Privacy Update

Privacy Update

De Europese gegevensbeschermingsautoriteiten hebben de afgelopen tijd niet stilgezeten. Zowel Microsoft, Meta als Apple hebben tot in de honderden miljoenen euro’s aan boetes opgelegd gekregen. 

Microsoft

Microsoft heeft op de valreep van 2022 nog een boete van 60 miljoen euro opgelegd gekregen door de Franse gegevensbeschermingsautoriteit (CNIL). De CNIL deed tussen 2020 en 2021 onderzoek naar de inzet van cookies op www.bing.com (website van Microsoft). In die tijd werden er, zonder dat daar toestemming voor was gegeven, zo genoemde ‘tracking cookies’ geplaatst. Tracking cookies zijn cookies waarmee informatie van de websitebezoeker wordt verzameld om zo gepersonaliseerde advertenties te tonen. 

Bovendien bood Microsoft de mogelijkheid om voor bepaalde cookies wél toestemming te geven, maar was het niet zo eenvoudig om de toestemmingsvraag te weigeren. “While the search engine offered a button to accept cookies immediately, it did not offer an equivalent solution (button to refuse or other) to allow the Internet user to refuse them as easily. Two clicks were needed to refuse all cookies, while only one was needed to accept them”, aldus de CNIL.

Doordat de CNIL haar besluit op lokale wetgeving heeft gebaseerd, is het niet een-op-een van toepassing in Nederland. Echter, de betreffende lokale wetgeving is afgeleid van Europese wetgeving (ePrivacy Richtlijn), waardoor het een duidelijke aanwijzing geeft waar het naartoe aan het bewegen is. Zeker nu dat de European Data Protection Board (EDPB) zelfde soort geluiden laat horen

Meta

Meta is het jaar begonnen met een boete van maar liefst 390 miljoen euro dankzij de Ierse gegevensbeschermingsautoriteit (DPC). Meta vroeg voor de verwerking van persoonsgegevens en de daarmee samenhangende personalisatie van advertenties op haar platformen geen toestemming, maar baseerde dit op het feit dat gebruikers akkoord zijn gegaan met de gebruikersvoorwaarden. Om aan die voorwaarden te voldoen, moest het bedrijf gepersonaliseerde advertenties tonen, aldus Meta. Zonder akkoord te gaan met de voorwaarden was het niet mogelijk om gebruik te maken van de diensten van Meta. Waar de meeste organisaties gebruik maken van toestemming van de websitebezoeker voor het personaliseren van advertenties, deed Meta dat dus op grond van de uitvoering van een overeenkomst (zie het verschil tussen artikel 6, lid 1 sub a en sub b AVG). 

De DPC oordeelde dat de verwerking van persoonsgegevens voor het personaliseren van advertenties op grond van gebruikersvoorwaarden niet is toegestaan. Het is alleen mogelijk de verwerking van persoonsgegevens te rechtvaardigen door middel van een overeenkomst, als die verwerking een kernelement is van de overeenkomst. Het personaliseren van advertenties is dat niet voor de diensten van Meta waardoor het eigenlijk neerkwam op een verkapte toestemmingsvraag die niet kon worden geweigerd. Om toestemming vragen zonder deze kan worden geweigerd is niet toegestaan. Volgens de DPC personaliseerde Meta daarom onrechtmatig advertenties.

Het besluit is ook belangrijk voor adverteerders op het platform. Volgens de EPDB zijn adverteerders die adverteren op een social media platform tot op zekere hoogte gezamenlijk met het platform (zoals Meta) verantwoordelijk voor de daarmee samenhangende verwerking van persoonsgegevens. Hier lees je daar meer over. Meta heeft aangegeven in beroep te willen gaan tegen het besluit.

