Kennisbank

De Autoriteit Persoonsgegevens (AP) nu extra budget gekregen om strenger toezicht te kunnen houden op het gebruik van cookies en online tracking. In dit artikel bespreekt VIA-jurist Sander van Oostrom de ontwikkelingen rondom de e-Privacyrichtlijn. Het kabinet maakt zich zorgen over het gebruik van cookies en online tracking. De zorg richt zich hierbij met name op de praktijk waarbij websitebezoekers worden ‘genudged’ om het plaatsen van cookies te accepteren. Het kabinet erkent echter dat het beperkte mogelijkheden heeft om de nationale wetgeving op dit gebied aan te passen, omdat de regels met betrekking tot cookies al sinds 2002 zijn vastgelegd op Europees niveau via de e-Privacyrichtlijn. In reactie op deze beperkte mogelijkheden heeft de Autoriteit Persoonsgegevens (AP) nu extra budget gekregen om strenger toezicht te kunnen houden op het gebruik van cookies en online tracking. Dit extra budget is toegewezen om ervoor te zorgen dat de regelgeving effectiever wordt gehandhaafd en de privacyrechten van individuen beter worden beschermd in een complexe digitale omgeving. Huidige regelgeving In 2002 was het plaatsen van cookies zonder toestemming toegestaan onder de e-Privacyrichtlijn en daarmee de norm. Het enige vereiste was dat de websitebezoeker de mogelijkheid kreeg om het gebruik van cookies te weigeren (een opt-out). In 2009 onderging de e-Privacyrichtlijn echter een wijziging. Toen werd bepaald dat tracking cookies alleen mogen worden geplaatst nadat de websitebezoeker duidelijke en volledige informatie heeft ontvangen over het gebruik van zijn/haar persoonsgegevens, die doorgaans door deze cookies worden verzameld. Daarnaast moet de websitebezoeker sinds die tijd voorafgaand toestemming geven voor het plaatsen van cookies.   Cookiebanners: de druk om cookies te accepteren Ondanks strengere wetgeving om de privacy van websitebezoekers te beschermen, blijven velen worstelen met misleidende cookiebanners. Deze banners nudgen websitebezoekers vaak in de richting van het accepteren van cookies. Hierdoor accepteren websitebezoekers cookies, zelfs als ze dat eigenlijk niet willen. Een belangrijk probleem hierbij zijn bepaalde manipulatieve ontwerpelementen, waarbij websites het zichtbaarder maken om cookies te accepteren dan te weigeren. Een voorbeeld hiervan zijn de grote groene knoppen om alle cookies te accepteren, en kleinere grijze knoppen om cookies te weigeren. Het kabinet neemt actie Het kabinet is vastberaden om deze problemen aan te pakken. Daarom heeft de AP vanaf volgend jaar een extra budget van 500.000 euro per jaar voor aanvullend toezicht op cookies en online tracking. Dit budget is toegewezen voor de startfase van 2024-2026. Gedurende deze periode zal de AP ook guidance publiceren om duidelijkheid te verschaffen aan de branche en tools ontwikkelen om toezicht effectiever te maken. Vanaf 2027 wordt dit een structureel budget van 350.000 euro. Hoewel dit bedrag op het eerste gezicht bescheiden lijkt in vergelijking met het totale budget van de AP (40,1 miljoen euro), is het opmerkelijk omdat de AP als zelfstandig bestuursorgaan op papier zelfstandig beslist hoe het haar budget verdeelt. De Nederlandse regering geeft hiermee aan dat zij meer aandacht en financiële middelen wil toewijzen aan specifiek dit onderwerp. Europese inspanningen voor verbetering Het cookie- en online tracking-probleem wordt niet alleen nationaal erkend. Sinds 2017 zijn er onderhandelingen gaande over de e-Privacyverordening, die onder andere betrekking heeft op het cookiebeleid. Echter, deze onderhandelingen zitten al geruime tijd in een impasse, wat het Nederlandse kabinet heeft aangemoedigd om zelf stappen te ondernemen.

