Geen toestemming, geen cookie: nieuwe regels voor online advertising
Op 22 juni publiceerde de Artikel 29 Werkgroep (de Werkgroep),
het overlegorgaan van de Europese privacytoezichthouders, een
opinie die invulling geeft aan de
gewijzigde regels voor "online behavioural advertising". Voor
het plaatsen van cookies wordt voorafgaande toestemming vereist,
en ook de informatievereisten worden
opgeschroefd.
Online behavioural
advertising?
Online advertising is één van de belangrijkste vormen van
internet marketing. Bij dit advertentiemodel bieden websitehouders
advertentieruimte aan op hun websites, zodat adverteerders daar hun
producten en diensten kunnen aanprijzen. De mogelijkheden om deze
advertenties gericht aan internetgebruikers te tonen nemen nog
steeds sterk toe. Dit artikel behandelt de regels voor
behavioural targeting; een vorm van online advertising
waarbij de aan een internetgebruiker getoonde advertenties worden
afgestemd op diens internetgedrag. Daarvoor maakt de adverteerder
doorgaans gebruik van een derde partij, een aanbieder van
advertentienetwerken. Deze aanbieders monitoren het gedrag van
internetgebruikers op een (groot) aantal verschillende websites en
kunnen zo profielen creëren op basis van bijvoorbeeld
lifestylekenmerken van verschillende groepen internetgebruikers.
Wanneer gebruiker X bijvoorbeeld sportwebsites, een online store
voor herensportkleding en een aantal beurswebsites bezoekt, kan het
advertentienetwerk daar uit opmaken dat deze gebruiker zeer
waarschijnlijk (i) een man en (ii) zeer geïnteresseerd in sport is.
Deze gegevens kunnen vervolgens worden gecombineerd met andere data
zoals het IP-adres van gebruiker X, zodat een nog duidelijker
profiel van hem kan worden gecreëerd.
De informatie over het gedrag van gebruiker X wordt verkregen
door het plaatsen van een zogenaamde 3rd party cookie.
Iedere computer die websites in het netwerk van de aanbieder (de
'third party') bezoekt, krijgt een uniek nummer toebedeeld. Dat
nummer, de cookie wordt opgeslagen op de PC van de
internetgebruiker, waarna alle zoekopdrachten en websitebezoeken
van gebruiker X worden bewaard.
Regels voor online
behavioural advertising
Op grond van de huidige regels hoeft gebruiker X geen
toestemming te geven voor het plaatsen van deze cookies. Browsers
staan het plaatsen van cookies standaard toe. Een opt-out
mogelijkheid moet wel verplicht worden. Artikel 5(3) van de nieuwe
e-Privacyrichtlijn brengt daar
verandering in. Deze richtlijn lijkt aanbieders van
advertentienetwerken te verplichten om vooraf toestemming te
vragen voor het plaatsen van cookies. De tekst van artikel 5(3)
en overweging 66 van de richtlijn zorgden al eerder voor
discussie: het leek niet helemaal een uitgemaakte zaak te zijn
dat er inderdaad voorafgaande toestemming zou moeten worden
verkregen, aangezien de optie om toestemming via browsersetting
te verkrijgen nog steeds mogelijk leek. Een
recente opinie van de European Data
Protection Supervisor stelde al dat door browsersettings géén
toestemming kon worden gegeven. De Werkgroep onderschrijft nu
dat standpunt in deze opinie. Het volstaan met het opnemen van
een opt-out mogelijkheid in de browserinstellingen is dus nu
zeker niet meer afdoende. Alleen wanneer browsers zo zijn
ingesteld dat ze standaard alle cookies weigeren en gebruiker X
er vervolgens actief voor kiest om deze instellingen in
specifieke gevallen te wijzigen, wordt er aan het
toestemmingsvereiste voldaan. Daarbij moeten gebruikers dan ook
nog vooraf worden voorzien van duidelijke en volledige
informatie over onder meer de doelen waarvoor het cookie wordt
geplaatst. Alleen in een privacy statement vermelden dat er
cookies worden geplaatst en hoe deze kunnen worden uitgeschakeld
voldoet dus niet.
