: kún je wel namens een achterban een AVG-claim indienen als stichting? Of moet je per benadeelde een procesvolmacht hebben? Ik dacht nooit dat dat een discussie was: het hele punt van zo’n stichting is immers een collectieve claim te kunnen doen. Als je dan alsnog van iedereen apart een formulier moet hebben, dan schiet dat niet bepaald op. Maar goed, de rechtbank houdt het bij de signalering en trekt geen conclusie.

Arnoud

Google gaat individuele identifiers van adverteerders blokkeren

Google wil binnen een aantal jaar stoppen met het individueel volgen van gebruikers, las ik bij Tweakers. Google wil alle unieke identifiers blokkeren, zowel van het bedrijf zelf als van adverteerders. “People shouldn’t have to accept being tracked across the web in order to get the benefits of relevant advertising”, aldus de toelichtingsblog van Google. Toch blijven er volgens Google manieren waarop websites gericht kunnen adverteren. Het bedrijf noemt ‘vooruitgang in aggregate, anonimisatie, on-device-verwerkingen en andere privacybehoudende technologieën’. Ik ben erg benieuwd.

Als je één bedrijf moet noemen dat je continu volgt, dan zullen veel mensen Google noemen. De stap voelt dan ook raar en onverwacht, en het bedrijf zal er zeker goede PR garen bij spinnen: kijk ons eens ineens pivotten naar een privacyvriendelijke webbelevenis. Maar de grap is natuurlijk dat Google dit soort tracking helemaal niet meer nodig heeft, ze kan met contextual advertising al meer dan genoeg mensen passende advertenties voorschotelen. Het zijn dus vooral Google’s concurrenten die hier last van gaan krijgen.

Daar komt bij dat Google ook een nieuwe technologie heeft ontwikkeld waarmee het beheren van persoonsinformatie privacyvriendelijker wordt. In de kern wordt alle data op de eigen computer geladen en in een machine learning model gevoegd. Data van andere mensen wordt op een privacyvriendelijke (want geanonimiseerde) manier gedeeld, zodat iedereen zijn of haar eigen profiel kan verrijken zonder dat ergens centraal álle gegevens (of zelfs maar de gegevens per cohort) beschikbaar zijn. Het is vrij nieuw, maar al getest met het Android-toetsenbord Gboard en lijkt te werken zoals beloofd.

In theorie wordt dit zelfs een open standaard, zodat concurrenten het ook over kunnen nemen. Maar de marktmacht van Google blijft wel zo groot dat het lange tijd vooral dit bedrijf een groot voordeel zal opleveren. En dat maakt het zorgelijk, ondanks de belofte van meer privacy en bescherming van persoonsgegevens.

Arnoud

Oh sjonge, optimaliseren van onze website is dus een boetewaardige cookietekst

De Franse privacyautoriteit CNIL heeft Google en Amazon een boete van respectievelijk 100 miljoen en 35 miljoen euro gegeven, las ik bij Nu.nl. Het boetebesluit is opmerkelijk omdat het gewoon recht voor z’n raap beboet wat veel mensen al lang zeggen maar bedrijven gewoon blijven doen: direct een tracking cookie zetten en ook nog eens in de cookiemelding alleen maar vage teksten als “By using this website, you accept our use of cookies allowing to offer and improve our services. Read More” te hanteren. Het blijft me verbazen, dat iedereen daar gewoon mee doorging.

Of nou ja, eigenlijk ook weer niet want iedereen doet het en er werd toch niet op gehandhaafd. Maar ik had denk ik wel ergens verwacht dat die vage teksten als “wij gebruiken cookies om uw bezoekerservaring te optimaliseren” wel zouden verdwijnen toen de AVG haar intocht maakte. Dat blijkt dus fors tegen te vallen.

