Social media platform & adverteerder: gezamenlijke verwerkingsverantwoordelijken bij social media targeting

Je kent het wel: na het bekijken van een paar sportschoenen online, kom je diezelfde sportschoenen vervolgens tegen tijdens het scrollen op je social media platform. Wanneer we het hebben over social media, hebben we het vaak ook over de veelheid van advertenties die we hierop te zien krijgen. Hoe zit het nu eigenlijk met de privacyrisico’s die hierbij komen kijken?  De European Data Protection Board (EDPB) heeft guidelines opgesteld over targeting van social media-gebruikers en de vereisten vanuit de privacyregels van de AVG hieromtrent. In deze blog bespreken we de belangrijkste inzichten die de EDPB heeft gegeven over het onderwerp.

Guidelines

De Autoriteit Persoonsgegevens (AP) publiceert samen met de andere Europese privacytoezichthouders guidelines die bepaalde onderwerpen uit de AVG (of in relatie tot de AVG) verduidelijken. Bij de meeste guidelines publiceren de privacytoezichthouders eerst een conceptversie, die een vastgestelde periode open staat voor consultatie. Na afloop van die periode wordt de definitieve versie van de guidelines vastgesteld. Op deze manier kan iedereen opmerkingen of suggesties doorgeven aan de EDPB, die mogelijk zelfs worden gepubliceerd op de website van de EDPB. Door deze procedure ontstaat er als het goed is meer duidelijkheid, vergelijkbaar met een FAQ’s pagina op een website. De openbare consultatie van deze guidelines loopt tot en met 19 oktober 2020.

Wat is targeting?

Social media: voor de één is het een dagelijkse ‘digitale’ sociale bezigheid, een verbinding met familie en vrienden. Voor de ander is het dé plaats om te netwerken, en zakelijke connecties te maken. Alle social media platforms hebben een aantal zaken gemeen: gebruikers maken een profiel aan waarbij zij kunnen communiceren met anderen en informatie kunnen delen. Targeting van deze social media-gebruikers is dé manier om gericht te adverteren en maakt dan ook onmiskenbaar deel uit van het verdienmodel van social media platforms.  Maar wat is dat nu eigenlijk precies? Bij targeting worden reclame-uitingen van adverteerders zo veel mogelijk gericht aan specifieke personen waarvoor deze interessant zijn. Daarom zie jij precies dat ene paar sportschoenen telkens terugkomen, nadat je deze hebt bekeken, maar toch niet hebt aangeschaft.

Zogeheten ‘targeters’ kunnen via social media platforms specifieke uitingen aan specifieke groepen toesturen. Deze uitingen kunnen van allerlei aard zijn, van politieke berichten tot advertenties en alles wat daartussen valt. Hoe meer aansluiting de berichten hebben op de specifieke groep, hoe meer conversie dit oplevert: de boodschap zal worden gericht op een groep die deze graag wil zien/horen. Er ontstaan steeds meer verschillende manieren om gericht te adverteren, waardoor organisaties op basis van veel verschillende categorieën data kunnen werken. De data is veelal afkomstig van het social media profiel (denk aan je relatiestatus die je zelf hebt ingevuld), maar komt ook uit andere (ingekochte) datasets en/of ‘internetgedrag’ van de betrokkene. Welke websites zijn eerder bezocht (op welke locaties?) en wat hebben zij ‘gemeten’ over dat bezoek? Om deze data te verzamelen wordt veel gewerkt met cookies en vergelijkbare technieken.

