De handel in persoonsgegevens door de advertentie-industrie blijkt in strijd te zijn met de privacyregels. Is dit het einde van de advertentie-cookie?

Reclamemakers vermoedden decennialang dat ze de helft van hun budget weggooiden. Welke helft, dat wisten ze in het analoge tijdperk niet. Online is dat anders: reclameverkopers weten veel preciezer welke consument ze bereiken en of die zich met autosport, muziek of religie bezighoudt. Ze gebruiken cookies om websitebezoekers te volgen en ze reclames voor te schotelen. Die technologie leek een uitkomst voor de industrie.

Maar nu is er een probleem. Europese privacy-organisaties hebben een slag geslagen tegen de handel in persoonsgegevens. Het systeem waarbij websitebezoekers toestemming geven voor het delen van hun gegevens met soms honderden bedrijven, is in strijd met de Europese privacyregels, de AVG. Dat bedrijven persoonsgegevens naar elkaar rondsturen en soms profielen opbouwen van nietsvermoedende individuen, is niet in de haak. Dat blijkt uit een recente uitspraak van de Belgische privacywaakhond, die gesteund wordt door toezichthouders in andere Europese landen.

De uitspraak is goed nieuws voor de consument die aan zijn privacy hecht. Maar ze zorgt ook voor onzekerheid bij uitgevers en andere bedrijven die afhankelijk zijn van advertenties. Sommige betrokkenen vrezen dat vooral Europese databedrijven onder druk komen te staan en dat Amerikaanse big tech-bedrijven er sterker uitkomen.

Cookies

Hoe werken ze ook alweer, die gepersonaliseerde reclames? De bus komt eraan en je opent de website 9292.nl om de route te bekijken. Cookies accepteren? Vooruit, vanwege de haast. Op het moment van accepteren geef je 187 internationale bedrijven toestemming om geld te verdienen met je privégegevens. ‘Dit zijn de derde partijen die jouw gegevens verwerken’, schrijft 9292 in een toelichtend venster met alle bedrijfsnamen. Sommige daarvan zijn bekend, zoals Adobe, Booking, Nielsen en Oracle.

Razendsnel krijgen allerlei bedrijven op de digitale advertentiemarkt de vraag toegestuurd of ze een advertentie willen tonen aan deze busreiziger. Zijn locatie wordt meegestuurd en volgens een woordvoerder van 9292 kan die op de paar meters nauwkeurig zijn.

Een digitaal veilingbericht bevat informatie over het mobieltje en de telecomaanbieder. Ook biedt het advertentieveilingsysteem, genaamd Open RTB, de mogelijkheid om geslacht, geboortejaar en interesses van de persoon mee te sturen. Dit systeem wordt op 80 procent van de websites gebruikt.

In een flits vindt de veiling plaats. Het winnende bedrijf plaatst een advertentie van modebedrijf H&M. De bus vertrekt. Even de krant lezen. Cookies accepteren? Vooruit, vanwege het gemak. Meteen kijken er zo’n 300 bedrijven mee.

Miljarden veilingen per dag

Dagelijks worden zo miljarden advertenties geveild, zegt de Belgische Gegevensbeschermingsautoriteit, en hierdoor zien duizenden bedrijven een eindeloze stroom persoonsgegevens voorbijkomen. Sommige bedrijven bewaren de gegevens om ze te kunnen doorverkopen aan andere bedrijven. Het Amerikaanse Oracle staat daar bijvoorbeeld om bekend. De profielen van individuen worden ingekleurd door ze te combineren met andere databronnen, en door algoritmes voorspellingen te laten doen over je gedrag en voorkeuren.

Dit veilingsysteem kent grote risico’s, zegt de Gegevensbeschermingsautoriteit in België, voor de fundamentele rechten en vrijheden van de betrokkenen. ‘Met name gezien de grote hoeveelheid persoonsgegevens die ermee gemoeid is, de profilering, de voorspelling van gedrag en de monitoring die daaruit voortvloeit.’

Er mankeert volgens de toezichthouder van alles aan het systeem. Zo wordt consumenten onvoldoende uitgelegd wat al die bedrijven gaan doen met de persoonsgegevens. Verder moeten de gegevens veel beter beschermd worden. Ook is er geen loket waar consumenten om verwijdering kunnen vragen.

Beeld Fadi Nadrous

Een digitale ja-neesticker

Toen de Europese Unie de privacyregels aanscherpte, wist de advertentie-industrie dat er iets op het spel stond. Voortaan moesten reclamebedrijven nadrukkelijk toestemming vragen aan websitebezoekers voor het gebruik van persoonsgegevens. Het is niet erg praktisch als 187 databedrijven dat los van elkaar gaan doen.

Daarom bedacht brancheorganisatie IAB Europe een digitale ja-neesticker, een cookie die onthoudt aan welke databedrijven de websitebezoeker toestemming geeft. Dankzij die vondst zorgt de AVG voor een “minimale verstoring van ons verdienmodel”, zei Matthias Matthiesen in 2018. Bij IAB Europe leidde hij de ontwikkeling van dit zogenoemde Transparency en Consent Framework. “Als we niets doen, zitten we in de problemen.”