Om de markt te helpen bij het (makkelijker) inzichtelijk maken van inzichten, publiceerde de Taskforce Consumer Insights eerder het Consumer Insights Maturity Model. In een nieuw artikelenreeks kijkt de taskforce naar de basisprincipes van een inzicht. In dit eerste artikel wordt stilgestaan bij het eerste principe: het verzamelen van input. Want zonder input geen inzicht.   Wat is een inzicht?  Om verwarring te voorkomen eerst een toelichting op de belangrijkste begrippen. Wat is nu precies een inzicht?    Term Betekenis Voorbeeld Data Gefragmenteerde betekenisloze input. Omzet november 2021 € 485.000,-  Omzet november 2022 € 415.000,-   Informatie Geeft betekenis aan data door er context aan toe te voegen. De omzet is in november 2022 15% gedaald ten opzichte van november 2021. Onze concurrent is op de markt gekomen met een CO2-neutraal product en heeft een grote reclamecampagne ingezet in oktober. Kennis Gaat over het leggen van relaties tussen verschillende typen informatie. We lijken marktaandeel te verliezen aan de nieuwe concurrent met zijn nieuwe CO2-neutrale propositie waar onze doelgroep gevoelig voor is.    Inzichten De aan elkaar gekoppelde informatie in relevante context plaatsen wat richting geeft aan een oplossing.    Om marktaandeel terug te veroveren, moeten we niet alleen bij onze productinnovaties rekening houden met CO2-uitstoot, we moeten ons ook als totale organisatie groener profileren omdat de consument daar behoefte aan heeft.   In tegenstelling tot data, informatie en kennis die je verzamelt uit allerlei interne en externe bronnen, wordt een inzicht gevormd vanuit alle kennis die is verzameld. Een inzicht is een eigen interpretatie: een onderbouwde hypothese met als doel het verschil maken.   Welke vraag wil je beantwoorden?  Voor je start met het inzichtelijk maken van inzichten, is het belangrijk om eerst stil te staan bij de vraag die je wilt beantwoorden. Ben je bijvoorbeeld benieuwd in welk segment je business het hardst groeit, of wil je weten hoe je het conversiepercentage van je website kan vergroten? Hoe concreter de vraag, hoe gemakkelijker het is om te bepalen welke data je moet analyseren om de juiste inzichten te kunnen formuleren. Wil je bijvoorbeeld weten hoeveel conversies je hebt behaald, of ook door wie?     Veelgebruikte bronnen  Weet je welke vraag je wilt beantwoorden? Dan is het moment aangebroken om de juiste bronnen te raadplegen. Een overzicht van de meestgebruikte bronnen van dit moment:   Data Inzichten uit data verzamel je vooral met behulp van deskresearch: Interne research: Google Analytics, CRM-systemen, kwantitatieve surveys, A/B-testen, chatbot-data Externe research: NMO, Nielsen, Google Trends, first-party en third-party data   Informatie Informatie verzamel je aan de hand van conclusies uit data, onderzoeken, nieuwsbronnen en observaties:  Deskresearch: kwantitatieve (markt)onderzoeken, brancheonderzoeken, reviews, social listening, nieuws- en actualiteitenmedia, archiefonderzoek, white papers Fieldresearch: Ga op pad, zie wat er om je heen gebeurt en welk gedrag mensen vertonen, om informatie te verzamelen over gedrag in een natuurlijke setting. Kennis Hiervoor ga je op zoek naar oorzaak en gevolg en probeer je data en informatie aan elkaar te koppelen, maar je kunt ook nieuw ontstane vragen gaan onderzoeken:  Deskresearch: kwalitatieve marktonderzoeken, marketing- of psychologieliteratuur  Fieldresearch: Ga met mensen in gesprek, ga interviewen, maar experimenteer ook om causale relaties te toetsen.   Bij bestaande bronnen mag je ervan uitgaan dat de betrouwbaarheid en validiteit in orde zijn, maar check ze altijd voor de zekerheid. Kijk daarbij ook altijd of de diverse variabelen gelijk zijn gebleven om echt een eenduidige conclusie te kunnen trekken. En houd ook bij het zelf opzetten van extra kwantitatieve onderzoeken deze uitgangspunten in de gaten.     Rol van het Consumer Insights Maturity Model   Ga je aan de slag met het verzamelen van alle data, informatie en kennis? Vergeet dan vooral niet het Consumer Insights Maturity Model te raadplegen. Het model maakt je bewust van alle lagen waarin inzichten kunnen worden gevonden, en welke data, informatie en kennis je moet verzamelen om tot een kwalitatief inzicht te komen. In het volgende artikel zullen we dieper ingaan op hoe we inzichten formuleren en waar deze aan moeten voldoen.   Lees ook:

In de afgelopen 5 jaar heeft er een shift in het zoekgedrag plaatsgevonden. In plaats van de desktop, gebruiken steeds meer mensen hun mobiel. En door de komst van platformen zoals Instagram en TikTok is de voorkeur voor visuele content gestegen. Het veranderende zoekgedrag heeft ervoor gezorgd dat zoekmachines blijven evolueren en experimenteren. En dat heeft zo zijn impact op de dagelijkse werkzaamheden van marketeers en search-specialisten. In dit artikel licht ik de belangrijkste ontwikkelingen uit en laat ik zien hoe je hier als marketeer het beste op kan inspelen. Lees verder op Frankwatching... Door Vivianne van Strijland, Taskforcevoorzitter Search

Auteur: Sander van Oostrom De Ierse Data Protection Commission (DPC) heeft opnieuw een hoge boete opgelegd aan een grote speler in de techwereld. In dit artikel bespreekt VIA-jurist Sander van Oostrom het besluit van de DPC. De Ierse Data Protection Commission (DPC) heeft opnieuw een hoge boete opgelegd aan een grote speler in de techwereld. Ditmaal is de Chinese video-app TikTok aan de beurt, met een boete van maar liefst 345 miljoen euro wegens het overtreden van de Algemene Verordening Gegevensbescherming (AVG) tussen 31 juli 2020 en 31 december 2020. TikTok krijgt de boete opgelegd omdat het de privacy van kinderen op het platform onvoldoende zou hebben beschermd.  Standaardinstellingen Een van de pijnpunten was de manier waarop TikTok standaardinstellingen configureerde voor accounts van kinderen. Deze accounts werden automatisch ingesteld op ‘publiek’. Hierdoor waren de video’s die geplaatst werden niet alleen voor ‘vrienden’ te zien, maar door iedereen op het platform en zelfs daarbuiten. TikTok is van mening dat het maatregelen hiervoor had genomen, door een beeldvullende pop-up te laten zien met daarin de vraag of ze hun video’s niet liever ‘prive’ wilden maken. Voor de DPC was dit onvoldoende, omdat TikTok dit ook had kunnen omdraaien. Hoewel TikTok in januari 2021 de standaardinstellingen voor kinderen heeft gewijzigd naar privé, heeft de DPC toch besloten TikTok te beboeten. Family pairing De toezichthouder is daarnaast van mening dat TikTok onvoldoende heeft voorkomen dat zijn jongste gebruikers bepaalde omwegen gebruikten om leeftijdsbeperkingen op het platform te omzeilen. Dit werd minderjarigen te gemakkelijk gemaakt, met name door gebruik te maken van de ‘Family Pairing’-functie. TikTok introduceerde Family Pairing in april 2020, waardoor volwassenen hun accounts kunnen koppelen aan accounts van kinderen om de schermtijd te beheren, ongewenste inhoud te beperken en voor deze zaak relevant: direct messaging te blokkeren of toe te staan. Volgens de DPC was deze functie echter slecht ingericht; TikTok kon onvoldoende controleren of het daadwerkelijk om de ouders/verzorgers ging. Hierdoor kon theoretisch gezien elke volwassene de privacywaarborgen van een kind verzwakken door middel van het toestaan van direct messaging, aldus de toezichthouder. Leeftijdsverificatie Daarnaast heeft TikTok tekortkomingen getoond in het handhaven van haar eigen leeftijdsbeperkingen. Ondanks enkele maatregelen om minderjarige gebruikers onder de dertien jaar te detecteren en te verwijderen, zoals het inschakelen van moderators en de mogelijkheid voor andere gebruikers om minderjarigen te melden, was de leeftijdsverificatie volgens de DPC ontoereikend. TikTok had geen nauwkeurige schatting gemaakt van het aantal gebruikers onder de dertien jaar op het platform en de daaraan verbonden risico's. Bovendien waren de gebruikte methoden voor leeftijdsverificatie gemakkelijk te omzeilen. TikTok vroeg bijvoorbeeld alleen naar de leeftijd van de gebruiker, zonder dit te verifiëren.  Reactie TikTok TikTok heeft gereageerd op het besluit van de DPC en stelt  dat deze onterecht is. Ze zijn het met name oneens met de hoogte van de opgelegde boete. TikTok benadrukt dat de kritiek van de DPC betrekking heeft op functies en instellingen die drie jaar geleden van kracht waren. Waarvan sommige al lang voordat het onderzoek begon waren aangepast, zoals het standaard instellen van alle accounts onder de 16 jaar op privé.

