Bijna iedere website maakt er gebruik van: een (irritante) pop-up die vraagt om toestemming voor het plaatsen van cookies. Voelt voor jou als websitebezoeker misschien wat vermoeiend, maar een website is verplicht expliciete toestemming te vragen voor het plaatsen van tracking cookies. En hoewel de regels rondom cookies al flink zijn aangescherpt, blijkt die expliciete toestemming nog weinig voor te stellen. Althans, dat concludeerde de Belgische Gegevensbeschermingsautoriteit afgelopen 2 februari na gronding onderzoek. Dit leidde tot een direct cookieverbod. Ook hier in Nederland. Maar wat houdt dit verbod precies in, wat zijn de gevolgen en zijn er alternatieven? Je leest het hier.
Wat zijn cookies ook alweer?
Een cookie is een eenvoudig bestandje dat met pagina’s van een website wordt meegestuurd en door jouw browser op de harde schijf van je computer, tablet of telefoon wordt opgeslagen. De informatie die wordt opgeslagen kan bij een volgend bezoek opnieuw naar de server van de bezochte website of die van derde partijen teruggestuurd worden. Er zijn verschillende soorten cookies, waaronder: functionele cookies, analytische cookies en tracking cookies. In die laatste variant staan persoonlijke gegevens opgeslagen en geven ook toestemming om jouw bezoek aan een andere website te volgen om zo nog meer gegevens te verzamelen. Met behulp van deze informatie kunnen persoonlijke interesses worden afgeleid en op basis hiervan worden gerichte advertenties gecreëerd. Zo krijg je wanneer je veel over online ondernemen leest ook veel advertenties over online ondernemen te zien.
In strijd met de AVG
Voor het plaatsen van deze tracking cookies is er expliciete toestemming nodig, via die pop-up bijvoorbeeld. Maar wanneer jij als websitebezoeker toestemming geeft, dan geef je dit vaak onbewust ook aan tientallen andere advertentiebureaus. En die advertentiebureaus lekken op hun beurt nog wel eens ‘per ongeluk’ je gegevens naar nog meer potentiële adverteerders. Dat is volgens toezichthouder Autoriteit Persoonsgegevens (AP) in strijd met de huidige privacyregels en kwam aan het licht door recent onderzoek van de Belgische Gegevensbeschermingsautoriteit (GBA). Want als eerste Europese toezichthouder heeft zij besloten dat het Real Time Bidding-systeem (RTB) van de IAB Europe, waarmee circa 80% van de Europese websites en applicaties werken, in strijd is met de wet.
DE TCF en het Real Time Bidding Systeem
Oké, dat waren veel afkortingen en moeilijke namen dus we leggen het even iets beknopter voor je uit. Het digitale reclamebureau IAB Europe ontwikkelde een tijdje geleden het Transparency and Consent Framework (TCF). Dit framework zorgt ervoor dat er makkelijk toestemming rondom advertentietrackers door de consument wordt gegeven. Denk aan het accepteren van de cookie pop-up wanneer je een website bezoekt. Deze trackers maken persoonlijke advertenties mogelijk en laat real-time bidding (RTB) toe.
Het Real Time Bidding-systeem is volledig geautomatiseerd en focust op het vullen van advertentieruimte op websites. Hoe? Door jouw gegevens te delen met tientallen, al dan niet honderden, adverteerders. Deze gegevens kunnen bestaan uit jouw online zoekgedrag, je IP-adres en je tracking ID met de daaraan gekoppelde informatie. Als websitebezoeker merk je hier weinig van, behalve dat de advertenties die worden getoond vaak aansluiten op jouw zoekgedrag. Maar als adverteerder biedt dit de mogelijkheid om gerichter te adverteren.
Wat zijn de gevolgen?
Om dit allemaal mogelijk te maken werkt IAB Europe met zogenaamde TC Strings. Deze TC Strings bevatten informatie, middels een reeks aan tekens, over de voorkeuren van een websitebezoeker en worden doorgespeeld aan derden. Maar zo’n TC String blijkt nu gekoppeld te zijn aan het IP-adres van een bezoeker. En dus wordt de bezoeker plots een identificeerbare gebruiker met persoonsgegevens. Wanneer je persoonsgegevens verwerkt of voorkeuren koppelt aan andere persoonsgegevens heb je daar toestemming voor nodig. Maar in dit geval is er door IAB nooit om toestemming gevraagd en ook deelde IAB onvoldoende informatie over de persoonsgegevens die werden verwerk en met wie deze gegevens werden gedeeld. De gevolgen? Een boete van €250.000 voor IAB en het verbod om op deze manier verder te werken. Iedereen die gebruikt maakte van het IAB-systeem moet ook verplicht de al verzamelde gegevens vernietigen. Vanaf nu is de cookie pop-up van IAB ook niet meer legaal om te gebruiken voor jouw website.
Wat zijn de alternatieven?
Het is waarschijnlijk dat IAB Europe tegen deze uitspraak in beroep zal gaan, maar dat betekent ook dat ze binnen enkele maanden hun TCF volgens de AVG-regels dienen te herstellen en opnieuw in te richten. Dat houdt in dat jij als websitehouder een nieuwe manier moet vinden om cookies te gebruiken die wél aan de wet voldoen óf moet overschakelen op alternatieven om toch met consent te kunnen adverteren. Zo’n alternatief is bijvoorbeeld contextuele advertising. Een contextuele advertentie is een advertentie die wordt geplaatst op basis van de inhoud van een specifieke website of pagina, denk aan advertenties van een bouwmarkt bij een artikel dat gaat over klussen.
Eventuele andere systemen die je kunt gebruiken om websitebezoekers te volgen en om passende gegevens te verzamelen zijn nog steeds mogelijk, máár pas op: ook hier is de vraag of deze systemen voldoen aan de privacywetgeving. Zo is inmiddels het bekende Amerikaanse mailprogramma MailChimp niet meer in Nederland toegestaan en kwam onlangs ook Google Analytics groot in het nieuws voor het mogelijk overtreden van de AVG. Op het moment van schrijven is het nog niet zeker of Google Analytics hier ook daadwerkelijk verboden wordt, maar de kans is groot dat Nederland de uitspraak van Oostenrijk over gaat nemen.
Zet de privacy van je klant altijd voorop
Op dit moment is er een hoop gaande in privacyland. Maar het staat vast dat steeds meer gebruikers verlangen naar eerlijkheid en transparantie en graag hun privacy waarborgen. Dit betekent dat jouw websitebezoeker echt wil weten welke data jij verzamelt en wat jij precies met deze data doet. Het is daarom onwijs belangrijk om de privacy van jouw klant of bezoeker áltijd voorop te stellen. Blijven adverteren is zeker mogelijk, maar zorg er wel voor dat jouw documenten nog in orde zijn en dat je werkt met systemen die passen binnen de AVG.
Let op: afhankelijk van wanneer je dit artikel leest kan deze informatie verouderd zijn. De artikelen op deze website bevatten algemene juridische informatie, maar uitdrukkelijk geen één-op-één advies. Hulp nodig bij jouw specifieke situatie? Neem dan contact met ons op.