De CNIL is de Franse toezichthouder, en legt dan ook de boete op voor de dienst Google.fr en Amazon.fr – aan de Franse dochter van Google en Amazon, omdat die daadwerkelijk in de EU gevestigd zijn. Zo concludeert men:

Therefore, the processing consisting of operations of accessing or entering information in the terminal of users of the Google Search search engineresiding in France, in particular for advertising purposes, is carried out within the framework of the activities of the company GOOGLE FRANCE on French territory, which is in charge of the promotion and marketing of GOOGLE products and their advertising solutions in France.
(Wat natuurlijk klopt, die Europese dochterbedrijven zitten er om advertenties te verkopen dus die tracking cookies draaien daar voor hún zakelijk belang. De juridische bedrijfsstructuur doet er dan gewoon niet meer toe.)

Maar dan de echte discussie, hoe moet je uitleggen wat je doet? Na eerst alleen maar “Beheer uw privacy klik hier” te hebben gehad, had Google bijvoorbeeld op zeker moment dit ingevoerd:

Google uses cookies and other data to provide, manage and improve its services and ads. If you agree, we’ll personalize the content and ads you see based on your activity on Google services like Search, Maps, and YouTube. Some of our partners also assess how our services are used. Click “More Info” to explore your options or visit g.co/privacytools anytime
Maar is dit genoeg? Nee, aldus de CNIL: hieruit haal je niet dat je gevolgd wordt over meerdere apparaten en diensten heen, dat sprake is van vérgaande personalisatie en vooral dat je dit alles kunt uitzetten. Ja, er staat “more info to explore options” maar dat is bij lange na natuurlijk niet een mogelijkheid om te weigeren. En laat de wet nu niet alleen een weigermogelijkheid eisen maar zelfs een vooráfgaande: je moet gewoon vrijelijk toestemming kunnen geven of niet.

Wie heel hard zocht, kon een opt-out mogelijkheid vinden. Alleen bleek daarbij dat daarna niet alle cookies daadwerkelijk werden verwijderd of op opt-out werden gezet, zodat het tracken vrolijk verder kon gaan.

Goed, en nu. Moet iedereen stoppen met die vage zinnen, en vooral met cookies plaatsen voordat mensen op ja hebben geklikt? Nou ja, wat denk je zelf. Maar ik weet ook wel dat de concurrent er gewoon mee doorgaat, dat deze zaak nog jaren gaat slepen en dat er dus bar weinig prikkel is om morgen over te stappen op een volledig compliant systeem. Dit is echt een probleem.

Arnoud

Mag een tracking cookie van de AVG als je het “gerechtvaardigd belang” noemt?

Een lezer vroeg me:

Sinds een tijdje valt het me op dat er steeds meer cookie-popups zijn die schermen met de term “gerechtvaardigd belang” als reden waarom ze cookies mogen plaatsen. Ook tracking cookies, terwijl dat toch gewoon onder toestemming valt volgens de AVG? Waar komt die term vandaan en hoezo is het niet misleidend om jouw commerciële belang op voorhand “gerechtvaardigd” te noemen?
Die term is inderdaad wat misleidend, zeker gezien hoe mensen de term nu gebruiken namelijk als schaamlap voor alles dat ze maar willen. Maar ‘gerechtvaardigd’ betekent niet dat jij het goed moet vinden, het betekent dat het binnen de wet past, van de wet te rechtvaardigen is.

In de kern komt het erop neer dat er situaties zijn waarin jij ook gewoon een belang hebt, bijvoorbeeld de bescherming van jouw eigendom (een grondrecht, immers). Dat belang moet je dan kunnen beschermen, zoals door cameratoezicht. De AVG zegt dan dat dat mag, mits je maar zo veel mogelijk de privacy van passanten beschermt.

Daar zit dan een hele belangenafweging in, inclusief zo mogelijk een opt-out op basis van persoonlijke omstandigheden. Maar in de kern zegt de AVG dus dat het mag, “in principe” zoals de AVG dat noemt.

