image

Toezichthouder: cookiepop-ups advertentie-industrie in strijd met AVG

woensdag 2 februari 2022, 14:26 door Redactie, 14 reacties
Laatst bijgewerkt: 02-02-2022, 15:41

De cookiepop-ups waar zeer veel websites gebruik van maken voor het plaatsen van trackingcookies zijn in strijd met de AVG, zo heeft de Belgische Gegevensbeschermingsautoriteit (GBA) bepaald. De websites maken gebruik van het Transparency and Consent Framework (TCF) van het Interactive Advertising Bureau Europe (IAB Europe), de branchevereniging voor de advertentie-industrie.

Het TCF is een veelgebruikt mechanisme dat het beheer van gebruikersvoorkeuren voor online gepersonaliseerde advertenties vergemakkelijkt, en dat een sleutelrol speelt bij het zogenaamde Real Time Bidding (RTB). Sinds 2019 heeft de GBA meerdere klachten ontvangen die gericht waren tegen IAB Europe en erover gingen of het TCF wel aan de AVG voldoet.

Het TCF moet organisaties die gebruikmaken van het OpenRTB-protocol helpen bij het naleven van de AVG. Het OpenRTB-protocol is een van de meest gebruikte protocollen voor "Real Time Bidding", waarbij gebruikersprofielen worden geveild voor het verkopen en aankopen van online advertentieruimte. Wanneer gebruikers een website of applicatie bezoeken die advertentieruimte bevat, kunnen techbedrijven via RTB gerichte advertenties laten zien die specifiek zijn afgestemd op het profiel van de betreffende persoon.

Image

Wanneer gebruikers voor het eerst een website of applicatie bezoeken, verschijnt een interface (een Consent Management platform of CMP) waar ze hun toestemming kunnen geven voor het verzamelen en delen van hun persoonsgegevens, of bezwaar kunnen maken tegen verschillende soorten van verwerking op basis van de gerechtvaardigde belangen van adtech-verkopers.

Het TCF vergemakkelijkt, via het CMP, het vastleggen van de voorkeuren van gebruikers. Deze voorkeuren worden dan opgeslagen in een "TC string", die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt.

Het CMP plaatst ook een cookie op het apparaat van de gebruiker. In combinatie kunnen de TC string en het cookie worden gekoppeld aan het ip-adres van de gebruiker, waardoor de gebruiker identificeerbaar wordt. IAB Europa is van mening dat het geen verwerkingsverantwoordelijke is, maar dat is volgens de GBA wel het geval. De Belgische privacytoezichthouder stelt dat IAB Europe op verschillende punten de AVG heeft geschonden.

Zo heeft IAB Europe geen rechtsgrond voor de verwerking van de TC string, is de informatie die via de CMP-interface aan gebruikers wordt verstrek te algemeen en te vaag om de aard en de reikwijdte van de verwerking te kunnen begrijpen, is de overeenstemming van het TCF met de AVG niet voldoende gewaarborgd of aangetoond en voldoet IAB Europe niet aan andere verplichtingen die gelden voor partijen die op grote schaal persoonsgegevens verwerken.

Volgens de GBA kan het TCF ervoor zorgen dat een grote groep burgers de controle over hun persoonlijke informatie verliest. De Belgische privacytoezichthouder heeft daarom een boete van 250.000 euro opgelegd. Daarnaast heeft IAB Europe twee maanden de tijd gekregen om een actieplan voor te leggen om corrigerende maatregelen door te voeren.

Controle over persoonsgegevens terugkrijgen

"De verwerking van persoonsgegevens (bijv. gebruikersvoorkeuren vastleggen) onder de huidige versie van het TCF is niet in overeenstemming met de AVG, wegens een inherente inbreuk op het beginsel van behoorlijkheid en rechtmatigheid. Men vraagt mensen om hun toestemming te geven, terwijl de meesten van hen niet weten dat hun profielen dagelijks talloze keren worden verkocht om hen aan gepersonaliseerde advertenties bloot te stellen", zegt Hielke Hijmans van de GBA.

