Cookiedebat: U surft, wij adverteren
Mogen bedrijven zonder expliciete toestemming individueel gedrag online volgen en vastleggen om daar hun reclame op af te stemmen? Die vraag staat centraal in het debat over het verbieden van gedragsmarketing en gebruik van cookies als belangrijk onderdeel.
Het gaat om ‘behavioral targeting’ ofwel ‘gedragsgericht adverteren’ of, wat algemener ‘gedragsmarketing’; niet de marketing van een bepaald gedrag maar marketing op grond van vertoond gedrag. De nieuwe regel zou grofweg komen te luiden: een aanbieder van een site mag alleen informatie verzamelen van het surfgedrag van de bezoeker (met cookies etc.) voor reclame met uitdrukkelijke toestemming van de gebruiker.
Een stapje terug in de tijd: eind vorige eeuw was er een krachtige lobby van marketingbedrijven om reclame per e-mail toe te staan. De Nederlandse Associatie voor Direct Marketing (DMSA) kwam in augustus 2000 met een gedragscode, die nadrukkelijk uitging van een opt-out systeem: Bedrijven mochten reclame per e-mail versturen tenzij de ontvanger uitdrukkelijk aangaf daarvan niet gediend te zijn.
De DMSA-aanpak leidde al snel tot Kamervragen en bleek nauwelijks politiek draagvlak te hebben. De club ging overigens letterlijke en figuurlijk failliet op onder meer deze zienswijze. Dat gold ook voor het bedrijf Ab.fab dat op juridisch terrein spamzaken verloor van provider Xs4all.
De Opta handhaaft het spamverbod en deelt regelmatig boetes uit, die dan voor de rechter vaak worden betwist. Internationaal werkt het echter voor geen meter: de ongewenste e-mailreclame neemt dusdanige vormen aan dat providers al ruim 90 procent van de berichten moeten filteren. Technisch is het spamverbod mondiaal niet te handhaven.
Opt-out en opt-in
De opvolger van de DMSA heette DDMA en begreep onder leiding van voorzitter Tom Kok het internet wel. De club poogt regelgeving te voorkomen met zelfregulering. Dat mislukte voor telemarketing en de overheid reguleert dit met een Bel me niet register.
Dit heet een opt-out regime: je kan gebeld worden voor telemarketing tenzij je opgeeft dat niet te wensen. Voor spam kwam er dus een -opt-in: alleen toegestaan bij expliciete toestemming voor reclameberichten door de ontvanger. Nu speelt er wederom een kwestie van opt-in of opt-out, maar nu met cookies: bestandjes die exploitanten van websites en adverteerders op pc’s plaatsen om data over surfgedrag te verzamelen. De telecomwet krijgt een Artikel 11.3 A dat luidt:
“Een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker, dient voorafgaand aan de daadwerkelijke toegang of opslag de gebruiker:
- a. op een duidelijke en nauwkeurige wijze te informeren omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en
- b. ondubbelzinnig toestemming te vragen en deze te verkrijgen voor de desbetreffende handeling…
2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op en andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen gegevens.”
Toestemming is niet nodig voor dataverzameling (via cookies etc.) die het surfen faciliteert, dus bijvoorbeeld voor inloggegevens etc. op de eigen site van degene die cookies wegzet. Overigens zegt het College Bescherming Persoonsgegevens in een gevraagde reactie dat ze nog met regels zal komen voor gedragsgerichte marketing. Ook heeft de minister van Economische Zaken het CBP gevraagd om advies over de gewraakte passages in de voorgestelde wetswijziging
Gericht adverteren nodig
Cookies vormen het belangrijkste middel voor behavioral targeting ofwel ‘gedragsgericht adverteren’ of, wat algemener ‘gedragsmarketing’, niet de marketing van een bepaald gedrag maar marketing op grond van vertoond gedrag. Het gaat om, nog kernachtiger, ‘individueel adverteren’.
De verzamelde data komen in een databank van een exploitant of uitgever van een website en/of een adverteerder en/of een advertentienetwerk. Met de data kan een gedetailleerd en daarmee privacygevoelig beeld worden verkregen van individuele internetgebruikers. Het gaat om de vraag of die commerciële dataverzameling proportioneel is in verband met het doel – gericht reclame kunnen brengen – of niet. Ze krijgen daardoor beter op hen toegespitste reclame wat hen volgens de aanbieders ten goede komt. Het is dus, zeggen aanbieders, nuttig dat deze dataverzameling wordt toegepast ook als de gebruiker er zelf geen invloed op kan uitoefenen.
