Heb je net een website bezocht met advertenties? Dan is de kans groot dat in een fractie van een seconde een veiling plaatsvond om jouw aandacht op te kunnen eisen met de getoonde advertenties. Maar in die milliseconden lekt er ook informatie over jou weg naar allerlei bedrijven zonder dat je hier goed zicht op of controle over hebt.

Toezichthouder moet optreden

Dagelijks vindt deze praktijk miljarden keren plaats bij miljoenen internetgebruikers. Deze massale privacyschending moet stoppen. Daarom verzoeken we de Autoriteit Persoonsgegevens om hiertegen op te treden.

Advertentiehandel in milliseconden

We hebben het hier over de praktijk van real time bidding (RTB). RTB is een geautomatiseerde veilingmethode waarbij advertentieruimte op websites in enkele milliseconden en zonder menselijke tussenkomt verkocht wordt aan adverteerders.

Elke keer wanneer je een website bezoekt die gebruik maakt van RTB, worden er via een bid request persoonlijke gegevens van je gedeeld met tientallen zo niet honderden bedrijven. Dit kan onder andere gaan om informatie over je exacte locatie, wat je online leest, luistert of kijkt, gevoelige informatie over je gezondheid of seksueel gedrag, en unieke codes waarmee bedrijven je online kunnen blijven volgen en een profiel kunnen opbouwen. Het doel is om hiermee biedingen van potentiële adverteerders aan te trekken om aan jou een advertentie te tonen.

Op de achtergrond zijn er veel bedrijven betrokken bij RTB, maar in deze sector staan twee standaarden centraal. Het raamwerk van Google, Authorized Buyers, en het raamwerk van de brancheorganisatie voor digitale marketing IAB, OpenRTB.

Persoonsgegevens vogelvrij

Dagelijks worden miljarden van zulke bid requests verstuurd via deze twee standaarden. Zo belandt intieme informatie over internetgebruikers in handen van allerlei bedrijven waar je niet op een toegankelijke manier over wordt geïnformeerd, laat staan op een eerlijke manier toestemming voor kan geven. Niet oké dus.

Bovendien is er nauwelijks zicht op wat er vervolgens met al die persoonsgegevens gebeurt. Dat komt door de wijze waarop deze standaarden voor RTB zijn opgezet. Er staan wel wat summiere afspraken op papier. Maar maatregelen om daadwerkelijk controle over de gegevens te behouden, ontbreken. Je persoonsgegevens zijn eenvoudigweg niet meer veilig zodra ze in enkele milliseconden via real time bidding verspreid worden.

Je kan het vergelijken met de situatie destijds bij Facebook waardoor Cambridge Analytica ongestoord gegevens van gebruikers kon verzamelen en miljoenen mensen kon profileren. Misschien was het niet in lijn met de voorwaarden van Facebook, maar Facebook maakte het weglekken van persoonsgegevens wel mogelijk en deed er lange tijd niets tegen. Die situatie kan zich ook voordoen bij real time bidding maar dan op nog veel grotere schaal.

Schending privacyregels

Deze praktijk gaat lijnrecht in tegen een aantal basisregels uit de Algemene verordening gegevensbescherming (AVG), zoals:

• de verplichting om persoonsgegevens goed te beveiligen en hiervoor technische en organisatorische maatregelen te treffen;
• transparant te zijn over hoe je persoonsgegevens gebruikt en deelt;
• een wettelijke grondslag hebben voor het gebruik, zoals toestemming;
• personen om wiens gegevens het gaat in staat stellen om hun rechten, zoals het recht op inzage, op toegankelijke wijze uit te kunnen oefenen.

Op al deze punten scoort real time bidding via het raamwerk van Google en de IAB een dikke onvoldoende. Hoog tijd dus dat de privacytoezichthouder ingrijpt!

Internationale druk

We staan niet alleen in onze bezwaren. Eind vorig jaar en begin dit jaar zijn vergelijkbare klachten ingediend tegen deze praktijk in het Verenigd Koninkrijk, Ierland en Polen. Daar komen vandaag naast ons handhavingsverzoek ook nog klachten bij in Spanje, België, en Luxemburg. Kortom, een goede gelegenheid voor Europese privacywaakhonden om gezamenlijk hun tanden te laten zien.