Hijmans voegt toe dat de beslissing van de GBA alleen betrekking heeft op het TCF en niet op het hele Real Time Bidding-systeem, maar die grote gevolgen zal hebben voor de bescherming van persoonsgegevens van internetgebruikers. "De orde in het TCF-systeem moet worden hersteld, zodat gebruikers weer controle over hun gegevens krijgen", aldus de voorzitter van de Geschillenkamer van de GBA.

Verwijderen

Het Irish Council for Civil Liberties meldt dat het TCF op tachtig procent van de Europese websites wordt gebruikt. Als gevolg van de uitspraak moet alle data die via het TCF is verzameld worden verwijderd door de meer dan duizend bedrijven die van het framework gebruikmaken. Het gaat onder andere om de advertentietakken van Amazon, Google en Microsoft, aldus de Ierse burgerrechtenbeweging.

Reactie IAB Europe

IAB Europe laat in een reactie weten dat het zich niet kan vinden in het oordeel van de GBA dat het in de context van het TCF een verwerkingsverantwoordelijke is. "We vinden deze constatering juridisch onjuist en zal grote onbedoelde negatieve gevolgen hebben die verder dan de digitale advertentie-industrie gaan. We overwegen alle mogelijkheden met betrekking tot het instellen van beroep."

Reactie Bits of Freedom

"Dit is een grote winst. Niet voor ons, maar voor alle internetgebruikers in heel Europa" zegt Evelyn Austin, directeur van burgerrechtenbeweging Bits of Freedom. "Iedereen werd gek van al die pop-ups die je bij een bezoek aan een website te zien kreeg. Nu heeft de toezichthouder bepaald dat dit illegaal is, en zullen advertentiebedrijven naar een meer privacyvriendelijke manier van opereren moeten gaan zoeken. Daar zijn we ontzettend blij mee."

Volgens Bits of Freedom maken bijna alle websites in Europa gebruik van het advertentiesysteem. "Dus deze uitspraak betekent dat advertentiepartijen zoals Google en Amazon, op zoek moeten naar een nieuwe manier om advertenties te plaatsen."

Image

Reacties (14)
02-02-2022, 14:43 door Anoniem
Privacywetgeving is één van de beste ontwikkelingen in de afgelopen jaren. Ongebreideld datagraaien wordt gelukkig aardig aan banden gelegd.
02-02-2022, 15:09 door Anoniem
Super, dank je wel voor dit stuk. Direct een bericht gestuurd naar het bedrijf voor het opvragen van mijn persoonsgegevens die zij mogelijk verwerken. Ben benieuwd hoe ze met die vraag om zullen gaan.
02-02-2022, 15:25 door Anoniem
De officiële talen in België zijn Nederlands, Frans en Duits. Tegelijk is het Engels slechts nog tweede officiële taal in Ierland en Malta.

Desalniettemin erg hoffelijk dat het voor gastarbeiders in de EU, zoals Amazon, Google en Microsoft, in een voor hun begrijpelijke taal wordt uitgelegd wat ze eigenlijk al lang hadden moeten kunnen weten. Over hoe het op zijn zachtst uitgedrukt niet wenselijk is wat ze flikken. En dat ze daar eens mee moeten kappen, met die smoezen van verbeteren van gebruikerservaringen en zo. Ga dat maar in Afrika vertellen. (Alhoewel menig vooroordeel over dat continent ook niet altijd blijkt te kloppen.)
02-02-2022, 15:29 door Anoniem
Zo hee, je moet er een paar jaar op wachten, maar zouden ze dan de AVG eigenlijk eens echt gaan handhaven?
02-02-2022, 15:41 door Open source gebruiker
Nu maar hopen dat de NL toezicht houder de ballen heeft om op te treden deze marketing bullshit.
02-02-2022, 23:20 door Anoniem
Goede actie van de GBA
03-02-2022, 06:48 door karma4
Door Anoniem: Privacywetgeving is één van de beste ontwikkelingen in de afgelopen jaren. Ongebreideld datagraaien wordt gelukkig aardig aan banden gelegd.
Dit met die pop-ups is ontstaan door de privacy wetgeving. Het is iets waar toezichthouders massaal gefaald hebben en zich hebben laten verleiden door populistische anti-overheid politiek. Je kon zo nu en dan het verschil tussen een A.Wolfsen en T.Baudet niet goed zien. Helaas is dat met een Big Brother insteek door A.Wolfsen nog niet over.
03-02-2022, 07:57 door Anoniem
"De cookiepop-ups waar zeer veel websites gebruik van maken voor het plaatsen van trackingcookies zijn in strijd met de AVG, zo heeft de Belgische Gegevensbeschermingsautoriteit (GBA) bepaald"

