Gepersonaliseerde advertenties: wat gaat er veranderen?

Share
Share on linkedin
Share on facebook
Share on twitter

Het overkomt iedereen: wanneer we de internetbrowser openen en een willekeurige site bezoeken, krijgen we meteen een spervuur aan advertenties te zien. Die advertenties zijn over het algemeen aangepast aan onze interesses. Zo is de kans bijvoorbeeld groot dat je advertenties voor schoenen te zien krijgt, wanneer je de dagen daarvoor op internet naar schoenen hebt gezocht. Maar hoe werkt dat eigenlijk vanuit het perspectief van privacy? Mogen onze interesses worden geregistreerd om de juiste advertentie te kunnen tonen, en onder welke voorwaarden?

De Europese Commissie heeft in december 2020 een wetsvoorstel ingediend voor een verordening: de Digital Services Act, ofwel de Wet inzake Digitale Diensten. Het Europees Parlement heeft op 20 januari 2022 een aantal amendementen doorgevoerd met betrekking tot het wetsvoorstel van die verordening. Onderdeel daarvan is dat het gebruik van gepersonaliseerde advertenties verder aan banden worden gelegd. In deze bijdrage bespreken we het huidige juridische kader met betrekking tot gepersonaliseerde advertenties (of zogenoemde ‘targeted ads’) en wat er gaat veranderen als gevolg van de amendementen van het Europees Parlement.

Gepersonaliseerde advertenties onder de AVG

Om advertenties te kunnen personaliseren, hebben tech-bedrijven zoals sociale media en search engines persoonsgegevens nodig. Daarbij kan gedacht worden aan je naam, leeftijd en woonplaats, maar ook aan welke websites je bezoekt en bij wie je vaak in de buurt bent (en met wie je dus wellicht interesses deelt). De Algemene Verordening Gegevensbescherming schrijft voor dat er een grondslag moet zijn voor het verzamelen van die persoonsgegevens. Een grondslag die gebruikt kan worden in deze context is toestemming van de betrokkene, overeenkomstig art. 6.1.a van de AVG. De vereisten van die toestemming zijn dat deze:

– vrij is gegeven. Dat betekent dat de beschikbaarheid van de dienst niet afhankelijk mag zijn van de aanwezige toestemming. Concreet: Google mag zijn diensten niet weigeren omdat de betrokkene toestemming voor de verwerking van zijn persoonsgegevens weigert.

– specifiek is. Het moet voor de betrokkene duidelijk zijn met welk doel zijn gegevens worden verwerkt.

– wordt gegeven op een geïnformeerde basis. Het moet voor de betrokkene duidelijk zijn op welke manier zijn persoonsgegevens precies worden verwerkt.

– ondubbelzinnig is. Dat betekent dat er een actieve handeling van de betrokkene vereist wordt voor het verlenen van de toestemming. Het vakje waarmee toestemming kan worden gegeven op een website mag bijvoorbeeld niet al aangekruist zijn.

De Data Protection Commission (DPC, het Ierse equivalent van de Autoriteit Persoonsgegevens) oordeelde in oktober dat Facebook geen toestemming van betrokkenen nodig heeft, omdat de grondslag waarop Facebook het verwerken van persoonsgegevens baseert het uitvoeren van de overeenkomst tussen Facebook en de betrokkene is, in overeenstemming met art. 6.1.b. van de AVG. Daar stonden we in oktober uitgebreid bij stil. Daarmee constateert de Data Protection Commission dat de dienst die Facebook aanbiedt niet primair het creëren van een sociaal netwerk is, maar dat het aanbieden van relevante advertenties aan de gebruiker een integraal onderdeel van het businessmodel van Facebook is. Volgens die redenering is het onmogelijk de dienst te leveren zonder daarbij de persoonsgegevens van de betrokkene te verwerken om te kunnen bepalen welke advertenties relevant zijn.

In het algemeen geldt dat voor verwerking van zogenoemde bijzondere persoonsgegevens men geen beroep kan doen op de grondslag van het uitvoeren van een overeenkomst op grond van art. 9 AVG. Dat betekent dat bedrijven die bijzondere persoonsgegevens verwerken om gepersonaliseerde advertenties te tonen, toestemming nodig hebben voor het verwerken van die bijzondere persoonsgegevens. Persoonsgegevens zijn onder meer bijzonder wanneer daaruit het ras of de etnische afkomst, politieke opvattingen, religie of seksuele geaardheid kan worden afgeleid. Daarnaast zijn genetische en biometrische gegevens bijzondere persoonsgegevens.

Het is lastig te zeggen wie tot op welke hoogte bijzondere persoonsgegevens verwerkt om advertenties te personaliseren, aangezien daar geen onderzoek over te vinden is, het vanuit adverteerders en tech-bedrijven niet transparant wordt gecommuniceerd en ook een motivatie voor het amendement door het Europees Parlement vooralsnog ontbreekt.

Wat gaat er veranderen?

De online markt wordt op dit moment gereguleerd door de E-Commerce-richtlijn en de nationale wetgeving die daarop is gebaseerd. Deze richtlijn geldt al vanaf 2000 en is daarmee erg verouderd. Online oplichting, haat zaaien en online desinformatie zijn nu een veel grotere maatschappelijke uitdaging dan toen, waardoor nieuwe regulering noodzakelijk is. De wetsvoorstellen voor twee verordeningen, namelijk de Wet inzake Digitale Diensten (de Digital Services Act) en de Wet inzake Digitale Markten (de Digital Markets Act), werden in december 2020 door de Europese Commissie ingediend. Op 20 januari 2022 heeft het Europees Parlement het voorstel voor de Wet inzake Digitale Diensten geamendeerd.

Als gevolg van het amendement door het Europees Parlement mogen bijzondere persoonsgegevens helemaal niet meer worden verwerkt voor het personaliseren van advertenties. Ook mogen er geen persoonsgegevens van minderjarigen worden verwerkt met het doel hen gepersonaliseerde advertenties te tonen. Art. 24.1.b. gaat namelijk als volgt luiden:

Targeting- of amplificatietechnieken waarbij persoonsgegevens van minderjarigen of persoonsgegevens als bedoeld in artikel 9, lid 1, van Verordening (EU) 2016/679 worden verwerkt, bekendgemaakt of geïnfereerd met het oog op het tonen van reclame, zijn verboden.”

Dat betekent dat veel tech-bedrijven hun privacy policy zullen moeten wijzigen wanneer de verordening in werking treedt.

Conclusie

Op dit moment zijn er twee grondslagen waarop tech-bedrijven persoonsgegevens verwerken voor het personaliseren van advertenties. Ten eerste kan er toestemming worden gevraagd van de betrokkene wiens persoonsgegevens worden verwerkt. Daarnaast kunnen persoonsgegevens worden verwerkt in het kader van het uitvoeren van de overeenkomst met de betrokkene, waarvoor verwerking van persoonsgegevens noodzakelijk is. Bij verwerking van bijzondere persoonsgegevens voor gepersonaliseerde advertenties is onder de AVG toestemming vereist.

Dat gaat veranderen, doordat het Europees Parlement de Digital Services Act op 20 januari 2022 zodanig heeft geamendeerd dat het na inwerkingtreding van de verordening verboden zal zijn om bijzondere persoonsgegevens en persoonsgegevens van minderjarigen te verwerken voor het personaliseren van advertenties.

Stefan Flipse

Stefan Flipse

Stefan heeft de master International Technology Law aan de VU afgerond. Zijn interesse gaat uit naar vraagstukken binnen het technologierecht en naar talen. Daarom studeert hij op dit moment Frans in Lyon.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.