Auteur: Sander van Oostrom De Europese Commissie heeft onlangs de eerste groep ‘poortwachters’ aangewezen die onder de Digital Markets Act (DMA) vallen. In dit artikel bespreekt VIA-jurist Sander van Oostrom de strenge regels, om de concurrentie op de digitale markt te bevorderen door eerlijke(re) kansen te bieden aan concurrerende bedrijven. De Europese Commissie heeft onlangs de eerste groep ‘poortwachters’ aangewezen die onder de Digital Markets Act (DMA) vallen. Dit zijn techbedrijven die door hun omvang een sleutelpositie innemen, doordat ze de toegang tot de markt kunnen beïnvloeden. Hierdoor zijn kleinere bedrijven van de poortwachters afhankelijk en kunnen consumenten de diensten amper omzeilen. Deze poortwachters moeten zich gaan houden aan strenge regels, om de concurrentie op de digitale markt te bevorderen door eerlijke(re) kansen te bieden aan concurrerende bedrijven. Aanwijzing van Poortwachters De Europese Commissie heeft zes bedrijven aangemerkt als poortwachters onder de DMA, namelijk Alphabet (Google), Amazon, Apple, Bytedance (TikTok), Meta en Microsoft. Deze zes poortwachters zijn vervolgens weer verantwoordelijk voor zogenoemde ‘kernplatformdiensten’. Onder de zes bedrijven zijn in totaal 22 kernplatformdiensten aangewezen. Dergelijke diensten zijn volgens de DMA cruciale toegangspunten tussen bedrijven en consumenten.  Bron: Europese Commissie  Belangrijkste Regels DMA De eerste zes poortwachters zijn nu aangewezen en weten dat zij met hun kernplatformdiensten moeten gaan voldoen aan verschillende eisen van de DMA. Poortwachters mogen hun eigen diensten niet langer bevoordelen op hun platforms, wat betekent dat ze gelijke kansen moeten bieden aan concurrerende bedrijven. Voorbeelden hiervan zijn dat besturingssystemen alternatieve appwinkels moeten toestaan en ontwikkelaars de vrijheid geven om alternatieve betaalmethoden aan te bieden. Bijvoorbeeld Apple mag nu niet langer exclusief de App Store op iPhones aanbieden en gebruikers verplichten om via Apple Pay te betalen. Daarnaast moeten besturingssystemen gebruikers de mogelijkheid geven om voorgeïnstalleerde apps te verwijderen en standaardinstellingen aan te passen, zodat gebruikers volledige vrijheid hebben in de keuze van apps en diensten die ze willen gebruiken.Verder moeten berichtendiensten interoperabel worden met concurrenten. Dit betekent concreet dat bijvoorbeeld een Whatsapp-gebruiker moet kunnen communiceren met een gebruiker van een andere berichtendienst, zoals Signal (mocht Signal dit willen). Hoe nu verder Poortwachters hebben een half jaar de tijd om aan de DMA-regels te voldoen, met een deadline van 6 maart 2024. Overtreders riskeren boetes tot tien procent van hun wereldwijde jaaromzet, die kunnen oplopen tot twintig procent bij herhaalde overtredingen. Parallel aan de aanwijzing van poortwachters heeft de Commissie onderzoeken geopend om te beoordelen of sommige andere bedrijven ook als ‘kernplatformdienst’ moeten worden aangemerkt. Mogelijk worden de bedrijven die onder de DMA vallen dus nog uitgebreid. 

Auteur: Sander van Oostrom In dit artikel bespreekt VIA-jurist Sander van Oostrom de laatste updates en ontwikkelingen over de Digital Services Act (DSA) Vanaf 25 augustus zijn de grootste technologiebedrijven verplicht om te voldoen aan de Digital Services Act (DSA). Deze nieuwe wetgeving binnen de Europese Unie beoogt een veiligere digitale ruimte te realiseren en richt zich onder andere op adverteerders en hun rol in de onlinewereld. Met als doel transparantie te vergroten en de consumentenbescherming te versterken, legt de DSA striktere regels op aan adverteerders om ervoor te zorgen dat online advertenties eerlijk en betrouwbaar zijn.  