Het lastige is natuurlijk wanneer een belang “gerechtvaardigd” is. De AVG gaat daar niet op in, en er is ook geen jurisprudentie hierover van het Hof van Justitie. Onze eigen Autoriteit Persoonsgegevens publiceerde in haar normuitleg hier wel een formulering over:

[Gerechtvaardigd] houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden.
De insteek is dus dat een belang ergens te herleiden moet zijn tot de wet, zoals in mijn voorbeeld van het eigendomsrecht dat ik wil beschermen. Een ander belang zou kunnen zijn dat ik een rechtsvordering wil instellen tegen jou, omdat jij mijn schadeclaim niet betaalt. Daarvoor heb ik jouw persoonsgegevens nodig, en dat zou ik dan onder deze grondslag kunnen doen.

Bij al die cookiedingen wordt er geschermd met “direct marketing” als gerechtvaardigd belang, omdat de AVG dat expliciet noemt als een voorbeeld. Daar zet de AP tegenover:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc
Over wat een “zuiver commercieel belang” is, heb ik het eerder gehad. Ik las dat als dat je “ik wil geld verdienen anders ga ik failliet” niet als belang mag opvoeren, maar de AP lijkt het te interpreteren als “iedere motivatie waarin ‘ik wil geld verdienen’ staat, is ongeldig”. Dat gaat wel héél ver, met name omdat grondrechten wél als gerechtvaardigd belang kunnen dienen en de vrijheid van ondernemerschap een grondrecht is. Net als de vrijheid van meningsuiting; als ik jouw privacy mag schenden door iets te publiceren, waarom dan niet door jou te tracken?

Specifiek bij cookies werkt dit trouwens bijna nooit. De Telecommunicatiewet eist toestemming voor ieder plaatsen of uitlezen van informatie, ongeacht wat de AVG eventueel zegt over de persoonsgegevens-aspecten van die informatie. Dus een cookie plaatsen of een remote software update uitvoeren mag alleen met toestemming.

De Nederlandse uitzondering daarop is dat cookies die geen of geringe privacy-inbreuk maken, géén toestemming nodig hebben. Daarmee kun je dus bijvoorbeeld third-party analytics inzetten, hoewel daar tracking cookies bij komen kijken. Als je dat goed dichttimmert, dan is dat legaal zonder toestemming – en dán kun je je dus op gerechtvaardigd belang beroepen. Ik zou dus zeggen vrijheid van informatiegaring – weten hoe je site bezocht wordt.

Arnoud

Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische gegevens over jou bevatten, wat natuurlijk gebeurt als je bij je zorgverzekeraar of ziekenhuis rondklikt. Heel verbazingwekkend zou dat niet moeten zijn – dergelijke pixels vallen immers gewoon onder de cookiewet, en er wordt zelden toestemming gevraagd zoals het hoort. Plus, je hebt een grondslag nodig voor deze bijzondere persoonsgegevens en ook dat gaat mis.

Het komt natuurlijk vooral in het nieuws omdat het gaat om Facebook, maar uiteindelijk is het gewoon een punt (haha): als je mensen gaat tracken en je doet dat over meerdere sites heen, dan moet daar gewoon toestemming voor gegeven zijn. Allereerst omdat het gaat om informatie die je bij iemand opslaat – cookiewet – en daarnaast ook omdat het een nogal invasieve verwerking van iemands persoonsgegevens is – Wbp/AVG. Bij dat tweede is soms nog te verdedigen dat je kunt werken onder een eigen gerechtvaardigd belang, maar dat houdt heel snel op als het gaat om third-party tracking over meerdere sites heen.

De Facebook pixel is technisch een niet zo ingewikkelde constructie. Een website-eigenaar neemt een code op van Facebook, waarmee een plaatje van 1×1 pixel wordt opgenomen in zijn site. Dit plaatje komt van Facebook, en men kan vervolgens informatie uitlezen van de browser waarmee het plaatje wordt opgehaald. Maar de pixel doet meer: hij kijkt of je ingelogd bent bij Facebook, en slaat dan informatie over de pagina op bij je Facebook-interesseprofiel. Vervolgens kan de eigenaar van die site op Facebook je reclame tonen voor deze site (“retargeting”).