Maar deze oplossing deugt niet, vindt de privacywaakhond. IAB Europe moet 250.000 euro boete betalen en binnenkort met een verbeterplan komen. Illegaal verkregen persoonsgegevens moeten worden verwijderd. IAB Europe is het oneens met de uitspraak en kan in beroep gaan. Maar de Nederlandse Autoriteit Persoonsgegevens (AP) zegt alvast tegen Het Financieele Dagblad dat de talloze websites die het systeem gebruiken daar zo snel mogelijk mee moeten stoppen. Ze gaan dus verder dan de Belgische collega’s die de industrie acht maanden de tijd geven om zich aan te passen. Er hangen boetes in de lucht.

“De Belgische uitspraak is de nagel aan de doodskist van het systeem van online advertentieveilingen”, zegt Evelyn Austin, directeur van Bits of Freedom, een van de organisaties die de zaak begonnen was. “Er zitten veel haken en ogen aan deze datahandel en het zal moeilijk zijn voor de industrie om die in lijn te brengen met de privacywet.”

Waarom is de datahandel zo schadelijk volgens Bits of Freedom? Austin: “Bedrijven die over persoonlijke profielen beschikken zouden mensen kunnen manipuleren. Denk aan politieke beïnvloeding of het uitbuiten van kwetsbaarheden. Mensen kunnen kwetsbaar zijn door hun leeftijd, door depressies of gevoeligheid voor gokken. Het is niet goed als bedrijven dat uit hun data kunnen aflezen.”

Zorg dat je een logisch verhaal hebt

“Er zijn bedrijven die denken dat consumentenprivacy slecht is voor de zaken. Maar ik geloof van niet”, zegt Tomas Salfischberger, mede-oprichter van Relay42. Zijn bedrijf helpt banken, verzekeraars, energie- en telecombedrijven om hun digitale communicatie met klanten te stroomlijnen en analyseren.

“Belangrijk is dat je de klant een voordeel biedt als je zijn persoonsgegevens gebruikt”, zegt Salfischberger. “Je kunt bijvoorbeeld een aanbieding doen op basis van zijn eerdere aankopen. Nog belangrijker is het dat de klant begrijpt hoe je aan de gegevens komt en wat je ermee doet. De consument moet het snappen.”

Een voorbeeld? “Als een keten van tankstations gegevens met Airmiles wil delen, zodat de klant kan sparen, dan klinkt dat heel logisch voor de consument. Maar het is niet uit te leggen aan een websitebezoeker waarom je zijn gegevens met honderden onbekende partijen deelt.”

Dat laatste is ook niet in de geest van de privacywet, zegt Salfischberger. “Sommigen zeggen: je mag van de AVG niks met data. Dat is niet waar, je mag eigenlijk alles, zolang je ervoor zorgt dat het effect op de privacy minimaal is en je de consument duidelijk uitlegt wat er gebeurt. En zolang hij nadrukkelijk ja zegt. Aan dat laatste ontbreekt het nog vaak, de toestemming is vaak impliciet.”

Een energiebedrijf kan zelf de gegevens van zijn klanten uitbaten, zonder die met derde partijen te delen. Maar hoe zit dat met websites die afhankelijk zijn van advertenties? Salfischberger: “Bij uitgevers is het idee ontstaan dat je zoveel mogelijk data moet verzamelen om te verkopen. Persoonlijk denk ik dat de waarde van die data voor verkoop soms wordt overschat. Want hoe interessant is het nou om te weten welk artikel ik vandaag gelezen hebt? Overigens heb ik mijn eigen profiel kunnen inzien bij een dataverkoper, en daar klopte niet veel van.”

Inkomsten uit advertenties zijn belangrijk

Maandelijks bereikt 9292 twee miljoen unieke bezoekers. Advertenties zijn belangrijk, omdat de inkomsten ervoor zorgen dat de dienst gratis blijft, zegt het bedrijf. Een woordvoerder laat weten dat 9292 de ontwikkelingen op de voet volgt en een verbeterplan van IAB Europe en een toelichting van de Autoriteit Persoonsgegevens afwacht.

Ook DPG Media, de uitgever van deze krant, haalt inkomsten binnen uit geveilde advertenties. “Onze strategie is om minder afhankelijk te worden van externe partijen. We zagen al dat het advertentielandschap zou gaan veranderen. Daarom zijn we bezig om dit systeem, dat met cookies werkt, in de toekomst los te laten”, zegt Stefan Havik, directeur digital business development België en Nederland. “In plaats daarvan gaan we advertenties richten op de ingelogde bezoekers van onze sites.”