VLOP’s en VLOSE’s Concreet betekent dit dat de grootste online platforms en zoekmachines nu moeten voldoen aan de regels die door de DSA zijn vastgesteld. Deze bedrijven, die worden aangeduid als 'Very Large Online Platforms' (VLOP's) en 'Very Large Online Search Engines' (VLOSE's), bedienen meer dan 45 miljoen gebruikers per maand. De lijst van betrokken organisaties omvat 19 bedrijven, waaronder bekende namen zoals Facebook, Google en TikTok. Voor deze organisaties is de DSA eerder van toepassing dan voor kleinere platforms. Die zijn vanaf komend voorjaar aan de beurt. Gevolgen voor advertenties Met de DSA komt nu een einde aan de personalisatie van diverse typen advertenties op de VLOP’s en VLOSE’s. Advertenties mogen niet langer worden gepersonaliseerd op grond van bijzondere persoonsgegevens. Dit betekent bijvoorbeeld dat adverteerders niet meer kunnen targetten op basis van seksuele geaardheid, ras, geloofsovertuiging, politieke voorkeur of gezondheidsinformatie. Daarnaast is het verboden om minderjarigen te benaderen met advertenties op basis van persoonsgegevens. Door de DSA zijn bedrijven verplicht om helder aan te geven welke inhoud op het platform als reclame wordt beschouwd en van wie die inhoud afkomstig is. Veranderingen in algoritmes De DSA vereist ook dat gebruikers van de diensten inzicht krijgen in waarom ze bepaalde content te zien krijgen. Gebruikers moeten daarnaast de mogelijkheid hebben om algoritmische selectie op basis van persoonsgegevens uit te schakelen en berichten bijvoorbeeld chronologisch te bekijken. Dit betekent dat de gebruiker niet langer vast hoeft te blijven zitten in een algoritme-contentcirkel en meer controle heeft over wat hij/zij te zien krijgt. Bestrijding van illegale content De VLOP’s en VLOSE’s moeten harder en sneller optreden tegen illegale content. Dit omvat bij sociale media bijvoorbeeld de verwijdering van kinderporno en racistische berichten, en bij webwinkels het verwijderen van nepproducten of gevaarlijk speelgoed. Er moet voor gebruikers een duidelijke knop zijn om illegale content te melden. Uitbreiding toepassingsgebied Vanaf 17 februari 2024 is de DSA ook van toepassing op andere, kleinere maar veelgebruikte platformen. Denk hierbij onder meer aan cloudaanbieders, internetproviders, online marktplaatsen en online videoplatforms. Dit betekent dat de nieuwe regels een bredere impact zullen krijgen. Handhaving DSA Voor de 'grote negentien' zal de Europese Commissie toezicht houden op de naleving, terwijl nationale toezichthouders zijn aangewezen voor de handhaving van kleinere organisaties. In Nederland is de Autoriteit Consument en Markt (ACM) grotendeels verantwoordelijk, terwijl de Autoriteit Persoonsgegevens (AP) belast is met het toezicht op gepersonaliseerde advertenties. Verschillende brancheverenigingen, waaronder VIA, zijn al in gesprek met de ACM over een soepele implementatie van de DSA. Een platform dat de DSA schendt, kan een boete krijgen tot zes procent van de mondiale jaaromzet. Het is dus van groot belang om de nieuwe regels snel in de bedrijfsvoering te implementeren.

De Belgische rechter heeft besloten dat IAB Europe het TCF-actieplan niet hoeft uit te voeren in afwachting van een beslissing van het Hof van Justitie van de Europese Unie (HvJ). In 2021 verklaarde de Belgische Gegevensbeschermingsautoriteit (APD) het gebruik van het TCF van IAB Europe onrechtmatig. IAB Europe heeft hiertegen beroep aangetekend, en de zaak ligt momenteel nog bij het HvJ. In de tussentijd had de APD IAB Europe verzocht een actieplan op te stellen en uit te voeren om het TCF in overeenstemming te brengen met haar zienswijze. Dit actieplan is opgesteld door IAB Europe en APD heeft de inhoud uiteindelijk goedgekeurd. Echter, IAB Europe stelt dat de APD dit plan niet had mogen goedkeuren, aangezien de zaak nog moet worden behandeld door het HvJ. Om te voorkomen dat er wijzigingen worden doorgevoerd die later mogelijk moeten worden teruggedraaid in afwachting van de beslissing van het HvJ, heeft IAB Europe de Belgische rechter verzocht om de goedkeuring van de APD te vernietigen. De rechter is hier in meegegaan.  Deze uitspraak heeft geen invloed op de implementatie van TCF v2.2, die gaat gewoon door. Zie het volledige nieuwsbericht hier.

