Advies Europese privacytoezichthouders: verbied adverteren via trackingcookies

Bij het opstellen van wetten is het gebruikelijk om bestaande methoden daarin op te nemen. Dat is met de DNT tracker niet gedaan.

De AVG/GDPR is bewust agnostisch van implementerende technologie opgesteld. Dat was één van de kernwaarden van de regulering, zodat deze lang(er) houdbaar zou zijn dan geregeld.

De DNT header bestaat al sinds de jaren 80.

Citation needed?

De algemeen erkende oorsprong van de Do-Not-Track header is een prototype Firefox add-on uit 2009, in elkaar gezet door twee onderzoekers; één werkzaam bij Mozilla en één die later werkzaam zou zijn bij de Amerikaanse FTC. Dit kwam in navolging van een gezamenlijke oproep in 2007 vanuit burger- en consumentrechtenbewegingen aan het adres van de Amerikaanse FTC om voor meer bescherming tegen het online volgen van mensen te zorgen.
Einde 2010 sprak de Amerikaanse FTC na eigen onderzoek uit dat er een door de sector zelf gereguleerd do-not-track systeem moest komen waarmee mensen aan zouden kunnen geven niet online gevolgd te willen worden. Microsoft opteerde hierna voor een aanpak op basis van gecureerde black lists; de zogenaamde Tracking Protection Lists feature, die in Internet Explorer 9 aangebracht zou worden als verbetering bovenop de bestaande InPrivate Filtering feature van Internet Explorer 8.
Mozilla koos er voor om de bestaande prototype add-on verder te verfijnen; te gaan standardiseren; en direct in hun Firefox browser te gaan integreren. Dat werd een sector-breed gedragen concept dat door alle andere grote browserbouwers overgenomen werd, inclusief Microsoft. Dat was het levenslicht van de DNT header zoals we deze uiteindelijk zijn gaan kennen en daaruit is de officiële W3C Tracking Preference Expression (DNT) standaard voortgekomen.

Deze is overigens in 2019 pas tot volwaardige standaard: het niveau Technical Recommendation (TR), verheven. Voorafgaand hieraan ging deze ook pas vanaf 2017 als Candidate Recommendation (CR) door het leven. Hiermee vond daadwerkelijke standardisatie dus ook pas plaats nadat de wetstekst van de AVG/GDPR al gefinaliseerd en aangenomen was, wat in april 2016 het geval was. Het punt wat hier gemaakt wordt is daarmee ook meteen volledig feitelijk ontkracht: DNT was nog niet een standaard op het moment van het vormen van de AVG/GDPR en kon er dus ook onmogelijk concreet in opgenomen worden.

Het W3C heeft de DNT header evenmin een wettelijke status gegeven.

Dat is ook niet aan het W3C om te doen. Dat is aan de wetgeving. En deze stelt duidelijk dat het recht van bezwaar bij gebruik van diensten binnen de informatiemaatschappij (zoals websitebezoek) middels technische specificaties geautomatiseerd uitgeoefend mag worden. De wetstekst vernauwt bewust niet welke specificaties, vanwege voorgenoemde: de intentie is om de wetstekst agnostisch te houden van daadwerkelijke implementatie-technieken die onderhevig kunnen zijn aan verjaring.

Elke site moet jouw volgens de cookie wet specifiek om toestemming vragen.

Geen appels met peren vergelijken, aub.

Het recht van bezwaar staat los van de eis dat er een geldige verwerkingsgrondslag moet zijn, waar toestemming slechts één optie van is. De DNT header is niet een vorm van toestemming weigeren. De DNT header is een vorm van geautomatiseerd het recht van bezwaar uitoefenen waarbij verdere verwerking dan al heeft plaatsgevonden enkel nog plaats mag vinden als na het afwegen van de belangen van de betrokkene en de verantwoordelijke, het belang van de verantwoordelijke toch blijkt te prevaleren. Uitzondering hierop zijn verwerkingen die als doel profilering of direct marketing hebben (waar tracking voor targeted internetadvertenties onder valt). In deze gevallen dient onmiddelijk gehoor te worden gegeven aan het bezwaar en is een verder appel op basis van de belangen van de verantwoordelijke niet mogelijk.

[Reactie gewijzigd door R4gnax op 25 juli 2024 23:45]