Online Behavioural Advertising
Online Behavioural Advertising (OBA) is een (complexe) techniek die neerkomt op het volgende. Veel websites waarop advertenties staan hebben het beheer over die advertenties volledig uitbesteed aan een extern advertentienetwerk. Dat externe advertentienetwerk kan ervoor kiezen om in plaats van generieke advertenties (iedere websitebezoeker dezelfde advertentie), meer "persoonlijke" advertenties te tonen. Daar kiezen bijna alle advertentienetwerken ook voor, want hoe "persoonlijker" een advertentie, hoe groter de kans dat hier door de bezoeker op wordt geklikt.
Welke advertentie aan welke bezoeker wordt getoond, wordt als volgt bepaald. De meeste advertentienetwerken zorgen er voor dat op de computer van de websitebezoeker automatisch een cookie wordt opgeslagen. Aangezien de meeste advertentienetwerken de adverenties op vele (vaak miljoenen) websites verzorgen en zij daarbij steeds ditzelfde cookie kunnen uitlezen, kunnen zij op die manier heel eenvoudig zien welke websites door de betreffende websitebezoeker nog meer zijn bezocht (mits aangesloten bij hetzelfde advertentienetwerk). Welke websites iemand bezoekt zegt vaak (zeer) veel over die persoon. Het is dan ook eenvoudig mogelijk op basis van die informatie een advertentie te selecteren die naar verwachting goed aansluit bij de interesses van die specifieke bezoeker. Onderzoek laat zien dat veel internetgebruikers zich niet bewust zijn van het bestaan, laat staan de toepassing, van deze techniek.
Best Practice Recommendation on online behavioural advertising
De verenigde Europese reclamebureaus (IABA/EASA) hebben enige tijd geleden de "Best Practice Recommendation on online behavioural advertising", waarin kort samengevat staat dat naar hun oordeel bij OBA wordt voldaan aan de wet- en regelgeving wanneer de consument (1) middels een (i)-icoon wordt geinformeerd en (2) vervolgens op eenvoudige wijze bezwaar kan maken tegen de verwerking van zijn gegevens. Veel van de bij IABA/EASA aangesloten bureaus plaatsen dan ook sinds enige tijd een informatie-icoon bij de door hen verzorgde advertenties.
Artikel 29 werkgroep al eerder kritisch
In een brief van 3 augustus 2011 heeft de artikel 29 werkgroep al laten weten dat deze beleidslijn van de IABA/EASA niet in overeenstemming is met het nieuwe (in Nederland: komende) recht rondom het gebruik van cookies. Over die brief is op deze weblog [intlink id="7862" type="post"]al eerder geblogd[/intlink]; ik verwijs graag naar deze eerdere berichtgeving.
Kort samengevat stelt de artikel 29 werkgroep dat de beleidslijn van IABA/EASA twee fundamentele principes van de cookie-wetgeving schendt, namelijk het hanteren van opt-out (in plaats van de wettelijke opt-in) en het onvoldoende en pas achteraf in plaats van vooraf informeren over de doeleinden van de gegevensverwerking. De advertentienetwerken die OBA toepassen, schenden dus volgens de gezamenlijke privacytoezichthouders de cookiewetgeving.
Nieuwe punten in opinie WP 188
De opinie die op 8 december 2011 (WP188) is verschenen bevat op veel punten een herhaling van wat er al in de brief van 3 augustus 2011 stond (weliswaar wat uitgebreider). Toch staan er ook wel enkele nieuwe punten in de opinie WP 188, die ik hierna zal uitlichten.
Informatie-icoon mogelijk wel bruikbaar
Het is opvallend dat de artikel 29 werkgroep stelt dat het gebruik van een informatie-icoon bij cookies op dit moment nog onvoldoende is om te voldoen aan de verplichting om internetters adequaat te informeren omdat internetters volgens de artikel 29 werkgroep niet weten waar dit icoon voor staat. Mogelijk kan in de toekomst een dergelijk icoon wel volstaan. Dat wil zeggen: niet om te voldoen aan de verplichting om vooraf informatie te geven, maar mogelijk wel om te voldoen aan de verplichting om de gebruiker ook na het geven van toestemming adequaat te (blijven) informeren over de doeleinden van de gegevensverwerking.