Na een eerder gesprek met het Ministerie van Economische Zaken (EZK), hebben de brancheverenigingen bvA, DDA, DDMA, Thuiswinkel.org en VIA Nederland afgelopen maand aan tafel gezeten met de Autoriteit Consument & Markt (ACM). Het gesprek ging over een soepele implementatie van de Digital Services Act (DSA). Deze nieuwe verordening bevat regels voor online platforms en stelt aanvullende eisen aan het gebruik van gepersonaliseerde advertenties, boven op bestaande wetgeving zoals de Algemene Verordening Gegevensbescherming (AVG). Doordat veel partijen adverteren via platforms zoals Instagram, Youtube en TikTok, heeft de nieuwe verordening niet alleen invloed op de platforms zelf, maar ook op de vele adverteerders. De ACM zal  toezicht gaan houden op de manier waarop in Nederland gevestigde platforms de regels in de DSA naleven. Een klein gedeelte van het toezicht ten aanzien van gepersonaliseerde advertenties komt te liggen bij de Autoriteit Persoonsgegevens.  Er is voor de sector nog onzekerheid over de implementatie van de verordening, voornamelijk door de vele open normen. Zo is de DSA bijvoorbeeld strenger voor platforms die diensten aanbieden die gericht zijn op kinderen; dergelijke diensten mogen geen gepersonaliseerde advertenties meer tonen. Het is daarentegen nog niet bepaald wanneer een dienst zich precies op kinderen richt. Ook moeten verzoeken van zogenoemde ‘trusted flaggers’ met voorrang in behandeling worden genomen door platforms, maar is het onduidelijk welke partijen deze rol op zich gaan nemen in de toekomst.  Het is voor de sector van belang dat de toezichthouders de praktijk goed begrijpen en daarom zullen we constructief met elkaar in gesprek blijven. Daarnaast onderzoeken we de mogelijkheden om samen met de ACM de onduidelijkheden helder te krijgen door bijvoorbeeld informatiesessies te organiseren waar leden vragen kunnen stellen. Om dit zo praktisch en relevant mogelijk te maken, willen we een oproep doen:  Mocht je als organisatie vragen hebben over de implementatie van en toezicht op de DSA, laat het ons weten via [email protected]. Daarnaast heeft EZK gewerkt aan de Uitvoeringswet digitaledienstenverordening. Deze wet legt de procedurele kant van de implementatie van de DSA juridisch vast en staat momenteel open ter consultatie. Als je commentaar hebt op het voorstel, heb je tot 25 augustus de mogelijkheid om feedback te geven. 

Hieronder bespreken we kort belangrijke ontwikkelingen op het gebied van wetgeving en juridische kwesties in de digitale wereld. Besluit ongerichte reclame kansspelen op afstand  Vanaf 1 juli zijn nieuwe regels van kracht voor het adverteren over kansspelen. Het is sindsdien niet meer toegestaan om ongerichte kansspel reclame te laten zien. Voor gerichte kansspel reclame gelden daarnaast strenge aanvullende eisen. Zo moet bijvoorbeeld een aanbieder van een kansspel kunnen aantonen dat minstens 95% van de personen die hun advertentie zien, ouder zijn dan 24 jaar. Ook mogen deze advertenties niet getoond worden aan kwetsbare personen en is specifieke toestemming van de consument nodig om kansspel reclame te laten zien.  Criteo ontvangt boete van 40 miljoen Euro van Franse privacywaakhond (CNIL) Criteo, een groot online advertentiebedrijf, is door de Franse privacywaakhond (CNIL) verantwoordelijk gehouden voor het niet verkrijgen van toestemming voor het plaatsen van tracking cookies. Het bedrijf verzamelt persoonsgegevens van websitebezoekers via websites van derden om advertenties te personaliseren. Dit gebeurt door het gebruik van third party tracking cookies. Volgens wetgeving moet toestemming worden gevraagd aan websitebezoekers voordat dit soort cookies worden geplaatst. Criteo had deze verantwoordelijkheid bij de website-exploitanten gelegd, maar uit onderzoek van de CNIL bleek dat sommige van deze exploitanten dit niet deden. De CNIL stelt dat Criteo deels verantwoordelijk is voor het verkrijgen van toestemmen en heeft het bedrijf daarom aansprakelijk gesteld. Dit resulteerde in een boete van 40 miljoen euro.  Oproep: Experts voor toekomstbestendige cookiebanner Naar aanleiding van het onderzoek De Waarde van Data willen we aan de slag met de ontwikkeling van een toekomstbestendige cookiebanner, waarbij rekening wordt gehouden met de belangen/rechten van de consument en die van de industrie. Hiervoor zijn we op zoek naar experts die hierover mee willen denken. Wil je hieraan deelnemen? Neem dan contact op met Guido Grevink: [email protected] Rechtszaak Google om mogelijk grootschalige auteursrechtinbreuk AI-tool  Google is in de Verenigde Staten aangeklaagd omdat het mogelijk op grote schaal auteursrechtinbreuk heeft gepleegd met haar AI-tools. De AI-tools van Google (maar ook de bekende andere tools, zoals ChatGPT) worden getraind op basis van informatie dat vrij toegankelijk is op het internet. Dit betekent echter niet dat deze informatie voor ieder willekeurig doel gratis mag worden gebruikt. Oók vrij toegankelijk werk wordt beschermd door het auteursrecht, aldus de aanklagers. Het is nog onduidelijk wanneer de rechter een uitspraak zal doen. 

