Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische gegevens over jou bevatten, wat natuurlijk gebeurt als je bij je zorgverzekeraar of ziekenhuis rondklikt. Heel verbazingwekkend zou dat niet moeten zijn – dergelijke pixels vallen immers gewoon onder de cookiewet, en er wordt zelden toestemming gevraagd zoals het hoort. Plus, je hebt een grondslag nodig voor deze bijzondere persoonsgegevens en ook dat gaat mis.

Het komt natuurlijk vooral in het nieuws omdat het gaat om Facebook, maar uiteindelijk is het gewoon een punt (haha): als je mensen gaat tracken en je doet dat over meerdere sites heen, dan moet daar gewoon toestemming voor gegeven zijn. Allereerst omdat het gaat om informatie die je bij iemand opslaat – cookiewet – en daarnaast ook omdat het een nogal invasieve verwerking van iemands persoonsgegevens is – Wbp/AVG. Bij dat tweede is soms nog te verdedigen dat je kunt werken onder een eigen gerechtvaardigd belang, maar dat houdt heel snel op als het gaat om third-party tracking over meerdere sites heen.

De Facebook pixel is technisch een niet zo ingewikkelde constructie. Een website-eigenaar neemt een code op van Facebook, waarmee een plaatje van 1×1 pixel wordt opgenomen in zijn site. Dit plaatje komt van Facebook, en men kan vervolgens informatie uitlezen van de browser waarmee het plaatje wordt opgehaald. Maar de pixel doet meer: hij kijkt of je ingelogd bent bij Facebook, en slaat dan informatie over de pagina op bij je Facebook-interesseprofiel. Vervolgens kan de eigenaar van die site op Facebook je reclame tonen voor deze site (“retargeting”).

Dit noemen we profileren onder de AVG, en het is natuurlijk een vorm van verwerken van persoonsgegevens. Daarom is daarop (vanaf 25 mei) de AVG van toepassing. Die zegt dat toestemming nodig is voor deze vorm van tracking. Bovendien geldt op deze pixel de cookiewet, want de pixel is immers informatie die wordt opgeslagen op de computer van de bezoeker terwijl die informatie niet technisch noodzakelijk is voor de website. En ook die wet eist dan toestemming. En als triple whammy hebben we het specifiek hier nog eens over bijzondere persoonsgegevens (immers over gezondheid).

Ik zie dus geen manier om dit legaal te doen, tenzij je als website-eigenaar toestemming vraagt voor het mogen plaatsen van deze pixel en daarbij uitlegt dat het doel is om op Facebook gerichte reclame te kunnen doen. Oh, en die toestemming moet te weigeren zijn zonder dat je van de site geweerd wordt.

Arnoud

Kan een werknemer worden verplicht een GPS-armband te dragen?

| AE 9759 | Privacy | 24 reacties

Een lezer vroeg me:

Als beveiliger bij een groot bedrijf kreeg ik enige tijd terug een GPS-armband om te dragen. Op mijn vraag waarom was het antwoord dat men zo kon zien waar ik was in geval van een calamiteit, ook geeft het bewijs aan de klant dat ik werkelijk mijn route loop. Echter, nu enkele maanden later blijkt dat mijn werkgever het ook gebruikt om mij aan te spreken op hoe ik mijn werk uitvoer. Ik sta te lang stil, loop niet exact het goede pad, houd pauze op de verkeerde plek en ga zo maar door. Kan dat zomaar, dat ik met zo’n armband op de centimeter gevolgd word?

In beginsel bepaalt de werkgever hoe het werk wordt uitgevoerd en welke spullen je daarbij moet gebruiken. Als een GPS-armband dus redelijkerwijs nodig is voor het werk, dan moet je die bij je dragen. Net zoals je je werktelefoon bij je moet hebben of je pet op moet als beveiliger, om eens wat te noemen.

Verschil tussen pet en armband is natuurlijk dat die armband wel even een stevige inbreuk op je privacy is. Wie toegang heeft tot de metingen, kan precies zien waar je bent. Dát vereist een stevige aparte rechtvaardiging én waarborgen om de privacy toch te beschermen. (Wie denkt dat je de beveiligers toestemming kunt laten geven: vergeet het maar, dat mogen werknemers juridisch niet doen.)

Die waarborgen moeten er met name voor zorgen dat je niet meer ziet dan waarvoor je de armband wilt gebruiken. In dit geval wil de klant de looproutes zien, daar kun je prima een geaggregeerde grafiek van laten zie. Maar waarom zou de werkgever live mee moeten kijken, én ook nog eens de werknemer aanspreken op rare loopjes? Op zijn minst zou ik een pauzeknop verwachten: wat je tijdens je pauze doet, gaat je werkgever niets aan.

Specifiek bij het beoordelen van werknemers geldt ook nog eens dat dat apart vooraf gemeld moet zijn én dat de ondernemingsraad (als die er is natuurlijk) hiermee ingestemd moet hebben. Dus wat hier gebeurt, kan eigenlijk gewoon echt niet.

