Hoe zit het nou echt met het gebruik van marketingcookies?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Marketingcookies (retargeting) worden vrijwel door alle websites toegepast om advertenties te tonen op sociale media. Onlangs heeft de EDPB bepaald dat Meta moet stoppen met onrechtmatige gepersonaliseerde advertenties binnen Europa. Moeten de richtlijnen van de EDPB geïnterpreteerd worden dat marketingcookies met verdere verwerking door Meta niet zijn toegestaan, ook als er toestemming is via de cookiebanner? En in hoeverre is de website die de marketingcookies plaatst verantwoordelijk voor de verdere verwerking door Meta en Google voor het opstellen van profielen?
Antwoord: Marketingcookies staan stevig in de spotlight de laatste maanden. Zo oordeelde de Oostenrijkse rechter onlangs dat cookiebanners een weigerknop moeten hebben direct in de eerste laag. Google ging er al helemaal mee stoppen, maar nu toch weer niet. En de populariteit van adblockers en cookiecutters neemt alleen maar toe.
De vraagsteller verwijst naar een uitspraak van de samenwerkende Europese AVG-toezichthouders. Die bepaalde dat Meta's "pay or consent" model niet rechtsgeldig is. Je moet een "echte keuze" hebben en daar hoort eigenlijk gewoon een gratis variant zonder persoonsgetargete advertenties bij. De kern hierachter is dat toestemming onder de AVG vrij gegeven moet worden, iedere vorm van dwang of zelfs maar stevig nudgen maakt deze al niet meer rechtsgeldig.
Dit zien we ook terug bij marketingcookies. Ja, er komt een popup met "Ja ik wil" en er is een optie om aan te geven dat je niet wil. Maar we zijn zó getraind om blind om op "ja" te klikken, dat je nauwelijks nog kunt spreken van een vrije keuze. Zeker als er niet een equivalente knop "Nee, ik wil niet" naast staat, maar alleen:
- Een "Beheer instellingen" popup (onduidelijke term)
- Een grijze knop "weiger alles" naast de groene "ja" knop (afschrikken, onaantrekkelijk presenteren van alternatief)
- De knop "Beheer instellingen" tussen ja en nee (overweldigende opties)
- Vooraf aangevinkte vinkjes voor bijvoorbeeld functioneel, analytics en marketing (mag niet van de AVG, doet afschrikken
- Een "weiger" knop die leidt naar een popup met instellingen, waarbij de standaardknop "Sla alles op" heet en daarmee alle cookies accepteert
En zo kan ik nog wel even doorgaan (meer voorbeelden). Toestemming voor marketingcookies is dus niet eenvoudig, of nou ja is dat wel maar je krijgt gewoon heel weinig mensen die je dat geven, en daar heeft niemand zin in.
Wat de tweede vraag betreft: ja, jij bent verantwoordelijk en aansprakelijk voor de gevolgen van trackingcookies. Althans, als die via jouw site en de popup daarop gezet zijn na een ongeldige toestemming. Je bent in AVG-jargon gezamenlijk verwerkingsverantwoordelijke met Meta of met Google, je beslist samen dat er persoonsgegevens verzameld worden via jouw site en wie daar wat mee mag doen. Dat de onderlinge verdeling neerkomt op "jij vraagt om toestemming en wij zeggen jou niet wat we gaan doen", is volgens de wet jouw probleem.
Al sinds februari roept de AP dat ze cookies op de radar hebben staan. In juli kreeg de Kruidvat een boete van zes ton voor het niet rechtsgeldig vragen van cookies. Haar popup had vooraf aangevinkte categorieën en de afwijsoptie stond niet als equivalent naast de toestemmingsoptie. De hoogte kwam dan weer mede omdat een drogist al snel gezondheidsgegevens verzamelt, maar dat terzijde.