Auteur: Sander van Oostrom In dit artikel bespreekt VIA-jurist Sander van Oostrom de eerste financiële sancties die zijn opgelegd aan bedrijven voor het gebruik van Google Analytics, ondanks eerdere uitspraken van Europese autoriteiten dat het gebruik ervan in strijd is met de Algemene Verordening Gegevensbescherming (AVG) Onlangs heeft de Zweedse toezichthouder voor gegevensbescherming (IMY) boetes opgelegd aan twee bedrijven, Tele2 Zweden en CDON, vanwege het gebruik van Google Analytics op hun websites. Deze boetes vertegenwoordigen de eerste financiële sancties die zijn opgelegd aan bedrijven voor het gebruik van Google Analytics, ondanks eerdere uitspraken van Europese autoriteiten dat het gebruik ervan in strijd is met de Algemene Verordening Gegevensbescherming (AVG).  Doorgifte van persoonsgegevens Het Hof van Justitie van de Europese Unie heeft in de Schrems I en Schrems II-uitspraken de adequaatheidsbesluiten Safe Harbour (Schrems I) en Privacy Shield (Schrems II) ongeldig verklaard. Hierdoor werd de doorgifte van persoonsgegevens naar de Verenigde Staten (VS) als onrechtmatig beschouwd. Het Hof nam deze beslissing vanwege de grootschalige surveillancebevoegdheden van Amerikaanse inlichtingendiensten, waardoor Amerikaanse bedrijven geen adequaat niveau van bescherming voor Europese gegevens konden garanderen. Naar aanleiding van een klacht van de Oostenrijkse privacystichting Noyb heeft IMY onderzoek gedaan naar het gebruik van Google Analytics door Tele2 Zweden en CDON. IMY concludeerde dat de bedrijven persoonsgegevens doorstuurden naar servers van Google Analytics in de VS, wat in strijd is met de AVG vanwege het niet passende niveau van gegevensbescherming in de VS.  Boete op GA3 en niet GA4 De opgelegde boetes zijn gebaseerd op het gebruik van de oudere, gratis versie van Google Analytics 3 (GA3), genaamd 'Universal Analytics'. Deze gratis versie is sinds 1 juli 2023 niet meer beschikbaar. Zakelijke gebruikers van GA3, '360 UA', hebben nog tot 1 juli 2024 om over te stappen naar de nieuwe versie ‘Google Analytics 4’ (GA4). Het is het belangrijk op te merken dat de nieuwe versie, GA4, op een andere manier is opgezet. Google zou enkele aanpassingen hebben doorgevoerd, die mogelijk een gunstig effect kunnen hebben op de rechtmatigheidsbeoordeling van het gebruik van GA4. Zo zouden de IP-adressen van EU-burgers enkel in de EU worden verwerkt, en de gegevens die wel met VS worden gedeeld geen persoonsgegevens betreffen. Het is op dit moment nog niet definitief vastgesteld of het gebruik van GA4 volledig in overeenstemming is met de AVG, aangezien dit nog niet is beoordeeld door toezichthouders. Dit betekent dat de uitspraak van IMY over het gebruik van GA3 niet één op één van toepassing is op GA4. Privacy Framework: dé oplossing? Om de breed gedragen problematiek rondom de doorgifte van persoonsgegevens naar de VS aan te pakken, heeft de Europese Unie onlangs ingestemd met een nieuw adequaatheidsbesluit genaamd het EU-US Data Privacy Framework (Privacy Framework). In dit besluit is vastgelegd dat de VS een passend niveau van gegevensbescherming biedt voor persoonsgegevens die vanuit de Europese Unie worden doorgegeven aan Amerikaanse bedrijven. Met de goedkeuring van dit nieuwe Privacy Framework kunnen persoonsgegevens nu legitiem van de EU naar de VS worden overgedragen zonder verdere voorwaarden of toestemming, mits de organisatie in de VS zich heeft aangesloten bij het Privacy Framework. Lees hier meer over het Privacy Framework.