Apple

De CNIL heeft niet stilgezeten de afgelopen maanden; ook Apple is het jaar minder goed gestart door een boete van 8 miljoen euro doordat het volgens de CNIL op een onrechtmatige manier om toestemming vraagt voor het personaliseren van advertenties. Na een onderzoek dat heeft plaatsgevonden in 2021 en 2022 heeft de CNIL vastgesteld dat bij gebruikers van de App Store persoonsgegevens werden vastgelegd voor onder andere advertentiedoeleinden zonder dat daar vooraf toestemming was gevraagd. Standaard was ingesteld dat gebruikers hiervoor toestemming hadden gegeven. Alleen na het doorlopen van een aantal stappen was het mogelijk om toestemming (weer) in te trekken. Gebruikers moeten door middel van een actieve handeling toestemming gegeven, waardoor de instellingen van Apple onrechtmatig waren, aldus de CNIL.

Ook hier geldt dat adverteerders mogelijk deels verantwoordelijk gehouden kunnen worden van de personalisatie van hun advertenties die worden getoond door Apple. Al ligt dat in het geval van Apple minder voor de hand; Apple heeft aangegeven inmiddels haar procedures te hebben aangepast. 

Wil je weten of de uitspraken ook relevant zijn voor jouw organisatie? Stuur dan een mail naar [email protected]

Gerelateerde artikelen

Autoriteit Persoonsgegevens gaat strenger toezicht houden

De Autoriteit Persoonsgegevens (AP) heeft met een brief aan de VIA aangekondigd in 2024 strenger toezicht te houden. Eerder al uitte het kabinet haar zorgen over het gebruik van cookies en online tracking, waardoor een extra budget van 500.000 euro per jaar aan de AP werd toegewezen voor het toezicht hierop. Dit extra budget zal de AP gebruiken om vaker te controleren of organisaties op de juiste manier toestemming vragen voor het plaatsen van onder andere tracking cookies. De AP heeft vuistregels op haar website gepubliceerd met uitleg hoe organisaties hun cookiebanner moeten inrichten en toestemming voor het plaatsen van tracking cookies gevraagd moet worden. De AP heeft deze brief naar de VIA gestuurd met het verzoek om de inhoud ervan onder de aandacht te brengen bij onze leden. Het is van belang dat jij, als lid van de VIA, hiervan op de hoogte bent. Zodat er nu de mogelijkheid is om eventuele aanpassingen uit te voeren. – Saskia Baneke-Delfgaauw, VIA-directeur Lees hieronder de brief van het AP. Via deze mail houden we onze leden op de hoogte van belangrijke juridische ontwikkelingen. Als contactpersoon van jouw organisatie vragen we je om deze e-mail door te sturen naar degenen binnen de organisatie voor wie deze updates van belang zijn. Alvast bedankt! Mochten er vragen zijn of hebben jullie hulp nodig, neem dan contact op met Saskia Baneke, [email protected] of Guido Grevink [email protected] Relevante links:Autoriteit Persoonsgegevens publiceert richtlijnen voor het opstellen van een correcte cookiebannerHeldere en misleidende cookiebanners | Autoriteit PersoonsgegevensLegal Digital Advertising Checklist VERSTERKT TOEZICHT OP TRACKING TECHNOLOGIEËN EN NORMUITLEG RONDOM COOKIES De Autoriteit Persoonsgegevens (AP) gaat vanaf dit jaar vaker controleren of websites op de juiste manier toestemming vragen voor het vragen van (tracking) cookies en andere volgsoftware. In de praktijk komt het namelijk regelmatig voor dat er misleidende cookiebanners worden gebruikt, waardoor de toestemming voor de verwerking van persoonsgegevens niet juist wordt verkregen. De AP wijst u middels deze brief graag op de normuitleg die de AP hier recent over heeft uitgebracht. Cookies en de AVGBij het gebruik van tracking cookies of vergelijkbare technieken kan ervan uit worden gegaan dat er persoonsgegevens worden verwerkt. Dit geldt ook voor sommige functionele en beperkte analytische cookies. Aangezien het gaat om een verwerking van persoonsgegevens moet er ook worden voldaan aan de Algemene verordening gegevensbescherming (AVG). Belang van een heldere cookiebannerDoor middel van tracking technologieën kunnen organisaties meekijken met het internetgedrag van hun websitebezoekers. Echter, dit is alleen toegestaan als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de optie hebben om cookies te weigeren, zonder nadelige gevolgen. Door het inzetten van een heldere cookiebanner kunnen websitebezoekers een weloverwogen keuze maken om wel of geen toestemming te geven. AP normuitlegNaast het versterkte toezicht brengt de AP ook normuitleg uit, zodat organisaties aan de hand van praktische regels kunnen voldoen aan de wettelijke vereisten met betrekking tot (tracking) cookies en andere technologieën. Inmiddels heeft de AP twee uitgebracht: normuitleg voor het maken van een heldere cookiebanner en normuitleg voor het intrekken van toestemming bij cookies. Voor verdere uitleg en voorbeelden verwijzen we u graag naar onze website. De volgende vuistregels helpen bij het opstellen van een correcte cookiebanner: Geef informatie over het doel; Zet vinkjes niet automatisch aan; Gebruik duidelijke tekst; Zet verschillende keuzes op één laag; Verberg bepaalde keuzes niet; Laat iemand niet extra klikken; Gebruik geen onopvallende link in de tekst; Wees helder over het intrekken van toestemming; Verwar toestemming niet met gerechtvaardigd belang. De volgende regels verduidelijken waaraan voldaan moet worden bij intrekken van toestemming bij cookies: Toestemming intrekken moet op ieder moment kunnen; Toestemming intrekken moet net zo gemakkelijk zijn als het aangeven; Toestemming intrekken mag geen nadelige gevolgen hebben voor uw websitebezoekers; Geef informatie over hoe websitebezoekers toestemming kunnen intrekken vóórdat zij toestemming geven; Zorg voor een vindbare plek voor het intrekken van toestemming; Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken.