Het is flauw om dan als jurist te zeggen "stop maar met trackingcookies" want dat is makkelijk praten en ja mijn bedrijf heeft "Accepteren" ook aantrekkelijker dan "Alleen noodzakelijk". Maar het blijft een probleem dat alleen dankzij trage handhaving steeds maar niet opgelost wordt.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Dan zijn er ook nog eens vraagtekens te zetten bij de vraag of je er zelf wel zoveel beter van wordt om tacking&profiling toch maar een beetje waarschijnlijker te maken. Een jaar of vijf geleden kwam STER, voor de advertenties die ze op NPO-websites plaatsen, tot de slotsom dat de meeste mensen het niet willen en dat ze dat te respecteren hebben. Daar is men toen overgestapt op het koppelen van advertenties aan de inhoud van artikelen en video's: content-based targeting. Het resultaat was verrassend genoeg dat de advertentie-inkomsten op NPO-sites stegen.
Ik ben, vermoedelijk kort nadat ik daarover had gelezen, een onderzoek tegengekomen waaruit juist zou blijken dat tracking&profiling voor meer advertentieinkomsten zorgt. Dat was in opdracht van Google of Facebook of zo gedaan, en keek naar hun inkomsten. Er werden dus op het eerste gezicht tegengestelde conclusies getrokken door verschillende partijen, en ik besloot te kijken of ik meer over het onderwerp kon vinden. Wat ik vond leverde consistent dit beeld op: als je keek naar de inkomsten van de advertentienetwerken was tracking&profiling het meest lucratief, maar als je keek naar de inkomsten van de websites waarop de advertenties werd geplaatst was juist content-based targeting lucratiever. Kennelijk romen de advertentienetwerken die tracking&profiling implementeren meer af dan de meeropbrengst van hun werkwijze.
Ik heb geen links bewaard naar wat ik toen allemaal gezocht en gevonden heb, en het was beslist geen wetenschappelijk verantwoorde metastudie maar meer zoiets als me een middag kwaad maken om mijn eigen nieuwsgierigheid te bevredigen.
Volgens mij klopt deze stelling niet. Marketing cookies worden inderdaad veel toegepast, maar zelden met het doel om advertenties op sociale media te vertonen. Misschien dat de grote websites dat doen, maar de meerderheid van de websites zijn kleine sites die helemaal geen reclame maken op sociale media.
Ik ken zelfs sites die helemaal geen marketing cookies gebruiken, maar toch een cookie banner plaatsen om elk risico uit te sluiten dat er een plugin op hun website onbewust toch cookies gebruikt.
Dit lezend dacht ik "een cookiecutter wat is dat nou weer" echter het googlen daarna wijst er op dat dit een "automatisch afwijzen kiezen bij een cookie popup" extensie is, iets wat ik al had als onderdeel van Ghostery.
Zouden er ook extensies bestaan die het plaatsen van marketing cookies gewoon tegenhouden?
Dwz zorgen dat die Cookie: header die wijst naar een bekende marketing cookie uit de headers gefilterd wordt zonder dan je aan hoeft te geven voor welke sites je die wel en niet wilt?
Dat zou ik dan een cookiecutter genoemd hebben.
Dit hoort geen probleem van handhaving te zijn, dit is een probleem van bedrijven die niet naar de geest van de wet handelen. De intentie van de wet, en de daaropvolgende jurisprudentie, is ondertussen duidelijk genoeg.
Om dan willens en wetens die wet te overtreden, "want er wordt toch slecht gehandhaafd", is asociaal gedrag omdat het de maatschappij op extra kosten jaagt.
Hier een voorstel:
Laat de geschatte kosten voor het adequaat handhaven van de AVG betalen door alle bedrijven.
Zodat de toezichthouder(s) de financiele armslag krijgen om te handhaven, en niet van het armetierige bedragje van de staat afhankelijk zijn.
Zo veel geld als nodig is om bedrijven wel in de pas van de wet te laten lopen.
"De vervuiler betaald", zeggen ze toch.
Niet achteraf, maar vooraf. Allemaal. Met een boete er bovenop als er alsnog een overtreding aangetroffen wordt.
Blijkbaar is dat nodig.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Security Specialist
NCSC
Als senior security specialist bij het Nationaal Cyber Security Centrum (NCSC) in Den Haag doe jij er alles aan om digitale drei-gingen te voorkomen en incidenten te lijf te gaan. Een uitdagende baan waarin je als senior security specialist bij het Nationaal Cyber Security Centrum op nationaal niveau een bijdrage levert aan de digitale veiligheid van Nederland
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.