Auteur: Sander van Oostrom In dit artikel bespreekt VIA-jurist Sander van Oostrom een nieuw adequaatheidsbesluit: het EU-US Data Privacy Framework (Privacy Framework) De Europese Commissie heeft een belangrijke stap gezet met betrekking tot de doorgifte van persoonsgegevens naar de Verenigde Staten (VS), door het aannemen van een nieuw adequaatheidsbesluit: het EU-US Data Privacy Framework (Privacy Framework). Een adequaatheidsbesluit betekent dat de Europese Commissie van mening is dat het land veilig genoeg is om persoonsgegevens mee uit te wisselen. Hierdoor is het vanaf dit moment (wéér) rechtmatig mogelijk is om persoonsgegevens naar de VS te sturen. Dit besluit heeft echter de nodige vragen opgeroepen. Eerder gingen we al dieper in op de regels die gelden voor de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER).  Terugblik: Schrems I en Schrems II Om de recente ontwikkelingen te begrijpen, moeten we terugkijken naar de uitspraken van Schrems I (Safe Harbour) en Schrems II (Privacy Shield). Het Hof van Justitie van de Europese Unie heeft in deze zaken vastgesteld dat de Amerikaanse inlichtingendiensten een te ruime bevoegdheid hadden tot Europese persoonsgegevens. Dit betekende dat ze vrij gemakkelijk toegang konden krijgen tot de persoonsgegevens van EU-burgers als deze waren opgeslagen op Amerikaanse servers. Daarnaast hadden EU-burgers niet voldoende juridische bescherming tegen deze toegang. Dit leidde praktisch gezien tot een verbod op het delen van persoonsgegevens met organisaties gevestigd in de VS.  Het Privacy Framework Volgens het persbericht van de Europese Commissie volgt uit het Privacy Framework dat de VS een passend beschermingsniveau garandeert - vergelijkbaar met dat van de Europese Unie - voor persoonsgegevens die vanuit de EU worden doorgegeven aan Amerikaanse bedrijven. Volgens de Europese Commissie komt het Privacy Framework tegemoet aan alle bezwaren van het Hof van Justitie van de Europese Unie, onder andere met betrekking tot de toegang tot Europese persoonsgegevens door Amerikaanse inlichtingendiensten. Het betekent onder meer dat persoonsgegevens gewist moeten worden wanneer die niet langer nodig zijn. Volgens het besluit moet de toegang die de VS heeft tot burgers uit de EU ‘beperkt zijn tot wat noodzakelijk en evenredig is om de nationale veiligheid te beschermen’. Op dit moment is het nog niet duidelijk wat dit precies inhoudt. Wat betekent dit nu? Met het adequaatheidsbesluit kunnen persoonsgegevens uit de EU worden doorgegeven naar de VS, op voorwaarde dat de ontvangende Amerikaanse organisatie zich houdt aan de regels van het Privacy Framework. Amerikaanse bedrijven die momenteel gecertificeerd zijn onder het (verouderde) ‘EU-US Privacy Shield Framework’ (dat ongeldig werd verklaard door Schrems II) krijgen de mogelijkheid tot een vereenvoudigde procedure voor certificering onder het ‘EU-US Data Privacy Framework’. Wanneer de Amerikaanse organisatie hierbij is aangesloten betekent dit dat het gebruik van Standard Contractual Clauses (SCC’s) niet langer nodig zijn.  Conclusie Het nieuwe adequaatheidsbesluit lijkt (vooralsnog) dé oplossing te bieden voor de problematiek rondom de doorgifte van persoonsgegevens naar bedrijven in de VS. Echter, gezien de eerdere onrechtmatigheid van voorgaande adequaatheidsbesluiten, bestaat er nog onzekerheid over de duurzaamheid van dit besluit. Bekende privacyactivist Max Schrems, de man die Safe Harbour en het Privacy Shield liet sneuvelen, gaat ook het Privacy Framework laten toetsen door het Hof van Justitie van de Europese Unie. Schrems beweert dat het Privacy Framework grotendeels een kopie is van het ongeldig verklaarde Privacy Shield. Voorlopig kunnen persoonsgegevens vanuit de EU, op grond van het EU-US Data Privacy Framework, in ieder geval weer worden doorgegeven aan bedrijven in de VS.

Er heerst momenteel veel onduidelijkheid over de verplichting van de "Reject-all" knop in cookiebanners. Hoewel de Autoriteit Persoonsgegevens (AP) deze nog niet verplicht heeft gesteld, zien we dat autoriteiten in andere Europese landen wel deze verplichting opleggen. Bovendien lijkt de European Data Protection Board (EDPB) ook die richting op te gaan. Onlangs heeft een 'taskforce' van de EDPB een rapport gepubliceerd over de juiste toepassing en implementatie van cookiebanners. Uit dit rapport blijkt dat het ontbreken van een "Reject-all" knop in de cookiebanner door de meerderheid van de leden als een inbreuk wordt gezien. Om een beter beeld te krijgen van onze positie ten opzichte van andere landen, hebben we een overzicht samengesteld van enkele omliggende landen en hoe zij dit hebben geregeld.