Volg-me-niet-register zelf niet transparant
De artikel 29 werkgroep signaleert verder dat het volg-me-niet-register (http://www.dzw.gr/fd48e) zelf niet transparant is over de cookies die het plaatst (de opt-out cookies). Ook constateert de werkgroep dat een bezoeker aan de website door bepaalde technieken gevolgd wordt, terwijl daarover geen informatie op de website is te vinden.
Eenmalige toestemming aan advertentienetwerk volstaat
Verder geeft de werkgroep de suggestie om de website om te bouwen van een opt-out website, naar een opt-in website. Volgens de artikel 29 werkgroep zou een dergelijk centrale website prima geschikt kunnen zijn voor het (eenmalig) geven van toestemming voor het plaatsen van een tracking cookie.
Dat is best een pragmatische en bovendien ook functionele benadering voor het vereiste van toestemming voor het plaatsen van een cookie: niet de websitehouder die de diensten van advertentienetwerken voor zijn website afneemt moet om toestemming vragen, maar het (in die website geintegreerde) advertentienetwerk. Bovendien volstaat een eenmalige toestemming aan dat advertentienetwerk, zodat internetters helemaal niet - anders dan de adverteerders soms beweren - steeds opnieuw om toestemming zal worden gevraagd. In de visie van de werkgroep zal de gemiddelde internetter dus steeds minder vaak om toestemming worden gevraagd.
Toestemming vragen kan op verschillende manieren
De artikel 29 werkgroep suggereert dat toestemming vragen op verschillende manieren kan:
- middels een informatiebalk bovenaan de pagina, met daarin opgenomen een hyperlink naar meer informatie;
- middels een splash-page bij het eerste bezoek aan de website;
- het middels een click moeten activeren van elementen op de website die cookies gebruiken.
Al die methoden vereisen echter een samenwerking tussen de websitehouder en het advertentienetwerk. Het roept de (technische) vraag op hoe die toestemming door het advertentienetwerk moet worden gevraagd. De exploitant van het advertentienetwerk heeft immers slechts beperkte toegang tot en beheer over de website waarop zij de advertentie verzorgt. Het tonen van advertenties op dergelijke websites wordt vaak verzorgd doordat de exploitant van de website bepaalde (javascript)code op in de (eigen) code van zijn website integreert. Het advertentienetwerk kan niet veel meer doen dan die programmacode aanpassen.
Naar mijn verwachting zal een website-exploitant het niet toestaan wanneer het advertentienetwerk die programmacode zo inricht dat bij het laden van de website een splash-page of een pop-up wordt getoond. De websitehouder zit er immers niet op te wachten dat zijn website minder functioneel is of misvormd wordt omdat de exploitant van het advertentienetwerk zo nodig toestemming moet vragen aan de internetter. Dit zal advertentienetwerken waarschijnlijk praktisch gezien ertoe dwingen om bij personen die nog geen toestemming hebben gegeven, op de website waar zij de advertenties verzorgt geen advertentie te tonen maar de ruimte voor de advertentie te benutten om de internetter om toestemming te vragen. Dat derft echter hun omzet en die derving zou wel eens zeer substantieel kunnen zijn (zolang geen keuze wordt gemaakt door de internetter, ziet de exploitant van het advertentienetwerk zich immers gedwongen steeds opnieuw die keuze aan de internetter voor te houden). Het is de vraag of die omzetderving opweegt tegen het risico op eventuele boetes.
Ook veiligheidscookies zijn functioneel
De artikel 29 werkgroep wijst er op dat voor het plaatsen van functionele cookies geen toestemming vereist. Als voorbeeld van functionele cookies wijst de werkgroep op het cookie dat inloggegevens onthoudt, het cookie nodig voor een winkelmandje en het cookie dat gebruikt wordt om een apparaat te herkennen in het kader van beveiliging.
Dat laatste voorbeeld is, bij mijn weten althans, nieuw en sluit aan bij de groeiende praktijk van het opwerpen van extra beveiligingsdrempels wanneer op een website wordt ingelogd vanaf een (voor de websitehouder) onbekende locatie. Dit laat m.i. zien dat de toezichthouders, anders dan hen wel eens wordt verweten, best bereid zijn de wetgeving op een pragmatische wijze te interpreteren.
Wachten op daadwerkelijk toezicht
Tot zover enkele punten uit deze recente opinie over OBA. Ik ben erg benieuwd of het daadwerkelijk tot handhaving komt en zo ja, of de betreffende kwesties aan de rechter zullen worden voorgelegd (en hoe deze vervolgens toetst). Wij houden u op de hoogte.