Gezamenlijke verantwoordelijkheid

Het is duidelijk dat er meerdere partijen betrokken zijn bij social media targeting. De twee belangrijkste spelers in het spel zijn de social media platforms en de organisaties die gericht willen adverteren: de ‘targeters’. Onder de AVG hebben we twee centrale rollen, die van de verwerkingsverantwoordelijke en de verwerker. Waar deze rolverdeling in sommige gevallen kristalhelder is, kan deze bij ingewikkelde commerciële constructies onder organisaties soms wat moeilijker vast te stellen zijn. De guidelines behandelen een aantal specifieke voorbeeldsituaties, met als belangrijkste boodschap dat de ‘targeters’ én de social media platforms in de meeste gevallen gezamenlijk verwerkingsverantwoordelijken zijn. Dit brengt een aantal verplichtingen onder de AVG met zich mee, waarvan wij de belangrijkste hier uiteenzetten.

 Grondslag toestemming

Het social media platform, maar ook de ‘targeters’, moeten beiden als verwerkingsverantwoordelijken een eigen rechtsgeldige grondslag kunnen aantonen voor de verwerking van persoonsgegevens. Hierbij is uitdrukkelijke toestemming de aangewezen grondslag. Het probleem met het gerechtvaardigd belang als grondslag is namelijk dat beide partijen een driestappentoets moeten maken en tot de conclusie moeten komen dat het (commerciële) belang van hen, zwaarder weegt dan de privacy van de betrokkene. Gezien het feit dat er in de meeste gevallen sprake is van profilering en/of tracken voor commerciële doeleinden, gaat deze vlieger niet op: daarvoor is altijd toestemming vereist. Wanneer gebruik wordt gemaakt van social media plugins, cookies of pixels, moeten beide verwerkingsverantwoordelijken zich natuurlijk ook houden aan de cookiewetgeving, en dienen zij voor het gebruik van de cookies (of vergelijkbare technieken) toestemming te vragen. De verwerkingsverantwoordelijken dienen er allebei op toe te zien of er geen bijzondere persoonsgegevens worden verwerkt. Indien dit wél het geval is, zijn beide partijen tevens verantwoordelijk voor een wettelijke uitzondering op het verbod van het verwerken én natuurlijk een rechtsgeldige grondslag voor het verwerken van die bijzondere categorieën.

Informeren

Betrokkenen dienen duidelijk en transparant te worden geïnformeerd over de verwerking van hun persoonsgegevens, zeker ook wanneer er sprake is van social media targeting. De EDPB stelt dat het enkele woord "reclame" onvoldoende duidelijk maakt wat er precies gebeurt. Betrokkenen moeten weten dat hun online websitegedrag wordt gevolgd, verwerkt en gedeeld voor social media targeting. Beide verwerkingsverantwoordelijken moeten de informatieplicht serieus nemen en ook naar elkaar door kunnen verwijzen. De partijen kunnen afspraken maken met elkaar over wie welke informatie levert, mits ze beide verantwoordelijk blijven voor eigen processen. De EDPB geeft een handige suggestie om te weergeven bij advertenties: geef betrokkenen de mogelijkheid om meer informatie te lezen bij de advertenties: "Waarom zie ik deze advertentie?". Het is tevens belangrijk voor betrokkenen om op eenvoudige wijze gebruik te maken van hun rechten, zoals het recht op inzage en toegang tot de persoonsgegevens die worden verwerkt. Om dit te versimpelen, dient er één contactpunt te worden aangewezen door het social media platform en de adverteerder, waar de betrokkene terecht kan.

Data-uitwisselingsovereenkomst

Het feit dat er geen verwerker-verantwoordelijke relatie bestaat tussen de social media platforms en de adverteerders, betekent niet dat zij geen afspraken met elkaar hoeven te maken. De AVG stelt het namelijk ook verplicht voor gezamenlijke verwerkingsverantwoordelijken om de nodige afspraken met elkaar te maken. De EDPB heeft dit meermaals benadrukt. Deze afspraken kunnen partijen vastleggen door het sluiten van een data-uitwisselingsovereenkomst, waarin de mate van verantwoordelijkheden worden vastgesteld én verdeeld, en wordt vastgelegd hoe dit in de praktijk zal worden uitgevoerd. Dit geldt ook voor de eventuele plicht tot het uitvoeren van een DPIA.

Terug naar overzicht