Dit noemen we profileren onder de AVG, en het is natuurlijk een vorm van verwerken van persoonsgegevens. Daarom is daarop (vanaf 25 mei) de AVG van toepassing. Die zegt dat toestemming nodig is voor deze vorm van tracking. Bovendien geldt op deze pixel de cookiewet, want de pixel is immers informatie die wordt opgeslagen op de computer van de bezoeker terwijl die informatie niet technisch noodzakelijk is voor de website. En ook die wet eist dan toestemming. En als triple whammy hebben we het specifiek hier nog eens over bijzondere persoonsgegevens (immers over gezondheid).

Ik zie dus geen manier om dit legaal te doen, tenzij je als website-eigenaar toestemming vraagt voor het mogen plaatsen van deze pixel en daarbij uitlegt dat het doel is om op Facebook gerichte reclame te kunnen doen. Oh, en die toestemming moet te weigeren zijn zonder dat je van de site geweerd wordt.

Arnoud

Kan een werknemer worden verplicht een GPS-armband te dragen?

Een lezer vroeg me:

Als beveiliger bij een groot bedrijf kreeg ik enige tijd terug een GPS-armband om te dragen. Op mijn vraag waarom was het antwoord dat men zo kon zien waar ik was in geval van een calamiteit, ook geeft het bewijs aan de klant dat ik werkelijk mijn route loop. Echter, nu enkele maanden later blijkt dat mijn werkgever het ook gebruikt om mij aan te spreken op hoe ik mijn werk uitvoer. Ik sta te lang stil, loop niet exact het goede pad, houd pauze op de verkeerde plek en ga zo maar door. Kan dat zomaar, dat ik met zo’n armband op de centimeter gevolgd word?

In beginsel bepaalt de werkgever hoe het werk wordt uitgevoerd en welke spullen je daarbij moet gebruiken. Als een GPS-armband dus redelijkerwijs nodig is voor het werk, dan moet je die bij je dragen. Net zoals je je werktelefoon bij je moet hebben of je pet op moet als beveiliger, om eens wat te noemen.

Verschil tussen pet en armband is natuurlijk dat die armband wel even een stevige inbreuk op je privacy is. Wie toegang heeft tot de metingen, kan precies zien waar je bent. Dát vereist een stevige aparte rechtvaardiging én waarborgen om de privacy toch te beschermen. (Wie denkt dat je de beveiligers toestemming kunt laten geven: vergeet het maar, dat mogen werknemers juridisch niet doen.)

Die waarborgen moeten er met name voor zorgen dat je niet meer ziet dan waarvoor je de armband wilt gebruiken. In dit geval wil de klant de looproutes zien, daar kun je prima een geaggregeerde grafiek van laten zie. Maar waarom zou de werkgever live mee moeten kijken, én ook nog eens de werknemer aanspreken op rare loopjes? Op zijn minst zou ik een pauzeknop verwachten: wat je tijdens je pauze doet, gaat je werkgever niets aan.

Specifiek bij het beoordelen van werknemers geldt ook nog eens dat dat apart vooraf gemeld moet zijn én dat de ondernemingsraad (als die er is natuurlijk) hiermee ingestemd moet hebben. Dus wat hier gebeurt, kan eigenlijk gewoon echt niet.

Ik kan afgezien van de beveiliging en misschien een bezorgdienst weinig bedrijven bedenken waar zo’n armband überhaupt een reëel iets is om mensen te bevelen bij zich te hebben. Heel misschien bij topsporters, omdat daar je werk – je aan je trainschema houden – niet ophoudt zodra je het stadion verlaat. Maar ook daar zijn grenzen:

Het is inderdaad mogelijk om uit de data af te leiden wanneer spelers seks hebben, of te lang in de kroeg staan. Als de hartslag van een speler ’s nachts een piek heeft voor het slapen gaan, kun je wel raden wat hij net deed.

