IAB Europe heeft wellicht Europese privacywet geschonden met cookiepop-ups

OpenClipart-Vectors / Pixabay

IAB’s raamwerk waarop de cookiepop-ups voor veel websites zijn gebaseerd, is wellicht in strijd met de Europese privacywetgeving.Dat meldde Tweakers onlangs. De Belgische Gegevensbeschermingsautoriteit heeft een concept-uitspraak (die dus het raamwerk in strijd met de AVG verklaart) afgerond en met de collega-toezichthouders gedeeld voor commentaar. Dit is verplicht vanwege het grensoverschrijdend karakter van de inbreuk. De kern is dat het systeem te onduidelijk voor gewone mensen is.

Na invoering van de AVG lanceerde de Interactive Advertising Board een handig framework waarmee adverteerders in heel Europa AVG-compliant marketingcookies zouden kunnen zetten. Met een standaard interface geef (of weiger) je toestemming, of beheer je je legitiem-belang wensen. Deze worden centraal beheerd in een consent string, waarmee adverteerders dus niet bij elke site opnieuw toestemming hoeven te vragen.

Een kernvereiste van de AVG is transparantie en duidelijkheid: wat gebeurt er precies, tot in detail en in gewonemensentaal. Dat gaat al snel mis bij iets complex als online adverteren, helemaal als we het begrip real-time bidding (RTB) erbij halen. De kern daarvan is dat als je een site bezoekt, er een paar honderd (of duizend) robots met elkaar gaan bieden op advertentieruimte gericht op jou, op basis van wat zij van je weten en hoe interessant jij op dat moment bent.

Dit uitleggen is een stuk moeilijker dan de IAB consent teksten doen voorkomen, en dat is dan gelijk het probleem: als je niet duidelijk en in eenvoudige taal uitlegt wat er speelt, dan ga je op dat moment al tegen de AVG in. We komen dan niet eens toe aan de vraag of er op eerlijke manier toestemming is gevraagd, of de legitiem belang afweging klopt of ga zo maar door. U bent af, delete al uw data en doe het niet meer. En dat zou een pijnlijke zijn.

Een bijkomend probleem is dat  hoewel het IAB framework expliciet niet bedoeld is om de zogeheten bijzondere persoonsgegevens te verwerken (zoals seksuele voorkeur of etnische afkomst), dit in de praktijk wel gebeurt. Zo bleek in 2019 mensen uit de LGBTQI+ community getarget te worden voor Poolse wetgevingslobby, en in Ierland 1300 mensen te zijn getarget in de categorieën “Brain Tumor,” “Incontinence” and “Depression”.

Formeel is het nog geen besluit, want in theorie kunnen de collega-toezichthouders de boel afkeuren of een geheel andere insteek presenteren. Maar het voorspelt weinig goeds.

Arnoud

Hoe kunnen we transparantie toevoegen aan besluitvormende algoritmen?

Bestuursrecht en bestuursrechtspraak zijn onvoldoende in staat om ketenbesluiten te toetsen omdat onbekend is hoe een beslisregel exact is opgebouwd en tot welke resultaten deze leidt. Dat las ik in juristenblad NJB. Steeds meer beslisregels en algoritmes worden ingezet om tot formele besluitvorming te komen, maar daarbij is volstrekt onduidelijk hoe dat besluit tot standkomt. Dit op gezag van Marlies van Eck die promoveerde op dit probleem. En ja, dat is een groot probleem want juist bij juridische besluitvorming wil je weten hoe men tot de conclusie is gekomen.

Toevallig las ik vorige week ook nog een Amerikaans artikel waarin wordt voorgesteld een Algorithmic Impact Assessment in te voeren, vergelijkbaar met de milieuimpactanalyse die in de VS al verplicht is. Het doel van een AIA is het begrijpelijk maken van de besluitvorming (bij overheidsinstanties). Dit kent vier aspecten:

First, it would require any government agency that wants to use an algorithm to publish a description of the system and its potential impact. Second, agencies would give external researchers access to the system so they can study it. Third, it would require agencies to publish an evaluation of how the algorithm will affect the public and how it plans to address any biases or problems. And lastly, an AIA would require the agency to create a system for regular people to hold agencies accountable when they fail to disclose important pieces of information about an algorithm.

Deze eisen klinken zeer redelijk, maar het zijn behoorlijk pittige voorwaarden om als bedrijf aan te voldoen. Zeker omdat de techbedrijven die deze AI’s leveren, de werking van hun systemen als een onschatbaar waardevol handelsgeheim zien en daar dus geen inzicht in zullen willen geven. Dat geeft een patstelling: zonder disclosure geen mogelijkheid om te toetsen wat eruit komt, maar met disclosure geen bereidheid het systeem in te zetten voor de publieke taak.

Ik ben er nog niet uit hoe dat dilemma op te lossen. Dat Amerikaans artikel zegt dat het juist een prikkel tot innovatie geeft om een fairder systeem te ontwikkelen. Als je wel moet om überhaupt te mogen leveren, dan wordt het ineens een kans. Klinkt leuk, maar waarom zouden bedrijven die nu hun AI geheim houden dan ineens een open, transparant systeem opzetten?

Arnoud