Een kleine schokgolf is het wel, dat oordeel van de Autoriteit Persoonsgegevens. Begin deze maand oordeelde de Nederlandse privacywaakhond dat bedrijven geen gegevens meer mogen verzamelen via de cookiepop-up die op veel websites wordt gebruikt. Daardoor staat het advertentiemodel van talloze bedrijven in heel Europa op losse schroeven. Vanwaar dit besluit en wat zijn de gevolgen? Vijf vragen.

Wat is er precies aan de hand?

Sinds 2018 zijn websites verplicht gebruikers om toestemming te vragen voor het plaatsen van cookies. Om bedrijven een handje te helpen, ontwikkelde de branchevereniging voor adverteerders IAB Europe, een systeem met pop-ups.

Maar begin februari oordeelde de Belgische Gegevensbeschermingsautoriteit dat het systeem te vaag en niet transparant is. IAB Europe kreeg een boete van 250.000 euro vanwege privacyschending.

In het kielzog van de Gegevensbeschermingsautoriteit wraakten ook andere Europese toezichthouders het systeem, waaronder de Autoriteit Persoonsgegevens.

Wat is er mis met het cookiesysteem?

Wanneer consumenten een website bezoeken, moeten ze dan ook aangeven of ”derden” gegevens over hen mogen verzamelen. Maar volgens diverse privacyorganisaties hebben websitebezoekers die toestemming geven voor het verzamelen van gegevens geen idee wat er met hun gegevens gebeurt. Bovendien konden bedrijven de IP-adressen van bezoekers achterhalen. IP-adressen vallen echter onder de persoonsgegevens, wat betekent dat het systeem niet voldoet aan de Algemene Verordening Gegevensbescherming (AVG).

Wat zijn de gevolgen hiervan voor adverteerders?

Volgens toezichthouders kan het systeem van IAB Europe niet meer worden gebruikt. Dat betekent dat bedrijven niet meer gegevens kunnen verzamelen zoals ze dat tot nu toe deden. Dat heeft gevolgen, want met de verzamelde gegevens maakten ze profielen. Dat zijn een soort groepen (zoals man, 30-40 jaar, hoger opgeleid, interesse in auto’s, tweede woning) die helpen om iedere consument advertenties te tonen die bij zijn of haar specifieke situatie passen. Adverteerders moeten dus op zoek naar andere manieren om gegevens te verzamelen en relevante advertenties te tonen. Bovendien kunnen ze grote omzetverliezen tegemoet zien als ze geen reclamevoorkeuren van bezoekers meer mogen registreren.

Het oordeel van de Belgische Gegevensbeschermingsautoriteit zet ook de deur open voor rechtszaken. Consumenten en belangengroepen kunnen mogelijk claims indienen vanwege de schending van hun privacy. Er klinken al geluiden dat bedrijven zich voorbereiden op boetes en claims.

Is dit oordeel goed nieuws voor de consument?

Ja. Het maakt namelijk duidelijk dat de cookie-oplossing die jarenlang werd gebruikt helemaal niet zo transparant was als werd gedacht. Bedrijven worden gedwongen om een systeem te gebruiken dat privacyvriendelijker is.

Consumenten zullen de komende tijd vooral merken dat ze minder advertenties zien van producten waarnaar ze hebben gezocht. Die gerichte advertenties (”targeting” in vaktermen) maken plaats voor ”contextuele” advertenties – bijvoorbeeld een advertentie van een automerk bij een artikel over auto’s.

Komt er einde aan de gegevensverzameling op internet?

Nee. Data zijn immers een goudmijn voor bedrijven. Enkele jaren geleden maakten tech-bedrijven bekend dat ze het volgen van consumenten (”tracking”) aan banden leggen. Safari, de browser van Apple, blokkeert al cookies van derden en Chrome, de browser van Google, lijkt te volgen.

Bedrijven werken nu aan oplossingen waarmee ze websitebezoekers toch haarfijn in kaart kunnen brengen. Google zelf ontwikkelt bijvoorbeeld ”Topics”. Daarmee kunnen advertenties worden getoond op basis van websites die Chrome-gebruikers eerder hebben bezocht.