Gericht adverteren is inmiddels de standaard voor online reclame. Niemand kijkt er meer van op wanneer ze na het bezoeken van een kledingwebshop dat ene mooie jurkje tegenkomen in een reclamebanner op een andere website. De één stoort zich hieraan, terwijl de ander het wel makkelijk vindt. Nieuwe volgtechnieken blijven zich ontwikkelen en intussen lijkt het er op dat de Autoriteit Persoonsgegevens actiever zal gaan handhaven. Er worden ten slotte persoonsgegevens verwerkt. Maar hoe werkt die pixel nu eigenlijk precies? En mag dit überhaupt wel van de AVG?
Cookies die het volgen van websitebezoekers mogelijk maken, noemen we trackingcookies. Dit soort cookies worden gebruikt om een websitebezoeker te tracken en te identificeren tijdens het bezoek van één of zelfs meerdere websites. Tracken vindt meestal plaats door middel van een pixel. Een pixel is een stukje code dat wordt toegevoegd aan de broncode van een website. De pixel wordt geactiveerd door handelingen van een websitebezoeker, zoals het invullen van een contactformulier of het bezoeken van een bepaalde pagina. Je kunt een pixel beschouwen als een onzichtbare ‘mini afbeelding’ die wordt meegestuurd met een digitale advertentie om het aantal vertoningen daarvan te meten.
Met de informatie die wordt verzameld via de pixel, wordt kennis verkregen over hoe de website wordt gebruikt, maar ook over de interesses van de websitebezoeker. Met de verzamelde informatie kan vervolgens relevante content, online advertenties, worden aangeboden of kan conversie worden gemeten. Dit betekent dat er persoonsgegevens worden verwerkt. Pixels kunnen verschillende (persoons)gegevens verzamelen. Zo kan worden bijgehouden wat de websitebezoeker bekijkt of aanklikt op de website. Ook gegevens als IP-adressen en overige browserinformatie kunnen worden verzameld. Daarnaast kan een pixel zien waar de websitebezoeker vandaan komt en vervolgens ook weer terechtkomt, ook wel de customer journey genoemd. Dat mooie jurkje dat je tóch niet hebt besteld kun je dus zomaar tegenkomen bij een bezoek aan Instagram.
De cookiewetgeving is vastgelegd in de Telecommunicatiewet en deels in de Algemene Verordening Gegevensbescherming. Vanuit Europa wordt gewerkt aan nieuwe wetgeving: e-Privacyverordening (hierna: ‘EPV’). De EPV zal de cookiewetgeving uit de Tw te zijner tijd gaan vervangen en zal ervoor zorgen dat overal binnen de Europese Economische Ruimte (hierna: ‘EER’) dezelfde cookiewetgeving van toepassing zal zijn. Wanneer deze EPV uiteindelijk van toepassing zal zijn, is nog niet bekend. Slechts indien er in het geheel geen sprake is van het opslaan van gegevens dan wel het uitlezen van gegevens op de randapparatuur van de gebruiker is de cookiewetgeving niet van toepassing.
Voor elke verwerking van gegevens moet je een grondslag hebben. Voor marketingcookies (waaronder natuurlijk de pixel) is toestemming de aangewezen grondslag. Deze toestemmingvraag moet aan strenge eisen voldoen.
Het is ons niet ontgaan: de Autoriteit Persoonsgegevens verbood op die beruchte donderdagmiddag in mei ’19 de cookiewall. Dit betekent kort gezegd dat een website toegankelijk moet blijven, óók wanneer de websitebezoeker de trackingcookies (waaronder dus ook de pixel) niet accepteert.
Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, drukt het als volgt uit: “Het digitaal volgen en vastleggen van surfgedrag op internet via volgsoftware of andere digitale methodes is een van de grootste verwerkingen van persoonsgegevens, omdat vrijwel iedereen op internet actief is. Ter bescherming van de privacy is het daarom van belang dat partijen aan websitebezoekers op een goede manier toestemming vragen.’’
‘’Mensen kunnen op die manier welbewust en op de juiste manier gebruik maken van hun recht op bescherming van persoonsgegevens. Als op een website wordt gevraagd om toestemming voor tracking cookies en bij weigering daarvan toegang tot de website of service niet mogelijk is, staan mensen onder druk hun persoonsgegevens af en dat is onrechtmatig”, aldus Wolfsen.
Tracking via pixels is dus wel toegestaan, maar dient met voldoende waarborgen te worden omkleed. Dit betekent dat de websitehouder voorafgaande toestemming dient te vragen en dat de pixel pas mag worden gebruikt wanneer die toestemming daadwerkelijk is gegeven.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.