De manier waarop online reclame wordt verkocht moet na een uitspraak van de Gegevensbeschermingsautoriteit drastisch op de schop. Die oordeelde dat de cookie pop-up die door IAB Europe werd ontwikkeld en waarmee websitegebruikers hun trackingsvoorkeuren moeten aangeven, niet voldoet aan de Europese privacywetgeving.
De uitspraak is het gevolg van een klacht die door Bits of Freedom, de Ligue des Droits Humains en Panoptykon Foundation werd ingediend. Jef Ausloos, onderzoeker aan de Universiteit van Amsterdam en een van de auteurs van de klacht tegen IAB Europe, legt in De Standaard kort uit hoe ondoorgrondelijk het systeem is. “Er zit een gigantisch netwerk achter om hypergepersonaliseerde reclame mogelijk te maken. Ons profiel wordt, in milliseconden, doorgestuurd naar duizenden bedrijven. Er kunnen ook malafide bedrijven tussen zitten. Het is onmogelijk om daar een overzicht op te hebben. De burger kan dat niet allemaal vatten en onmogelijk geldige toestemming geven. En IAB Europe kan onmogelijk controleren dat alle bedrijven de regels respecteren.” De Gegevensbeschermingsautoriteit volgt nu dus die redenering.
Rejo Zenger noemt het onomwonden een overwinning voor alle internetgebruikers. Hij zette voor Bits of Freedom kort op een rijtje waar het nu precies over gaat. Zijn tekst vind je hieronder. Het persbericht van de GBA kan je hier lezen; de beslissing ten gronde vind je hier (pdf).
We hebben gewonnen: online advertenties moeten écht anders
Het is een ergernis van iedereen: als je een website bezoekt moet je eerst een irritante pop-up wegklikken. Die pop-ups zijn er niet voor niets. En ze zijn ook niet voor niets zo irritant. Kijk, volgens de Europese privacyregels moeten bedrijven eerst om jouw toestemming vragen als ze iets met jouw persoonsgegevens willen. Maar die toestemming is met de manier waarop het nu gaat niet zoveel waard. Als jij op “Akkoord” hebt geklikt, heb je namelijk nog altijd geen idee waarvoor je precies toestemming hebt gegeven. En als je wél de moeite neemt om te weten dat te achterhalen, zie je al snel door de bomen het bos niet meer. Je krijgt dan vaak lange lijstjes met een overdaad aan informatie die lang niet altijd begrijpelijk is. Met als gevolg dat je ook dan nog altijd niet goed weet waarvoor je toestemming geeft.
In strijd met de wet
Dat moet in strijd zijn met de Europese privacyregels, dachten wij. Daarom stuurden we in mei 2019 een zogenaamd verzoek tot handhaving aan de Nederlandse toezichthouder. We vroegen aan de Autoriteit Persoonsgegevens om er voor te zorgen dat de belangrijkste uitbater van dat systeem, IAB, zich aan de wet ging houden. De IAB is de Europese brancheorganisatie van digitale adverteerders. En dat deden niet alleen wij. Op andere plekken in Europa deden een aantal andere digitale burgerrechtenorganisaties hetzelfde. Nu heeft de Belgische toezichthouder een besluit genomen: het Real Time Bidding-systeem van de IAB is in strijd met de wet.
Veiling van persoonsgegevens
Het wat? Ja, precies. Dat Real Time Bidding-systeem is een volledig geautomatiseerd systeem om advertentieruimte op websites in een fractie van seconden te verkopen aan adverteerders. Daarbij worden gegevens over internetgebruikers met tientallen, zo niet honderden, partijen gedeeld. Zo’n “bid request” wordt in een fractie van een seconde verzonden zodra je een website bezoekt die voor het tonen van advertenties gebruikmaakt van dit systeem. Het kan gaan om informatie over je online leest of bekijkt, je IP-adres, je geografische locatie, informatie over je apparatuur, en unieke kenmerken (tracking ID) en de daaraan gekoppelde informatie. Maar als je toestemming geeft in die pop-up is je niet duidelijk welke gegevens precies met welke partijen precies worden gedeeld.
Op de schop!
De toezichthouder bepaalde vandaag dat de IAB op verschillende manieren de privacyregels overtrad. De IAB krijgt voor haar overtredingen een boete van 250.000 euro en moet binnen twee maanden een plan hebben om het systeem aan te passen. Ze moet ook alle persoonsgegevens die ze voor dit systeem verzameld heeft verwijderen.
Het betekent dat de manier waarop online reclame wordt gemaakt op de schop moet. Wij roepen dat al langer. Dit systeem van “behavioral advertising” kan alleen bestaan bij de gratie van het bespioneren van het gedrag van internetgebruikers. Wij pleitten voor een verbod op zulke advertenties. Adverteren moet uiteraard nog altijd kunnen. En er is natuurlijk ook niets mis met een advertentie van een bouwmarkt als je een klusvideo bekijkt. Maar er is wel heel veel mis met het heimelijk toestemming vragen voor spionage, en daar is de toezichthouder het gelukkig mee eens.
Bron: Bits of Freedom