Arnoud

Facebook mag niet-ingelogde internetters in België weer gaan volgen

facebook-vind-ik-stomFacebook mag niet-ingelogde Belgische internetters weer twee jaar gaan volgen met een datr-cookie, meldde Tweakers vorige week. In 2015 verbood de rechtbank dit volgen op verzoek van de Privacycommissie (de Belgische Autoriteit Persoonsgegevens), maar dat verbod wordt nu ongeldig verklaard omdat er onvoldoende spoedeisend belang zou zijn geweest.

Facebook weet alles van iedereen, onder meer omdat heel veel websites zo’n handig “Vind ik leuk/Deel dit”-knopje hebben opgenomen met door Facebook aangeleverde scripting. Dat knopje zet cookies en stuurt informatie door over de bezoeker, ongeacht of die persoon ingelogd is op Facebook of zelfs maar een Facebook-account hééft.

Dat gaat een tikje ver, en zeker onder de Europese cookieregels lijkt me dat niet in de haak. Om cookies te mogen zetten, moet toestemming zijn gegeven. En die Facebookwidget doet dat niet. Daarmee overtreedt men dus de cookiewet. En daarom besloot eind 2015 de Belgische rechter in kort geding dat dit onmiddellijk moet stoppen.

Facebook ging in hoger beroep, en won op een formeel punt: zij doen dit al sinds 2012, en de rechtszaak kwam pas in 2015, dus hoezo is er dan nog spoed bij deze zaak? En ja, dat is een argument want in kort geding gaat het allemaal even wat sneller en dus minder grondig, en dat doen we omdat er zulke grote spoed bij is dat we niet kunnen wachten op een bodemprocedure. Blijkt er dus geen grote spoed te zijn, dan moet de rechter in kort geding de eis afwijzen en de partijen naar de bodemrechter verwijzen. En dat is wat hier is gebeurd.

Ergerlijk, maar het betekent niet dat Facebook dus legaal is. Ik kan eerlijk gezegd geen enkel argument bedenken waarom dat zo zou zijn. Facebook roept dan steeds dat de cookies belangrijk zijn voor de beveiliging tegen cybercriminelen en malware, maar dat klinkt mij als marketingblaat (wie corrigeert me?). Dus voor mij leest deze uitspraak als een juridische trucje van Facebook on mog even door te mogen gaan tot die bodemprocedure in 2017 afgerond is.

Arnoud

Huh, in alle grote steden word je via je telefoon gevolgd?!

city-trafficMensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding van de Wbp meer zijn. Bovendien kun je op de website van het bedrijf (“We know where people GO”) nalezen hoe het werkt, want dat weet iedereen te vinden.

Dat kwam me bekend voor: in december werd Bluetrace op de vingers getikt door de toezichthouder, omdat ze MAC-adressen van winkelbezoekers (én langslopende passanten) gebruikte om vergelijkbare informatie op winkelniveau te vergaren. Dat ging te ver: die gegevens waren persoonsgegevens en ze werden voor onbepaalde tijd bewaard.

De Autoriteit Persoonsgegevens meldt tegen RTL Z dat wifi-tracking alleen mag worden uitgevoerd als dat wettelijk is toegestaan, bijvoorbeeld door toestemming aan mensen te vragen. Of – vul ik maar aan – als je een dringende noodzaak hebt en voldoende privacywaarborgen hebt ingericht. Het bijhouden van bezoeken zou best onder die grond te rechtvaardigen zijn als je het anoniem genoeg doet.

Citytraffic verzekert iedereen dat zij zich aan de wet houdt. Ik heb zo mijn twijfels. Het komt elke keer neer op dezelfde discussie: is een MAC-adres van je Wifi- of Bluetooth-chip een persoonsgegeven, en maakt het uit of je dat hasht. Het criterium is of je direct dan wel indirect het adres tot een persoon kunt herleiden, en ik neig naar wel: dat gegeven is aan jóuw telefoon gekoppeld, en telefoons zijn vandaag de dag een verlengstuk van mensen dus echt wel dat dat een persoon betreft.

Daar staat tegenover dat je niet weet hoe die persoon héét. Maar dat betekent alleen dat die persoon niet direct identificeerbaar is, en ook indirect identificeerbare gegevens zijn persoonsgegevens. Logisch ook: een persoon is meer dan een naam, en identificatie kan ook prima aan de hand van andere omschrijvingen. Zoals “de eigenaar van telefoon met MAC-adres 1::2”. (En ja natuurlijk zijn er telefoons en MAC-adressen die niet aan een persoon toebehoren, maar dat is de uitzondering en bovendien niet de doelgroep van Citytraffic.)

Dat hashen dan. Er heeft ooit iemand bij de toezichthouder wat gemompeld over dat een hash als niet-omkeerbare versleuteling wel eens gegevens buiten de Wbp kan plaatsen, dus nu is het een toverformule geworden (denk ik) dat als je hasht, er niets aan de hand is. Dat is onzin: wanneer je de hash in plaats van het MAC-adres gebruikt, houd je exact dezelfde informatie bij over een persoon. En je kunt vanaf een MAC-adres zo naar dat blokje informatie toe. Dus die zie ik niet. Ja, het is moeilijker om van het blokje informatie naar een MAC-adres te gaan, maar gezien de use case van Citytraffic komt dat niet voor. Het is altijd andersom: hee daar is MAC-adres 1::2 weer, wat weten we over die persoon.

Dus nee, alles bij elkaar blijf ik erbij dat het hier gewoon gaat om een verwerking van persoonsgegevens. Citytraffic moet dan dus voldoen aan de Wbp, en actief mensen informeren over wat zij doen. Bordjes in de Koopgoot dus, in plaats van een FAQ op de website. Toestemming vragen hoeft niet, mits ze het kunnen inkleden als een eigen dringende noodzaak én genoeg privacywaarborgen bieden. Een afmeldmogelijkheid is daarbij een vereiste, maar ook het snel wissen van individuele gegevens. De AP gaat zelfs zo ver dat ze zegt, bij gegevens op de openbare weg metéén anonimiseren. Dat betekent in feite dat Citytraffic geen, eh, city traffic mag bijhouden want als je meteen anonimiseert dan kun je geen verbanden leggen. Ik twijfel dus of dát niet wat te streng is.

Arnoud

Mag een advertentie onhoorbaar piepen?

ring-bel-alarm-geluidEr wordt geëxperimenteerd met video-advertenties die voor mensen onhoorbare piepjes produceren, las ik bij Ars Technica (dank, tipgever!). Deze worden dan opgepikt door weer andere video’s (of apps) op een ander apparaat, waardoor ze weten dat die twee beiden van dezelfde gebruiker zijn. Ook kun je nagaan hoe snel de advertentie wordt gesloten et cetera. Ongelofelijk creatief, maar wat kun je ertegen doen?

Cookiewet to the rescue, denk ik dan gelijk. Het is immers verboden gegevens op te slaan of uit te lezen van iemands computer zonder diens toestemming, dat was het hele punt van die wet. Maar het moet dan wel gaan om uitlezen via een netwerk, en daarvan kun je moeilijk spreken als twee apparaten in dezelfde fysieke ruimte via microfoon en luidspreker met elkaar praten. Natuurlijk wordt er vervolgens wel een en ander teruggestuurd naar het moederschip, maar dat is door de advertentie zelf gegenereerde informatie.

De Wbp dan maar? Die is immers zo ongeveer altijd van toepassing, en ook hier: het gegeven dat twee apparaten van dezelfde persoon zijn, is te zien als een persoonsgegeven. En dat wordt dan verzameld en gebruikt zonder toestemming of andere duidelijke grondslag.

Maar ja. De Wbp krijgt per 1 januari wel tanden, maar zal dat genoeg zijn om zulke profijtelijke activiteiten tegen te houden? Kom er maar eens achter wie die partijen zijn die dit doen. Ik denk dan ook niet dat juridische actie hier zinnig is. Dit is nou een prima argument waarom adblockers nuttig kunnen zijn. Maar ik ken er geen die ook geluid blokkeren.

Arnoud