Behavioural targeting: zijn pseudonieme gegevens wel zo onschuldig?
Behavioural targeting is een krachtig marketingmiddel, maar hoe werkt dit precies en mag dit middel zomaar toegepast worden? En gaat de nieuwe Europese Privacyverordening nog wat veranderen aan hoe dit toegepast mag worden?
Bij behavioural targeting wordt het surfgedrag van de bezoeker opgeslagen en geanalyseerd. Dit gebeurt meestal door het plaatsen van een cookie op de computer of telefoon van de bezoeker. Een cookie is een tekstbestandje dat bij ieder websitebezoek wordt geplaatst (of uitgelezen) en die bepaalde gegevens van en over de bezoeker opslaat en registreert. De cookies kunnen zowel door de websitehouder als door een derde geplaatst worden, bijvoorbeeld een advertentienetwerk. Doordat cookies unieke elementen bevatten kunnen advertentienetwerken de persoon herkennen bij een bezoek aan een website waar het netwerk actief is.
Behavioural targeting kan consument afschrikken
Bij behavioural targeting wordt de informatie over het surfgedrag ingezet voor het personaliseren van advertenties. Hierdoor is de kans groter dat een internetbezoeker op de advertentie klikt. Voor de adverteerder is het dus een effectieve methode. Ook voor de internetgebruikers zijn er voordelen. Zo krijgen zij alleen advertenties te zien die voor hen relevant zijn. Toch voelt het niet altijd goed, het volgen van het surfgedrag wordt door velen gezien als een inbreuk op de privacy. Het volgen van mensen op internet kan bovendien een ‘chilling effect’ veroorzaken. Zij passen hun gedrag aan omdat zij weten dat ze gevolgd worden. Of wat te denken van een eenzijdig gepersonaliseerde nieuwssite op basis van je interesses. Is deze methode wettelijk gezien wel toegestaan?
Privacy en persoonsgegevens bij behavioural targeting
Voor het plaatsen van de meeste cookies is toestemming vereist van de internetgebruiker, los van het feit of een cookie inbreuk maakt op het recht op privacy. Is de toestemming verleend, dan moet gekeken worden of het cookie leidt tot een ‘verwerking van persoonsgegevens’.
Een van de vragen die centraal staat is of een cookie als persoonsgegeven is aan te merken. Anders gezegd, is een individu te identificeren door middel van een cookie? De adverteerder zal deze vraag beantwoorden door te roepen dat de cookies en de daarbij opgestelde profielen zijn te kwalificeren als pseudonieme gegevens. Pseudonieme gegevens zijn gegevens die niet herleidbaar zijn tot een persoon zonder het gebruik van aanvullende informatie. Een gehasht wachtwoord is een voorbeeld van pseudonieme data.
Worden de cookies gebruikt voor het opslaan van gegevens als het IP-adres of e-mailadres, of worden ze gebruikt voor het opstellen van een profiel, dan is de Wet bescherming persoonsgegevens (Wbp) van toepassing. Voor het verwerken van persoonsgegevens gelden strenge eisen. Zo moet voor elke verwerking van persoonsgegevens een legitieme grondslag bestaan, bijvoorbeeld ondubbelzinnige toestemming van de betrokken persoon.
Naast de grondslag gelden er nog meer strenge eisen uit de wet, zoals de informatieplicht, de beveiligingsplicht en de beginselen van proportionaliteit en subsidiariteit. Dit laatste brengt met zich mee dat de inbreuk op de belangen van betrokkene (bijvoorbeeld een consument) niet onevenredig mag zijn in verhouding tot het doel van de gegevensverwerking, en dat dit doel redelijkerwijs niet op een andere, voor de betrokkene minder nadelige, wijze kan worden bereikt.
De nieuwe Europese Privacywetgeving over cookies
De komst van de nieuwe Europese Privacyverordening brengt meer duidelijkheid over de vraag of cookies persoonsgegevens zijn. De verordening geeft expliciet aan dat pseudonieme gegevens persoonsgegevens kunnen zijn, zodra iemand te isoleren (‘single-out’) is uit een grote groep gegevens. Dit kan doordat een cookie vaak unieke cijferreeksen bevat, waardoor cookies onderling van elkaar zijn te onderscheiden.
De Europese toezichthouder zal in de toekomst beter kunnen optreden tegen partijen die onrechtmatig persoonsgegevens verwerken. Nu ontlopen advertentiebedrijven nog vaak handhaving omdat de lidstaten verschillende regelgeving gebruiken.
Behavioural targeting is een effectief marketingmiddel voor bedrijven. Wel moeten zij goed opletten dat de privacyregels worden nageleefd en dat het middel met beleid wordt toegepast. Voorkomen moet worden dat de internetgebruiker het gevoel krijgt gevolgd te worden en zijn gedrag gaat aanpassen. De Europese Privacyverordening, die in mei 2018 ingaat, moet in ieder geval voor een eenduidig regime binnen Europa gaan zorgen.
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond