Oh sjonge, optimaliseren van onze website is dus een boetewaardige cookietekst

| AE 12395 | Privacy | 12 reacties

De Franse privacyautoriteit CNIL heeft Google en Amazon een boete van respectievelijk 100 miljoen en 35 miljoen euro gegeven, las ik bij Nu.nl. Het boetebesluit is opmerkelijk omdat het gewoon recht voor z’n raap beboet wat veel mensen al lang zeggen maar bedrijven gewoon blijven doen: direct een tracking cookie zetten en ook nog eens in de cookiemelding alleen maar vage teksten als “By using this website, you accept our use of cookies allowing to offer and improve our services. Read More” te hanteren. Het blijft me verbazen, dat iedereen daar gewoon mee doorging.

Of nou ja, eigenlijk ook weer niet want iedereen doet het en er werd toch niet op gehandhaafd. Maar ik had denk ik wel ergens verwacht dat die vage teksten als “wij gebruiken cookies om uw bezoekerservaring te optimaliseren” wel zouden verdwijnen toen de AVG haar intocht maakte. Dat blijkt dus fors tegen te vallen.

De CNIL is de Franse toezichthouder, en legt dan ook de boete op voor de dienst Google.fr en Amazon.fr – aan de Franse dochter van Google en Amazon, omdat die daadwerkelijk in de EU gevestigd zijn. Zo concludeert men:

Therefore, the processing consisting of operations of accessing or entering information in the terminal of users of the Google Search search engineresiding in France, in particular for advertising purposes, is carried out within the framework of the activities of the company GOOGLE FRANCE on French territory, which is in charge of the promotion and marketing of GOOGLE products and their advertising solutions in France.
(Wat natuurlijk klopt, die Europese dochterbedrijven zitten er om advertenties te verkopen dus die tracking cookies draaien daar voor hún zakelijk belang. De juridische bedrijfsstructuur doet er dan gewoon niet meer toe.)

Maar dan de echte discussie, hoe moet je uitleggen wat je doet? Na eerst alleen maar “Beheer uw privacy klik hier” te hebben gehad, had Google bijvoorbeeld op zeker moment dit ingevoerd:

Google uses cookies and other data to provide, manage and improve its services and ads. If you agree, we’ll personalize the content and ads you see based on your activity on Google services like Search, Maps, and YouTube. Some of our partners also assess how our services are used. Click “More Info” to explore your options or visit g.co/privacytools anytime
Maar is dit genoeg? Nee, aldus de CNIL: hieruit haal je niet dat je gevolgd wordt over meerdere apparaten en diensten heen, dat sprake is van vérgaande personalisatie en vooral dat je dit alles kunt uitzetten. Ja, er staat “more info to explore options” maar dat is bij lange na natuurlijk niet een mogelijkheid om te weigeren. En laat de wet nu niet alleen een weigermogelijkheid eisen maar zelfs een vooráfgaande: je moet gewoon vrijelijk toestemming kunnen geven of niet.

Wie heel hard zocht, kon een opt-out mogelijkheid vinden. Alleen bleek daarbij dat daarna niet alle cookies daadwerkelijk werden verwijderd of op opt-out werden gezet, zodat het tracken vrolijk verder kon gaan.

Goed, en nu. Moet iedereen stoppen met die vage zinnen, en vooral met cookies plaatsen voordat mensen op ja hebben geklikt? Nou ja, wat denk je zelf. Maar ik weet ook wel dat de concurrent er gewoon mee doorgaat, dat deze zaak nog jaren gaat slepen en dat er dus bar weinig prikkel is om morgen over te stappen op een volledig compliant systeem. Dit is echt een probleem.

Arnoud

Mag een tracking cookie van de AVG als je het “gerechtvaardigd belang” noemt?

| AE 12165 | Ondernemingsvrijheid, Privacy | 8 reacties

Een lezer vroeg me:

Sinds een tijdje valt het me op dat er steeds meer cookie-popups zijn die schermen met de term “gerechtvaardigd belang” als reden waarom ze cookies mogen plaatsen. Ook tracking cookies, terwijl dat toch gewoon onder toestemming valt volgens de AVG? Waar komt die term vandaan en hoezo is het niet misleidend om jouw commerciële belang op voorhand “gerechtvaardigd” te noemen?
Die term is inderdaad wat misleidend, zeker gezien hoe mensen de term nu gebruiken namelijk als schaamlap voor alles dat ze maar willen. Maar ‘gerechtvaardigd’ betekent niet dat jij het goed moet vinden, het betekent dat het binnen de wet past, van de wet te rechtvaardigen is.

In de kern komt het erop neer dat er situaties zijn waarin jij ook gewoon een belang hebt, bijvoorbeeld de bescherming van jouw eigendom (een grondrecht, immers). Dat belang moet je dan kunnen beschermen, zoals door cameratoezicht. De AVG zegt dan dat dat mag, mits je maar zo veel mogelijk de privacy van passanten beschermt.

Daar zit dan een hele belangenafweging in, inclusief zo mogelijk een opt-out op basis van persoonlijke omstandigheden. Maar in de kern zegt de AVG dus dat het mag, “in principe” zoals de AVG dat noemt.

Het lastige is natuurlijk wanneer een belang “gerechtvaardigd” is. De AVG gaat daar niet op in, en er is ook geen jurisprudentie hierover van het Hof van Justitie. Onze eigen Autoriteit Persoonsgegevens publiceerde in haar normuitleg hier wel een formulering over:

[Gerechtvaardigd] houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden.
De insteek is dus dat een belang ergens te herleiden moet zijn tot de wet, zoals in mijn voorbeeld van het eigendomsrecht dat ik wil beschermen. Een ander belang zou kunnen zijn dat ik een rechtsvordering wil instellen tegen jou, omdat jij mijn schadeclaim niet betaalt. Daarvoor heb ik jouw persoonsgegevens nodig, en dat zou ik dan onder deze grondslag kunnen doen.

Bij al die cookiedingen wordt er geschermd met “direct marketing” als gerechtvaardigd belang, omdat de AVG dat expliciet noemt als een voorbeeld. Daar zet de AP tegenover:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc
Over wat een “zuiver commercieel belang” is, heb ik het eerder gehad. Ik las dat als dat je “ik wil geld verdienen anders ga ik failliet” niet als belang mag opvoeren, maar de AP lijkt het te interpreteren als “iedere motivatie waarin ‘ik wil geld verdienen’ staat, is ongeldig”. Dat gaat wel héél ver, met name omdat grondrechten wél als gerechtvaardigd belang kunnen dienen en de vrijheid van ondernemerschap een grondrecht is. Net als de vrijheid van meningsuiting; als ik jouw privacy mag schenden door iets te publiceren, waarom dan niet door jou te tracken?

Specifiek bij cookies werkt dit trouwens bijna nooit. De Telecommunicatiewet eist toestemming voor ieder plaatsen of uitlezen van informatie, ongeacht wat de AVG eventueel zegt over de persoonsgegevens-aspecten van die informatie. Dus een cookie plaatsen of een remote software update uitvoeren mag alleen met toestemming.

De Nederlandse uitzondering daarop is dat cookies die geen of geringe privacy-inbreuk maken, géén toestemming nodig hebben. Daarmee kun je dus bijvoorbeeld third-party analytics inzetten, hoewel daar tracking cookies bij komen kijken. Als je dat goed dichttimmert, dan is dat legaal zonder toestemming – en dán kun je je dus op gerechtvaardigd belang beroepen. Ik zou dus zeggen vrijheid van informatiegaring – weten hoe je site bezocht wordt.

Arnoud

Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische gegevens over jou bevatten, wat natuurlijk gebeurt als je bij je zorgverzekeraar of ziekenhuis rondklikt. Heel verbazingwekkend zou dat niet moeten zijn – dergelijke pixels vallen immers gewoon onder de cookiewet, en er wordt zelden toestemming gevraagd zoals het hoort. Plus, je hebt een grondslag nodig voor deze bijzondere persoonsgegevens en ook dat gaat mis.

Het komt natuurlijk vooral in het nieuws omdat het gaat om Facebook, maar uiteindelijk is het gewoon een punt (haha): als je mensen gaat tracken en je doet dat over meerdere sites heen, dan moet daar gewoon toestemming voor gegeven zijn. Allereerst omdat het gaat om informatie die je bij iemand opslaat – cookiewet – en daarnaast ook omdat het een nogal invasieve verwerking van iemands persoonsgegevens is – Wbp/AVG. Bij dat tweede is soms nog te verdedigen dat je kunt werken onder een eigen gerechtvaardigd belang, maar dat houdt heel snel op als het gaat om third-party tracking over meerdere sites heen.