Eén keer ja zeggen is
genoeg
Het verkrijgen van toestemming door middel van
browserinstellingen lijkt hiermee erg moeilijk te worden. Niet
onmogelijk, volgens de Werkgroep, die in haar opinie aanbieders van
advertentienetwerken oproept om te gaan samenwerken met
browserfabrikanten zodat browserinstellingen worden aangepast.
Verder maakt de Werkgroep duidelijk dat het een sterke voorkeur
heeft wanneer een cookies met voorafgaande toestemming worden
geplaatst. In dat geval hoeft er niet iedere keer nadere
toestemming te worden gevraagd voor het uitlezen en gebruik van het
cookie. In beginsel geldt de verleende toestemming voor al het
verdere gebruik van het cookie, mits de toestemming eenvoudig kan
worden ingetrokken en het duidelijk zichtbaar is voor de gebruiker
dat er cookies worden gebruikt. Daarnaast is de toestemming niet
eeuwig geldig: er moet periodiek, bijvoorbeeld een keer per jaar
aldus de Werkgroep, opnieuw toestemming worden gevraagd. Dat kan
door de levensduur van het cookie te beperken tot één jaar, waarna
deze automatisch vervalt of zichzelf verwijdert.
Kortom, er zal, al dan niet via de browser, voorafgaande
toestemming van gebruikers moeten worden verkregen voordat er een
cookie geplaatst wordt op de computer van een internetgebruiker.
Daarbij merkt de Werkgroep nog op dat het toestemmingsvereiste van
artikel 5(3) e-Privacyrichtlijn ook geldt wanneer er geen
persoonsgegevens worden verzameld via de cookie: het
aanknopingspunt voor de werking wordt gevormd door het feit dat er
gegevens worden achtergelaten op de computer, en daarmee in de
'privésfeer' van de gebruiker.
Andere bijzondere
wijzigingen
De verplichting om de toestemming van gebruikers te verkrijgen
en te voldoen aan de informatieverplichting kan zowel op de
aanbieders van advertentienetwerken als de websitehouders rusten.
Van belang is dat de gebruiker geïnformeerd wordt door de partij
die de cookie plaatst of uitleest. De adverteerders zelf blijven
daarbij buiten schot: de Werkgroep stelt dat hun
verantwoordelijkheid beperkt blijft tot de verwerking van gegevens
die zij uitvoeren nadat gebruikers hebben doorgeklikt naar de
websites van de adverteerders. Het zijn dus met name de aanbieders
en de websitehouders die te maken zullen krijgen met de nieuwe
regels. Daarbij is het volgens de Werkgroep niet per se van belang
of deze als verantwoordelijke of als bewerker in de zin van de Wet
bescherming persoonsgegevens (Wbp) moet worden aangemerkt: het feit
dat een aanbieder optreedt als een bewerker voor de websitehouder
zal hem dus niet ontslaan van de verplichting om toestemming te
verkrijgen van gebruikers, hem te informeren en te voldoen aan
andere verplichtingen op het gebied van de bescherming van
persoonsgegevens. De Werkgroep meent dat in de overeenkomsten
tussen de websitehouders en aanbieders van advertentienetwerken zal
moeten worden vastgelegd welke partij er wanneer verantwoordelijk
is voor het verkrijgen van de toestemming en het informeren van
internetgebruikers.
Wie het weet mag het zeggen
Het is de vraag hoe aanbieders van advertentienetwerken in de
praktijk op een effectieve manier vorm kunnen geven aan het nieuwe
toestemmings- en informatievereiste: de opinie gaat niet in op
mogelijke technische oplossingen om de nieuwe regels na te leven.
De Werkgroep verwelkomt naar eigen zeggen creatieve oplossingen:
stakeholders worden uitgenodigd om hun input aan het secretariaat
van de Werkgroep te sturen. Wie het weet mag het dus zeggen. Er is
ook nog enige haast bij geboden: de nieuwe e-Privacyrichtlijn moet
in mei 2011 zijn geïmplementeerd in de Nederlandse wetgeving waarna
Nederlandse aanbieders, websitehouders en in mindere mate
adverteerders met de nieuwe regels te maken zullen krijgen.