Maar als ik op de site kom van de GBA is het eerste wat ik bij hen zie een cookie-popup.... ?!?!
03-02-2022, 08:06 door Anoniem
Door karma4:
Door Anoniem: Privacywetgeving is één van de beste ontwikkelingen in de afgelopen jaren. Ongebreideld datagraaien wordt gelukkig aardig aan banden gelegd.
Dit met die pop-ups is ontstaan door de privacy wetgeving. Het is iets waar toezichthouders massaal gefaald hebben en zich hebben laten verleiden door populistische anti-overheid politiek. Je kon zo nu en dan het verschil tussen een A.Wolfsen en T.Baudet niet goed zien. Helaas is dat met een Big Brother insteek door A.Wolfsen nog niet over.

Het was even wachten op de standaard anti-AP rant van K4. maar hier is hij.
Het ging heir echter niet over het AP, maar over de Belgische Gegevensbeschermingsautoriteit (GBA).

Blijkbaar wil K4 dat iedereen overal ongevraagd gevolgd en geprofileerd kan worden door websites en reclame-netwerken?
Over Big Brother gesproken. [Houdt K4 een spiegel voor]


Verder heeft het AP die wetgeving niet geschreven, maar de politiek in Den Haag en europa. Het AP voert uit.
Dat de cookie-wetgeving "omzeild" kon worden door websites en reclame-netwerken is de schuld van diezelfde politiek die hun oren teveel naar lobbyisten liet hangen, en te weinig oog had voor de belangen van haar burgers.
En die burgers moeten dan weer via de rechter en de toezichthouders e.e.a. hersteld zien te krijgen. Wat weer eeuwen duurt.
En ondertussen iedereen maar laten volgen en profileren (door in dit geval commerciële partijen).
03-02-2022, 08:32 door Anoniem
Door karma4:
Door Anoniem: Privacywetgeving is één van de beste ontwikkelingen in de afgelopen jaren. Ongebreideld datagraaien wordt gelukkig aardig aan banden gelegd.
Dit met die pop-ups is ontstaan door de privacy wetgeving. Het is iets waar toezichthouders massaal gefaald hebben en zich hebben laten verleiden door populistische anti-overheid politiek. Je kon zo nu en dan het verschil tussen een A.Wolfsen en T.Baudet niet goed zien. Helaas is dat met een Big Brother insteek door A.Wolfsen nog niet over.
Die popups en onzin zijn niet ontstaan door de privacy wetgeving, maar door de bedrijven die hun best doen om daar tegen in te gaan. Vooral de misleidende popups die je proberen te dwingen toch alles te accepteren.
03-02-2022, 10:06 door Anoniem
Door Anoniem: "De cookiepop-ups waar zeer veel websites gebruik van maken voor het plaatsen van trackingcookies zijn in strijd met de AVG, zo heeft de Belgische Gegevensbeschermingsautoriteit (GBA) bepaald"

