De manier waarop online reclame wordt verkocht moet na een uitspraak van de Belgische privacytoezichthouder drastisch op de schop.

Ieders ergernis

Het is een ergernis van iedereen: als je een website bezoekt moet je eerst een irritante pop-up wegklikken. Die pop-ups zijn er niet voor niets. En ze zijn ook niet voor niets zo irritant. Kijk, volgens de Europese privacyregels moeten bedrijven eerst om jouw toestemming vragen als ze iets met jouw persoonsgegevens willen. Maar die toestemming is met de manier waarop het nu gaat niet zoveel waard. Als jij op "Akkoord" hebt geklikt, heb je namelijk nog altijd geen idee waarvoor je precies toestemming hebt gegeven. En als je wél de moeite neemt om te weten dat te achterhalen, zie je al snel door de bomen het bos niet meer. Je krijgt dan vaak lange lijstjes met een overdaad aan informatie die lang niet altijd begrijpelijk is. Met als gevolg dat je ook dan nog altijd niet goed weet waarvoor je toestemming geeft.

In strijd met de wet

Dat moet in strijd zijnLees hier het persbericht van de Belgische toezichthouder met de Europese privacyregels, dachten wij. Daarom stuurden we in mei 2019 een zogenaamd verzoek tot handhaving aan de Nederlandse toezichthouder. We vroegenOns verzoek aan de Autoriteit Persoonsgegevens uit 2019 aan de Autoriteit Persoonsgegevens om er voor te zorgen dat de belangrijkste uitbater van dat systeem, IAB, zich aan de wet ging houden. De IAB is de Europese brancheorganisatie van digitale adverteerders. En dat deden niet alleen wij. Op andere plekken in Europa deden een aantal andere digitale burgerrechtenorganisaties hetzelfde. Nu heeft de Belgische toezichthouder een besluit genomen: het Real Time Bidding-systeem van de IAB is in strijd met de wet.

Veiling van persoonsgegevens

Het wat? Ja, precies. Dat Real Time Bidding-systeem is een volledig geautomatiseerd systeem om advertentieruimte op websites in een fractie van seconden te verkopen aan adverteerders. Daarbij worden gegevens over internetgebruikers met tientallen, zo niet honderden, partijen gedeeld. Zo’n "bid request" wordt in een fractie van een seconde verzonden zodra je een website bezoekt die voor het tonen van advertenties gebruikmaakt van dit systeem. Het kan gaan om informatie over je online leest of bekijkt, je IP-adres, je geografische locatie, informatie over je apparatuur, en unieke kenmerken (tracking ID) en de daaraan gekoppelde informatie. Maar als je toestemming geeft in die pop-up is je niet duidelijk welke gegevens precies met welke partijen precies worden gedeeld.

Op de schop!

De toezichthouder bepaalde vandaag dat de IAB op verschillende manieren de privacyregels overtrad. De IAB krijgt voor haar overtredingen een boete van 250.000 euro en moet binnen twee maanden een plan hebben om het systeem aan te passen. Ze moet ook alle persoonsgegevens die ze voor dit systeem verzameld heeft verwijderen.

Het betekent dat de manier waarop online reclame wordt gemaakt op de schop moet. Wij roepen dat al langer. Dit systeem van "behavioral advertising" kan alleen bestaan bij de gratie van het bespioneren van het gedrag van internetgebruikers. Wij pleitten voor een verbod op zulke advertentiesDat verbod heeft het in de Europese regelgeving DSA nét niet gehaald, maar er zijn wel andere goede ontwikkelingen. Adverteren moet uiteraard nog altijd kunnen. En er is natuurlijk ook niets mis met een advertentie van een bouwmarkt als je een klusvideo bekijkt. Maar er is wel heel veel mis met het heimelijk toestemming vragen voor spionage, en daar is de toezichthouder het gelukkig mee eens.