Dit is behalve een principieel ook een economisch vraagstuk. Internet kent een zogenaamde ‘gratis’ economie: uitgevers en andere websiteaanbieders leunen doorgaans eenzijdig op advertentie-inkomsten. Google is succesvol omdat de advertenties relevant zijn en een prijs hebben gerelateerd aan de inhoud van websites en het zoekgedrag en de adverteerder ‘prestatieloon’ betaalt: afrekening naar kliks. Dus hoe beter de data, des te meer kliks en meer inkomsten. Inhoud van websites wordt meer en meer betaald met persoonlijke data.
Hoewel exploitanten aan adverteerders beloven dat ze ver kunnen gaan met gerichte reclame, staat dit nog in de kinderschoenen. Zelfs voorloper Google vertoont nog heel vaak voor de gebruiker volstrekt irrelevante. Dat kan nog veel beter en daartoe is opbouw en exploitatie van databestanden essentieel.
Een cookie van websites (http) is een middel om data te verzamelen. Het al dan niet verbieden van het gebruik ervan zonder voorafgaande toestemming smoort de vorming van persoonlijke databestanden in de kiem. Maar is dat afdoende en zinvol?
Naar een hoger niveau: moet de regelgeving zich niet richten op de databestanden en het gebruik ervan? Moet een gebruiker daar niet altijd zelf toegang toe hebben? Hoe verhouden de commerciële dataverzamelingen zich tot die van de overheid? Wat is nog proportioneel? Naar een nog hoger niveau: is het ‘gratis’ model van internet met de rekening in de vorm van reclame, waarvan de opbrengsten stijgen met het gebruik van persoonlijke data, een economie die we willen handhaven en zo ver mogelijk uitbreiden?
Juridische discussie
De discussie over cookies is vooral juridisch gevoerd: druist gebruik in tegen privacyregels? Jeroen Koëter van De Brauw publiceerde hier in 2009 uitvoerig en helder over, recent ook Patrick Wit en Martijn van Bemmel van Kennedy van der Laan met een artikel in Juridisch Up to Date. We putten uit deze artikelen.
‘First party cookies’ is gebruik binnen een website, vaak bedoeld om een bezoeker te helpen zo snel mogelijk bij een gewenste pagina te komen. Dat varieert tot het ‘onthouden’ van inlogdata tot voorkeuren binnen een site. Ze dienen het gemak van de surfer.Voor reclame wordt veelal surfgedrag binnen een groep verschillende websites vastgelegd met ‘ third party cookies’ . Een surfer die iets wil kopen maar het bestelproces afbreekt kan een dag later een andere website bezoeken die door datzelfde advertentienetwerk wordt bediend, en reclame getoond krijgen voor juist dat product waarin zij interesse heeft.
Een nog verdergaande variant, bijvoorbeeld toegepast door NebuAd en Phorm, verzamelt data via de verbinding van de provider met behulp van ‘deep packet inspection’: precies vastgelegd welke pagina’s en eventueel andere online diensten een surfer bezoekt. In Engeland en de VS ontstonden vergaande conflicten als gevolg van deze derde vorm. Die is discutabel en komt hier verder niet aan bod. Momenteel geldt: voor de third party cookies moet de website in privacyverklaringen de gebruiker voorzien van duidelijke en volledige informatie over de afzender en de doeleinden van de verwerking, en een opt-out mogelijkheid bieden. Dat laatste kan via de browser, maar dat is onbekend en zelden expliciet vermeld. (Anders is dat in onze privacyverklaring.)
Onder het bewind van Eurocommissaris voor digitale zaken Viviane Reding, de voorganger en ook vaak tegenspeler van liberaal Neelie Kroes, is de Europese Commissie tot een richtlijn gekomen die eind 2009 is aangenomen door het Europarlement en de lidstaten. ‘Third party’ cookiegebruik wordt aan banden gelegd: er is vooraf toestemming van de gebruiker nodig, dus opt-in.Volgens Koëter is dat terecht, om de ongebreidelde dataverzameling het hoofd te bieden. Hij noemt echter vooral Amerikaanse bronnen een artikel in New York Times, het aanslaan door waakhond Center for Democracy & Technology en een consumentenactie in de VS.
