Behavioural targeting: zijn pseudonieme gegevens wel zo onschuldig?

Shoppen op internet is al jaren de realiteit. Of het nu om nieuwe schoenen gaat of om een nieuwe televisie, alles is via het internet te bestellen. Niet alleen de consument heeft dit ontdekt, ook de adverteerder heeft zijn reclamecampagnes verplaatst naar het wereldwijde web. Om de consument nóg beter tot het kopen van een product of dienst te verleiden worden steeds meer op de persoon toegesneden marketingmethodes gebruikt.

Laatst gezocht naar een leuke vakantiebestemming via internet? Grote kans dat je daarna op andere websites advertenties te zien kreeg waarin de gezochte vakantiebestemmingen vermeld werden.
Dit is geen indicatie dat je gehackt bent, maar er kijkt weldegelijk een systeem mee terwijl je aan het surfen bent. Dit surfgedrag wordt ingezet bij het tonen van advertenties. Hoe werkt dit eigenlijk en mag dit zomaar? En gaat de nieuwe Europese Privacyverordening hier nog wat aan veranderen?

Hoe werkt behavioural targeting?

Het hierboven beschreven voorbeeld is een vorm van behavioural targeting. Bij behavioural targeting wordt het surfgedrag van de bezoeker opgeslagen en geanalyseerd. Dit gebeurt meestal door het plaatsen van een cookie op de computer of telefoon van de bezoeker. Een cookie is een tekstbestandje dat bij ieder websitebezoek wordt geplaatst (of uitgelezen) en die bepaalde gegevens van en over de bezoeker opslaat en registreert. De cookies kunnen zowel door de websitehouder als door een derde geplaatst worden, bijvoorbeeld een advertentienetwerk. Doordat cookies unieke elementen bevatten kunnen advertentienetwerken de persoon herkennen bij een bezoek aan een website waar het netwerk actief is.

Behavioural targeting kan consument afschrikken

Bij behavioural targeting wordt de informatie over het surfgedrag ingezet voor het personaliseren van advertenties. Hierdoor is de kans groter dat een internetbezoeker op de advertentie klikt. Voor de adverteerder is het dus een effectieve methode. Ook voor de internetgebruikers zijn er voordelen. Zo krijgen zij alleen advertenties te zien die voor hen relevant zijn. Toch voelt het niet altijd goed, het volgen van het surfgedrag wordt door velen gezien als een inbreuk op de privacy. Het volgen van mensen op internet kan bovendien een ‘chilling effect’ veroorzaken. Zij passen hun gedrag aan omdat zij weten dat ze gevolgd worden. Of wat te denken van een gepersonaliseerde (eenzijdige?) nieuwssite op basis van je interesses. Is deze methode wettelijk gezien wel toegestaan?

Privacy en persoonsgegevens bij behavioural targeting

Voor het plaatsen van de meeste cookies is toestemming vereist van de internetgebruiker, los van het feit of een cookie inbreuk maakt op het recht op privacy. Is de toestemming verleend, dan moet gekeken worden of het cookie leidt tot een ‘verwerking van persoonsgegevens’.

Een van de vragen die centraal staat is of een cookie als persoonsgegeven is aan te merken. Anders gezegd, is een individu te identificeren door middel van een cookie? De adverteerder zal deze vraag beantwoorden door te roepen dat de cookies en de daarbij opgestelde profielen zijn te kwalificeren als pseudonieme gegevens. Pseudonieme gegevens zijn gegevens die niet herleidbaar zijn tot een persoon zonder het gebruik van aanvullende informatie. Een gehasht wachtwoord is een voorbeeld van pseudonieme data.

Worden de cookies gebruikt voor het opslaan van gegevens als het IP-adres of e-mailadres, of worden ze gebruikt voor het opstellen van een profiel, dan is de Wet bescherming persoonsgegevens (Wbp) van toepassing. Voor het verwerken van persoonsgegevens gelden strenge eisen. Zo moet voor elke verwerking van persoonsgegevens een legitieme grondslag bestaan, bijvoorbeeld ondubbelzinnige toestemming van de betrokken persoon.

Naast de grondslag gelden er nog meer strenge eisen uit de wet, zoals de informatieplicht, de beveiligingsplicht en de beginselen van proportionaliteit en subsidiariteit. Dit laatste brengt met zich mee dat de inbreuk op de belangen van betrokkene (bijv. een consument) niet onevenredig mag zijn in verhouding tot het doel van de gegevensverwerking, en dat dit doel redelijkerwijs niet op een andere, voor de betrokkene minder nadelige, wijze kan worden bereikt.

De nieuwe Europese Privacywetgeving over cookies

De komst van de nieuwe Europese Privacyverordening brengt meer duidelijkheid over de vraag of cookies persoonsgegevens zijn. De verordening geeft expliciet aan dat pseudonieme gegevens persoonsgegevens kunnen zijn, zodra iemand te isoleren (‘single-out’) is uit een grote groep gegevens.
Dit kan doordat een cookie vaak unieke cijferreeksen bevat, waardoor cookies onderling van elkaar zijn te onderscheiden.

De Europese toezichthouder zal in de toekomst beter kunnen optreden tegen partijen die onrechtmatig persoonsgegevens verwerken. Nu ontlopen advertentiebedrijven nog vaak handhaving omdat de lidstaten verschillende regelgeving gebruiken.

Behavioural targeting is een effectief marketingmiddel voor bedrijven. Wel moeten zij goed opletten dat de privacyregels worden nageleefd en dat het middel met beleid wordt toegepast. Voorkomen moet worden dat de internetgebruiker het gevoel krijgt gevolgd te worden en zijn gedrag gaat aanpassen. De Europese Privacyverordening, die in mei 2018 ingaat, moet in ieder geval voor een eenduidig regime binnen Europa gaan zorgen.

 

Terug naar overzicht