Maar als ik op de site kom van de GBA is het eerste wat ik bij hen zie een cookie-popup.... ?!?!
Altijd standaard (minimaal) scripts blokkeren.
03-02-2022, 10:13 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem: Privacywetgeving is één van de beste ontwikkelingen in de afgelopen jaren. Ongebreideld datagraaien wordt gelukkig aardig aan banden gelegd.
Dit met die pop-ups is ontstaan door de privacy wetgeving. Het is iets waar toezichthouders massaal gefaald hebben en zich hebben laten verleiden door populistische anti-overheid politiek. Je kon zo nu en dan het verschil tussen een A.Wolfsen en T.Baudet niet goed zien. Helaas is dat met een Big Brother insteek door A.Wolfsen nog niet over.
Die popups en onzin zijn niet ontstaan door de privacy wetgeving, maar door de bedrijven die hun best doen om daar tegen in te gaan. Vooral de misleidende popups die je proberen te dwingen toch alles te accepteren.
De popups komen voort uit de verplichting om toestemming te vragen voor het verzamelen van persoonsgebonden gegevens, dus de wetgeving. De onzin die je in die popups tegenkomt, komen voort uit de onzin waarmee bedrijven de regels proberen te omzeilen. Door de procedure onnodig ingewikkeld te maken, proberen ze iedereen te laten kiezen voor "Alles accepteren". Maar zo ingewikkeld hoeft het niet te zijn. Keuze uit "Noodzakelijke cookies" en "Alles accepteren" is genoeg. Met een knop die laat zien wat de noodzakelijke cookies dan zijn erbij.
03-02-2022, 16:27 door Anoniem
De pop-ups zelf lijken me niet het probleem.
Dat in die pop-ups standaard instellingen staan die in strijd zijn met AVG.
Zeker in combinatie met de cookie wetgeving.

Een voorbeeld waar men over de schreef gaat?
In de pop-up (vaak in relatie met aan de website gerelateerde partners) waar je kan kiezen uit
- Ik geef toestemming (die meestal uit staat)
- Legitiem belang (die altijd aan staat en die je dus handmatig moet uitzetten)

Cookiewetgeving zegt dat plaatsen van een cookie onder voorwaarden mag. Maar zeker niet (zonder toestemming) mag als die ten koste gaat van de privacy van de gebruiker.

De combinatie alsof het lijkt dat je akkoord bent met "legitiem belang" en de invasieve cookies die worden geplaatst lijken mij een van de voorbeelden waar de reclame (en website) markten de bedoelde wet- en regelgeving ondermijnen. En dat mag nu net niet. Immers zie de combinatie van
- artikel 25 (je kan toch niet zeggen dat de pop-ups een legacy dingetje is)
- artikel 6.
22-02-2022, 17:40 door Anoniem
Einde verhaal van pop-ups en cookies? En wat komt er dan voor in de plaats?

IAB Nederland zegt de uitspraak nog te bestuderen en wil graag in overleg met de Autoriteit Persoonsgegevens. Menno Westinga, directeur van het mediabureau Mediaplus, vindt de oproep om simpelweg te stoppen met gepersonaliseerde advertenties ‘rigoureus’ en onverstandig. [...]
Volgens onderzoeker Evert de Haan van de Rijksuniversiteit Groningen zijn de effecten van gepersonaliseerd adverteren niet makkelijk te meten. [...] De Autoriteit Persoonsgegevens raadt aan over te stappen op contextueel adverteren, waarbij reclames aansluiten bij de inhoud van de websites waarop ze verschijnen.

https://www.volkskrant.nl/wetenschap/pop-ups-voor-toestemming-cookies-illegaal-bevonden-je-kunt-niet-vragen-om-akkoord-te-gaan-met-een-datalek~b578a408/

Als we ooit niet meer eindeloos hoeven te klikken op cookiebanners (‘gaat u akkoord met cookies?’), dan hebben we dat mede te danken aan Johnny Ryan, van de burgerrechtenbewering Irish Council of Civil Liberties. "Wat ze deden als industrie was volledig illegaal, maar ze probeerden het te verbergen onder cookiebanners."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.