Het voordeel daarvan is dat er een gesloten systeem ontstaat, legt hij uit. Daarin werkt de uitgeverij met eigen klantgegevens en is de vergaring van die data explicieter. DPG hoeft de data ook niet meer te delen met andere partijen. Adverteerders kunnen in dat nieuwe model kiezen voor een bepaald lezersprofiel, dat is samengesteld uit 25.000 lezers die anoniem blijven.

Weinig tijd

Havik noemt het opvallend dat de Nederlandse toezichthouder op korte termijn veranderingen wil zien, waar de Belgische toezichthouder de industrie meer tijd geeft. “De door de AP gewenste ommekeer is op korte termijn praktisch onuitvoerbaar. Ook zal die ongewenste effecten met zich meebrengen. Namelijk minder advertentie-inkomsten voor uitgeverijen, waardoor meer content achter de betaalmuur zal komen. Het gratis nieuwsaanbod voor de consument zal verschralen.”

Havik: “Verder zal de positie van big tech fors worden versterkt doordat adverteerders zullen uitwijken naar de platformen van bedrijven zoals Google en Facebook. Platformen waar nauwelijks zicht is op wat er met de gegevens van de consument gebeurt. Dit is precies de beweging die we proberen tegen te gaan.”

Ook Google en Facebook moeten zich aan de AVG houden, maar als grootverdieners schrikken zij niet zo van een boete. Vorige week heeft de brancheorganisatie voor Europese nieuwsmedia, waarvan DPG Media lid is, een klacht ingediend bij de Europese Commissie, omdat Google te machtig is op de online reclamemarkt. Evelyn Austin van Bits of Freedom zegt dat de macht van Google geen excuus is om een illegaal systeem in stand te houden, verwijzend naar de uitspraak van de toezichthouder.

Komt Google er sterker uit? “Ik vrees van wel”, zegt Salfischberger. “Maar dat lijkt me geen reden om het consumentenrecht in Europa minder goed te waarborgen. Het is eerder een reden om ervoor te zorgen dat Google en Facebook zich een stuk beter aan de regels houden. Bij Google is het bijvoorbeeld vrijwel onmogelijk om niet gevolgd te worden. Het speelveld moet gelijker worden voor kleine Europese en grote Amerikaanse spelers.”

Het hoofdkantoor van Google in Californië. Beeld AFP

Op weg naar een internet zonder cookies

“Er is een alternatief”, zegt Austin. “Nu worden advertenties vooral gebaseerd op het gedrag van mensen. Plaats liever advertenties op basis van inhoud. De afgelopen jaren hebben meerdere partijen afscheid genomen van gepersonaliseerde advertenties.” NRC verkoopt geen persoonsgegevens meer aan derde partijen, al deelt het wel wat gegevens met Facebook en Google. Een ander voorbeeld is Ster: het reclamebedrijf van de publieke omroep plaatst geen advertentiecookies en bouwt geen kijkersprofielen op.

“De uitspraak over het veilingsysteem past in een trend”, zegt Jasper Verbunt, bestuurslid van brancheorganisatie Dutch Digital Agencies, waarvan de leden digitale diensten leveren aan bedrijven. “We zijn op weg naar een cookieloos internet. Dat is helemaal geen rare beweging nadat we jarenlang alles en iedereen hebben gevolgd en de nodige schandalen hebben gezien, zoals bij Facebook.”

“Er hangt nog iets boven de markt en dat is een mogelijk verbod op het gebruik van Google Analytics. Daarmee brengen heel veel organisaties het gedrag van hun websitebezoekers in kaart.” Volgens de Oostenrijkse privacy-waakhond is deze dienst in strijd met de regels, omdat de gegevens naar de VS worden gestuurd.

Daarnaast worden sommige techbedrijven strenger. Apple beperkt bijvoorbeeld Facebook in de mogelijkheden om gebruikers te volgen, en vanwege de advertentie-inkomsten die dat scheelt, maakte Facebooks moederbedrijf Meta laatst een enorme koersval. Verbunt: “Het is ook maar de vraag hoe waardevol die hyper-gepersonaliseerde profielen zijn. Onderzoeken laten zien dat het effect van het volgen en benaderen van zeer specifieke doelgroepen beperkt is. Een verandering in het systeem zal dus niet zulke grote gevolgen hebben als men soms denkt.”

Lees ook:

Aanklagers VS: Google misbruikt machtspositie

De druk op Amerikaanse techbedrijven neemt toe: Google wordt aangeklaagd in de VS.

Apple en Facebook botsen frontaal over de regels voor persoonlijke reclame

Facebook heeft last van de nieuwe privacyregels van Apple. Wie niet gevolgd wil worden door adverteerders, kan daar voortaan zelf voor kiezen.

Geef eens wat privacy op (en maak de wereld zo een beetje mooier)

In het Wilde Westen van de techgiganten is de sheriff gearriveerd, die waakt over onze privacy. Maar zijn regels en boetes hebben ook hun keerzijde, schrijven Hans de Bruijn en Bram Klievink in een essay. Want data zijn hard nodig voor betere zorg, beter onderwijs en meer veiligheid.