Online marketing

Compliant in een cookieless world: de 5 belangrijkste juridische ontwikkelingen

0

Het verdwijnen van third-party cookies houdt de gemoederen in de marketingsector al een tijd bezig. Ook is er een aantal juridische ontwikkelingen van invloed op het cookievraagstuk én je marketingstrategie in het algemeen. De boodschap vanuit Europa is duidelijk: als we als sector marketing niet privacyvriendelijker maken, is de kans groot dat wetgevers en toezichthouders ons op de lange termijn dwingen dat te doen.  

De DDMA Barometer 2022 laat zien dat de afhankelijkheid van third-party cookies in de marketingsector nog steeds groot is. Daarom bespreek ik in dit artikel de 5 belangrijkste juridische ontwikkelingen die invloed hebben op het gebruik van cookies.

1. ePrivacy Verordening

De wet die de ePrivacy Richtlijn (en daarmee Telecommunicatiewet) moet vervangen, ligt al sinds 2017 op de tekentafel in Brussel. Eén van de hete hangijzers in dit proces is het gebruik van cookies. De discussie gaat met name om 2 punten:

  1. Moet er een mogelijkheid komen tot het blokkeren van third-party cookies via de browser?
  2. Moet een cookiewall verboden worden?

Door het langzame besluitvormingsproces lijkt de techniek en de praktijk de ePrivacy Verordening op sommige punten al te hebben ingehaald (want de uitfasering van third-party cookies door de grote tech-partijen is zoals bekend al begonnen).

2. Digital Services Act

Op 16 november is de finale tekst van de Digital Services Act (DSA) van kracht geworden. In dit pakket van nieuwe regels voor digitale diensten staan een paar interessante punten die invloed hebben op het gebruik van cookies en gepersonaliseerd adverteren:

  • Verbod op gerichte advertenties voor kinderen.
  • Verbod op gerichte advertenties die zijn gebaseerd op de verwerking van bijzondere persoonsgegevens. Het gaat dan bijvoorbeeld om persoonsgegevens over iemands ras, godsdienst of gezondheid.
  • Verbod op het gebruik van dark patterns. Het is voor online platforms niet langer toegestaan ‘online interfaces’ zodanig te ontwerpen dat gebruikers daardoor worden misleid of gemanipuleerd.
  • Regels over transparantie ten aanzien van online reclame: er komen extra transparantieverplichtingen voor online platforms wanneer zij online advertenties tonen. Zo moet uit een register onder andere duidelijk blijken namens wie reclame wordt gemaakt en wie voor de reclame heeft betaald (als dit een andere partij is).

3. Nudging in cookiebanners

Door gebruik van personalisatie en algoritmes proberen we consumenten te helpen bij het maken van keuzes. Het beïnvloeden van consumenten ligt onder het vergrootglas bij de (Europese) wetgever en toezichthouders. ‘Nudging’ is in beginsel toegestaan, maar de wet stelt wel grenzen aan die beïnvloeding.

In Duitsland en Frankrijk zijn al boetes gevallen voor het gebruik van dit soort technieken in cookiebanners, onder meer voor de cookiebanner van Google. Ook in Nederland besteedt de ACM in haar Leidraad Bescherming van de Online Consument aandacht aan nudging. Daarnaast heeft NOYB (de organisatie van privacyactivist Max Schrems) dit jaar opnieuw honderden klachten hierover ingediend bij verschillende toezichthouders in Europa.

4. Transparancy and Consent Framework onder vuur

De Belgische Gegevensbeschermingsautoriteit (GBA) heeft op 2 februari 2022 geoordeeld dat het Transparency and Consent Framework (TCF) in strijd is met de AVG. Het TCF wordt veel gebruikt op de Europese online advertentiemarkt. Organisaties gebruiken het systeem om cookies te plaatsen voor het verzamelen van persoonsgegevens, die ingezet worden in het Real Time Bidding-proces voor online advertenties. IAB Europe, de ontwikkelaar van het systeem, kreeg een boete van 250.000 euro en 2 maanden de tijd om met een plan te komen waarmee de strijdigheid met de AVG wordt opgelost.

Inmiddels heeft IAB de nodige aanpassingen gedaan, maar ze zijn ook in beroep gegaan tegen het besluit. De Nederlandse Autoriteit Persoonsgegevens heeft als reactie hierop in de media ook waarschuwende taal laten horen. Tot op heden zijn er in Nederland echter geen boetes gevallen voor dit systeem.

5. Data delen buiten de EU

Een laatste heikel dossier is het delen van data buiten de EU. Sinds het Privacy Shield in juli 2020 ongeldig werd verklaard, is doorgifte van persoonsgegevens naar de Verenigde Staten officieel niet meer toegestaan. In lijn daarmee hebben verschillende Europese privacytoezichthouders geoordeeld dat het gebruik van Google Analytics in specifieke omstandigheden in strijd is met de AVG.

Een duidelijke oplossing is er nog niet. Maar onlangs hebben de Europese Commissie en de VS wel een principeakkoord gesloten om hiermee aan de slag te gaan. Bovendien heeft de Amerikaanse president Biden hier inmiddels de eerste stap in gezet met een ‘Executive Order’. Daarnaast heeft Google aangekondigd in de nieuwe versie van Google Analytics (GA4) meer privacymaatregelen te nemen.