Lees verder

Whitepaper Data-Cleanrooms: Wat zijn het en hoe zet je ze effectief in?

Het landschap van digitale marketing is flink veranderd. Firefox en Safari ondersteunen geen cookies van derden meer, Chrome is ze aan het uitfaseren en de ePrivacy Richtlijn en GDPR vereisen dat uitgevers en adverteerders toestemming van consumenten krijgen om hun data te verzamelen en te gebruiken. En dat zorgt voor de nodige uitdagingen op het gebied van data en privacy. Gelukkig bieden data-cleanrooms een oplossing. Cleanrooms maken het voor bedrijven mogelijk om samen te werken en data te analyseren met behoud van privacy en naleving van regelgeving. Ze zijn vooral nuttig in situaties waarin meerdere partijen de collectieve kracht van hun gegevens willen benutten zonder de individuele privacy of gegevensbeveiliging in gevaar te brengen. Klantgegevens worden zorgvuldig geanonimiseerd en ontdaan van alle persoonlijke of identificeerbare informatie. Deze gegevens kunnen vervolgens worden geanalyseerd en gebruikt om nieuwe inzichten te krijgen over gebruikers op een geaggregeerd niveau. Dit whitepaper geeft marketeers die nog geen of weinig ervaring hebben met data-cleanrooms inzicht in alle mogelijkheden. Van het definiëren van doelstellingen tot juridische zaken, uploaden van data en verbinding met andere bronnen tot het uitvoeren van data-analyses. De theorie wordt aangevuld met cases uit de Nederlandse reclame-industrie en aanbevelingen die betrekking hebben op de beperkingen en kosten van data-cleanrooms. Bijdragen van: Birgit Boing, Emmelijn Hermens, Weiwei Liu-Schröder, Bastiaan Spaans, Bernard de Vreede, Mark Wilmont.

Lees verder