In een persoonlijke test, uit te voeren bij het Network Advertising Initiative (NAI) schrok hij ervan dat ‘ maar liefst’ 15 van de 27 deelnemende advertentienetwerken data over hem verzamelen met cookies. Op de site kun je daarvoor overigens een dam opwerpen met ‘ opt-out’. De grootste verzamelaars Google, Yahoo, AOL, MySpace en MSN leggen gezamenlijk maandelijks ruim 300 miljard handelingen van hun gebruikers vast. Google heeft de meeste combinatiemogelijkheden met data daar ook zoekopdrachten en Gmail onderwerpen kunnen worden gekoppeld.
Voorlichting volstaat niet
Gaat het eigenlijk wel om ‘persoonsgegevens’ in een cookie, dat wil zeggen
‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’? Immers, een pc met een IP-nummer als identificatie is als een auto met een nummerbord. De bestuurder is wel ergens bekend maar niet bij iedereen. Kan de identiteit van de natuurlijke persoon redelijkerwijs, zonder onevenredige inspanning, worden vastgesteld met surfdata?
Antwoord: ja. Ook Europese privacytoezichthouders vinden dat. Door het analyseren van grote hoeveelheden gegevens (bijvoorbeeld zoeklogs) die zijn gekoppeld aan lP-adressen kunnen schijnbaar anonieme gegevens worden herleid tot een naam. Het is ook het uitgangspunt van regelgeving. Als een pc door meer personen wordt gebruikt ligt dat anders. Meestal is een pc is niet voor niets een ‘personal’ computer, en een mobiele telefoon (iPhone) al helemaal.
Koëter meent dat ondanks pogingen van het bedrijfsleven om door voorlichting over de werking van gedragsmarketing met cookies zorgen bij internetgebruikers weg te nemen, dit wettelijk niet volstaat. Privacy wordt geschonden: “De gedetailleerde surfprofielen die worden opgebouwd door online advertentienetwerken kunnen veel aspecten blootleggen van het privéleven van internetgebruikers.”
Dat was in september 2009, een paar maanden later werd zijn opvatting Europese wet. Het gewijzigde artikel 5 lid 3 van de e-Privacyrichtlijn eist nu voor het plaatsen van een cookie de toestemming van de gebruiker, na te zijn voorzien van duidelijke en volledige informatie over onder meer de doeleinden van de verwerking. (zie 26 pagina’s details) Het vereisen van toestemming betekent een overstap van een ‘opt-out’ naar een ‘opt-in’ regime. Om een cookie te plaatsen, is dus de toestemming van de gebruiker nodig.
Browserinstelling genoeg?
Wel wordt in de toelichting van de nieuwe Europese regels de mogelijkheid opengelaten dat de toestemming door de gebruiker ook kan worden gegeven als die zijn browser geen cookies laat tegenhouden: dan is het in de praktijk nog een opt-out.
De Artikel 29 Werkgroep van de nationale privacytoezichthouders zoals het CBP in Den Haag, is hiertegen: bij het plaatsen van cookies mag niet worden afgegaan op de (standaard)instellingen van de browser. Standaard accepteren vrijwel alle browsers cookies automatisch. Gebruikers weten niet of nauwelijks hoe en war ze in de browser hun cookies kunnen beheren. In het Nederlandse wetsvoorstel is dit standpunt gevolgd: browserinstellingen volstaan niet als opt-in methode.
Dertien landen hebben in Brussel bezwaar aangetekend tegen de opt-in eis die feitelijk in de nieuwe Richtlijn staat. Het voortdurend moeten vragen om toestemming voor cookies bij bezoek aan een website is praktisch onuitvoerbaar en bovendien niet te handhaven. Nederland ondertekende dat bezwaar echter niet.
Dat bezwaar tegen opt-in in andere Europese landen komt tot stand onder sterke druk van het bedrijfsleven. Ook in Nederland draait, later, een lobby van marketing en uitgevers op volle toeren. Deze week kwamen de directmarketingclub DDMA, de uitgeversbond NUV en online reclameclub IAB met een verklaring; het Nederlandse wetsvoorstel wijkt af van de Europese lijn van standpunten door lidstaten, is nauwelijks uit te voeren en werkt ernstig verstorend voor de handel. Uitgevers stellen dat de opt-in eis zal leiden tot vermindering van inkomsten en dus tot verschraling van de online pers. Vanwege de meningsverschillen opende Economische Zaken over de Nederlandse implementatie een publieke consultatieronde via internet die tot 28 mei 2010 duurt.