De Facebook pixel is technisch een niet zo ingewikkelde constructie. Een website-eigenaar neemt een code op van Facebook, waarmee een plaatje van 1×1 pixel wordt opgenomen in zijn site. Dit plaatje komt van Facebook, en men kan vervolgens informatie uitlezen van de browser waarmee het plaatje wordt opgehaald. Maar de pixel doet meer: hij kijkt of je ingelogd bent bij Facebook, en slaat dan informatie over de pagina op bij je Facebook-interesseprofiel. Vervolgens kan de eigenaar van die site op Facebook je reclame tonen voor deze site (“retargeting”).

Dit noemen we profileren onder de AVG, en het is natuurlijk een vorm van verwerken van persoonsgegevens. Daarom is daarop (vanaf 25 mei) de AVG van toepassing. Die zegt dat toestemming nodig is voor deze vorm van tracking. Bovendien geldt op deze pixel de cookiewet, want de pixel is immers informatie die wordt opgeslagen op de computer van de bezoeker terwijl die informatie niet technisch noodzakelijk is voor de website. En ook die wet eist dan toestemming. En als triple whammy hebben we het specifiek hier nog eens over bijzondere persoonsgegevens (immers over gezondheid).

Ik zie dus geen manier om dit legaal te doen, tenzij je als website-eigenaar toestemming vraagt voor het mogen plaatsen van deze pixel en daarbij uitlegt dat het doel is om op Facebook gerichte reclame te kunnen doen. Oh, en die toestemming moet te weigeren zijn zonder dat je van de site geweerd wordt.

Arnoud

Facebook mag niet-ingelogde internetters in België weer gaan volgen

| AE 8766 | Privacy | 22 reacties

Facebook mag niet-ingelogde Belgische internetters weer twee jaar gaan volgen met een datr-cookie, meldde Tweakers vorige week. In 2015 verbood de rechtbank dit volgen op verzoek van de Privacycommissie (de Belgische Autoriteit Persoonsgegevens), maar dat verbod wordt nu ongeldig verklaard omdat er onvoldoende spoedeisend belang zou zijn geweest. Facebook weet alles van iedereen, onder meer… Lees verder

Huh, in alle grote steden word je via je telefoon gevolgd?!

| AE 8725 | Innovatie, Privacy | 53 reacties

Mensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding… Lees verder

Mag een advertentie onhoorbaar piepen?

| AE 8186 | Informatiemaatschappij | 24 reacties

Er wordt geëxperimenteerd met video-advertenties die voor mensen onhoorbare piepjes produceren, las ik bij Ars Technica (dank, tipgever!). Deze worden dan opgepikt door weer andere video’s (of apps) op een ander apparaat, waardoor ze weten dat die twee beiden van dezelfde gebruiker zijn. Ook kun je nagaan hoe snel de advertentie wordt gesloten et cetera…. Lees verder

Yahoo negeert privacy-instelling IE10

| AE 4631 | Privacy | 26 reacties

Yahoo verklaart als één van de eerste grote internetnamen dat het de Do-Not-Track instelling van IE10 negeert, las ik bij Webwereld. Microsoft had eerder aangekondigd deze optie standaard aan te zetten, oftewel standaard mocht je niemand tracken die IE10 gebruikt. Volgens Yahoo veroorzaakte de browsermaker daarmee een gedegradeerde gebruikerservaring. En wanneer marketeers gaan spreken van… Lees verder

Heise’s alternatieve Facebookknopje

| AE 2689 | Privacy | 16 reacties

Vorige week schreef ik over het Facebook-‘Like’-knopje dat iedereen blijkt te tracken, ook als je niet ingelogd bent of zelfs als je geen lid bent van het sociale netwerk. Deze aanpak is juridisch dubieus, zeker nu er een cookiewet aankomt die dit expliciet gaat verbieden. In Duitsland lijkt nieuwssite Heise een oplossing te hebben gevonde…. Lees verder