Ik kan afgezien van de beveiliging en misschien een bezorgdienst weinig bedrijven bedenken waar zo’n armband überhaupt een reëel iets is om mensen te bevelen bij zich te hebben. Heel misschien bij topsporters, omdat daar je werk – je aan je trainschema houden – niet ophoudt zodra je het stadion verlaat. Maar ook daar zijn grenzen:

Het is inderdaad mogelijk om uit de data af te leiden wanneer spelers seks hebben, of te lang in de kroeg staan. Als de hartslag van een speler ’s nachts een piek heeft voor het slapen gaan, kun je wel raden wat hij net deed.

Arnoud

Facebook mag niet-ingelogde internetters in België weer gaan volgen

| AE 8766 | Privacy | 22 reacties

facebook-vind-ik-stomFacebook mag niet-ingelogde Belgische internetters weer twee jaar gaan volgen met een datr-cookie, meldde Tweakers vorige week. In 2015 verbood de rechtbank dit volgen op verzoek van de Privacycommissie (de Belgische Autoriteit Persoonsgegevens), maar dat verbod wordt nu ongeldig verklaard omdat er onvoldoende spoedeisend belang zou zijn geweest.

Facebook weet alles van iedereen, onder meer omdat heel veel websites zo’n handig “Vind ik leuk/Deel dit”-knopje hebben opgenomen met door Facebook aangeleverde scripting. Dat knopje zet cookies en stuurt informatie door over de bezoeker, ongeacht of die persoon ingelogd is op Facebook of zelfs maar een Facebook-account hééft.

Dat gaat een tikje ver, en zeker onder de Europese cookieregels lijkt me dat niet in de haak. Om cookies te mogen zetten, moet toestemming zijn gegeven. En die Facebookwidget doet dat niet. Daarmee overtreedt men dus de cookiewet. En daarom besloot eind 2015 de Belgische rechter in kort geding dat dit onmiddellijk moet stoppen.

Facebook ging in hoger beroep, en won op een formeel punt: zij doen dit al sinds 2012, en de rechtszaak kwam pas in 2015, dus hoezo is er dan nog spoed bij deze zaak? En ja, dat is een argument want in kort geding gaat het allemaal even wat sneller en dus minder grondig, en dat doen we omdat er zulke grote spoed bij is dat we niet kunnen wachten op een bodemprocedure. Blijkt er dus geen grote spoed te zijn, dan moet de rechter in kort geding de eis afwijzen en de partijen naar de bodemrechter verwijzen. En dat is wat hier is gebeurd.

Ergerlijk, maar het betekent niet dat Facebook dus legaal is. Ik kan eerlijk gezegd geen enkel argument bedenken waarom dat zo zou zijn. Facebook roept dan steeds dat de cookies belangrijk zijn voor de beveiliging tegen cybercriminelen en malware, maar dat klinkt mij als marketingblaat (wie corrigeert me?). Dus voor mij leest deze uitspraak als een juridische trucje van Facebook on mog even door te mogen gaan tot die bodemprocedure in 2017 afgerond is.

Arnoud

Huh, in alle grote steden word je via je telefoon gevolgd?!

| AE 8725 | Innovatie, Privacy | 53 reacties

Mensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding… Lees verder

Mag een advertentie onhoorbaar piepen?

| AE 8186 | Informatiemaatschappij | 24 reacties

Er wordt geëxperimenteerd met video-advertenties die voor mensen onhoorbare piepjes produceren, las ik bij Ars Technica (dank, tipgever!). Deze worden dan opgepikt door weer andere video’s (of apps) op een ander apparaat, waardoor ze weten dat die twee beiden van dezelfde gebruiker zijn. Ook kun je nagaan hoe snel de advertentie wordt gesloten et cetera…. Lees verder

Yahoo negeert privacy-instelling IE10

| AE 4631 | Privacy | 26 reacties

Yahoo verklaart als één van de eerste grote internetnamen dat het de Do-Not-Track instelling van IE10 negeert, las ik bij Webwereld. Microsoft had eerder aangekondigd deze optie standaard aan te zetten, oftewel standaard mocht je niemand tracken die IE10 gebruikt. Volgens Yahoo veroorzaakte de browsermaker daarmee een gedegradeerde gebruikerservaring. En wanneer marketeers gaan spreken van… Lees verder

Heise’s alternatieve Facebookknopje

| AE 2689 | Privacy | 16 reacties

Vorige week schreef ik over het Facebook-‘Like’-knopje dat iedereen blijkt te tracken, ook als je niet ingelogd bent of zelfs als je geen lid bent van het sociale netwerk. Deze aanpak is juridisch dubieus, zeker nu er een cookiewet aankomt die dit expliciet gaat verbieden. In Duitsland lijkt nieuwssite Heise een oplossing te hebben gevonde…. Lees verder