Praktijk versus principe
Principieel is afdoende duidelijk dat gedragsmarketing momenteel al privacy schendt en dat wordt slechts ernstiger. Er komen immers ook nieuwe, steeds geavanceerder methoden van verzameling van data, met als bekendste de flash cookies maar ook beacons die je met de huidige browserinstellingen niet kunt tegenhouden. Daarop bouwen volstaat niet.
Partijen als Google, Microsoft en Yahoo verzamelen, na de overname van reclamebedrijven als DoubleClick, enorme hoeveelheden persoonlijke informatie. De opt-in eis voor cookies is principieel een juist middel om daar een dam tegen op te werpen. Maar vervolgens komen de praktische bezwaren: handhaving lijkt momenteel vrijwel onuitvoerbaar. Met pop-ups toestemming vragen voor cookies en die toestemming per persoon registreren door websites vergt het nodige aan inspanningen en investeringen. De gebruiker zit op deze methode niet te wachten. Zijn er slimmere methoden om opt-in goed te regelen?
En hoe kun je in vredesnaam cookies geplaatst vanaf een buitenlandse server laten voldoen aan de Nederlandse wet met een (in het Nederlands?) gestelde vraag of de gebruiker die wil accepteren? En kan een toezichthouder als de Opta de buitenlandse partij ook sancties opleggen? Of kun je gewoon zeggen: weg met third party cookies? We beperken ons voor reclame tot data die vrijwillig zijn verstrekt, zowel op sociale media als met expliciete opgaven van potentiële kopers van producten? Wordt het tijd dat consumenten zelf bepalen welke soorten reclame wel en niet welkom zijn? Of is het onzinnig om een online economie die zich nu vijftien jaar heeft gevormd in de ontwikkeling ernstig af te remmen? En een eenzijdige eis op te leggen die bijzonder schadelijk is voor exploitatie en dus voor de economie? En is het niet belachelijk dat als Europa of zelfs Nederland geïsoleerd te willen regelen?
De keuze is nu in feite tussen verschillende principes en wat vertroebeld door praktische problemen over pop-ups en browserinstellingen. Moeten we de wet aanpassen aan wat praktisch mogelijk is of moeten we in de praktijk technologie en methoden verzinnen om het opt-in principe voor de toekomst voor online marketing in stand te kunnen houden? Belangrijk is ook de vraag wellicht of wetgeving zich moet richten op beheer van data, in databanken, en niet op de verzameling van data. Kun je als wetgever niet beter voorschrijven dat een persoon altijd toegang moet hebben tot de over hem opgeslagen data? En deze moet kunnen verwijderen?
Terzijde: foutieve wet in Nederland
Wettelijk is er iets merkwaardigs aan de hand schrijft Koëter en eerder viel dat Gerrit-Jan Zwenne van Bird & Bird al op: de Nederlandse wet voor cookies (artikel 4.1 van de BUDE) had een exacte vertaling van de Europese e-Privacyrichtlijn moeten zijn, maar gaat verder: alle informatie over het te plaatsen cookie moet voorafgaand aan de gebruiker worden verstrekt.
Dit komt in de praktijk neer op het tonen van de informatie in een pop-up venster of een ”floater’. Dit wordt door weinig websites zo gedaan omdat ze vaak als gebruikersonvriendelijk worden gezien. En dit ook een belangrijke reden dat opt-in voor cookies door exploitanten als een onzinnige gedachte wordt gezien
De ‘ grap’ is dat de aanpassing van de telecomwet voor cookies waarover nu zoveel te doen is dit juist wordt bevestigd. De Nederlandse wet schrijft dus eigenlijk dit al voor, maar niemand handelt ernaar. Het is ook niet strafbaar want een adverteerder of webexploitant kan zich beroepen op de verkeerde uitleg van de e-Privacyrichtlijn door Nederland. Ook de Artikel 29 Werkgroep van Europese toezichthouders op de privacy vereist niet meer dat de informatie in een pop-up venster wordt opgenomen.
Lees ook de reacties van experts op Netkwesties:
- Justine Pardoen: ‘Oneerlijk zakendoen’
- Lot Keijzer: Kennis is Key
- Marianne Zwagerman: Altijd inzicht in eigen data zou ideaal zijn
- Bob Stumpel: Filtering
- Rashid Niamat: Oude wijn
NOOT voor marketing-historici: DMSA ging destijds niet failliet aan een zienswijze, maar aan het organiseren van een verliesgevend evenement. Abfab ging niet failliet aan het verliezen van rechtszaken, maar staakte de activiteiten omdat daarvoor de legitimatie bleek te ontbreken.
Dit artikel is eveneens geplaatst op Netkwesties.nl