Advertentiebrancheorganisatie krijgt 250.000 euro AVG-boete voor cookiepop-up

De door IAB Europe ontwikkelde cookiepop-up waarmee websitegebruikers hun trackingsvoorkeuren kunnen aangeven, voldoet volgens de Belgische Gegevensbeschermingsautoriteit niet aan de AVG. IAB krijgt daarom een boete van 250.000 euro.

Het gaat om het consent management platform van Interactive Advertising Bureau Europe, waarmee gebruikers op een website toestemming kunnen geven voor het verzamelen en delen van persoonsgegevens. IAB Europe is een vereniging van onder meer media-, technologie- en marketingbedrijven. De voorkeuren die gebruikers in het CMP opgeven, worden vastgelegd met IAB's Transparency & Consent Framework. De voorkeuren van gebruikers worden met TCF gecodeerd opgeslagen in een TC-string, die wordt gedeeld met organisaties die meedoen aan IAB's advertentieplatform OpenRTB.

Naast de TC-string maakt CMP ook de cookie euconsent-v2 op het apparaat van de gebruiker. De cookie en de TC-string worden gekoppeld aan het IP-adres van een gebruiker, zodat de gebruiker achter de voorkeuren identificeerbaar wordt.

IAB beweert volgens de Gegevensbeschermingsautoriteit dat het geen verwerkingsverantwoordelijke, maar slechts de verwerker is. Hier is de privacytoezichthouder het niet mee eens. IAB kan daarom verantwoordelijk worden gesteld voor mogelijke schendingen van de AVG, die volgens de GBA ook hebben plaatsgevonden.

Zo heeft IAB volgens de GBA geen rechtsgrond voor de verwerking van de TC-string vastgesteld, is de informatie die via het CMP wordt gedeeld, te algemeen en te vaag, en is het niet controleerbaar of de keuzes van gebruikers geldig en integer zijn. Ook heeft IAB geen register van de verwerkingsactiviteiten bijgehouden, is er geen functionaris gegevensbescherming aangewezen en is er geen DPIA, of gegevensbeschermingseffectbeoordeling, uitgevoerd.

IAB krijgt daarom een administratieve boete van 250.000 euro en een aantal corrigerende maatregelen van de GBA. Zo moet IAB een geldige rechtsgrond vaststellen om de voorkeuren te verwerken en te verspreiden en mag de organisatie niet meer het gerechtvaardigd belang gebruiken als basis voor die verwerking. Ook moet IAB deelnemende organisaties 'grondig doorlichten' om er zeker van te zijn dat die voldoen aan de AVG.

De vereniging krijgt van de GBA twee maanden om een actieplan voor te leggen, zodat de corrigerende maatregelen toegepast kunnen worden. IAB zegt in een reactie het oneens te zijn met de bevinding van de GBA en dat die 'grote onbedoelde consequenties zal hebben die verder gaan dan de digitale advertentie-industrie'. De vereniging overweegt 'alle opties', maar zegt wel samen met de GBA aan dat actieplan te willen werken. IAB zou in beroep kunnen gaan tegen het oordeel van de GBA. De TCF-maker zegt tot slot altijd al van plan te zijn geweest om het framework goedgekeurd te krijgen onder de AVG als een transnationaal code of conduct.

IT-banen

Reacties (80)

CyBeRSPiN 2 februari 2022 16:20

Liep er niet ook een zaak dat het weigeren van alle niet-essentiële cookies net zo eenvoudig moet zijn als het accepteren?
Ik word helemaal gek van steeds die dark patterns afwandelen om maar niet al die cookies te moeten accepteren..

tisdawan @CyBeRSPiN • 2 februari 2022 16:58

https://addons.mozilla.or...-dont-care-about-cookies/

https://addons.mozilla.or...fox/addon/google-consent/

https://addons.mozilla.or...ox/addon/consent-o-matic/

himlims_ @tisdawan • 2 februari 2022 17:01

precies dat - het is imho een goede bewustwording, maar de user expericens gaat hard omlaag. sommige sites stromen over;

cookis melding , niewsbrief melding, prmotie melding .... freaking 3 vensters wegklikken voordat bij inhoud kom

ATS @himlims_ • 2 februari 2022 17:23

De orignele content is vaak niet eens meer de pagina weer je heen wilde, omdat het navigeren door al die cookie- en aanverwante overlays je op de een op andere manier daarna op de home page gedumpt heeft. Waarschijnlijk voor straf dat je die privacy statement daadwerkelijk geopend hebt of zoiets.

rjd22 @himlims_ • 2 februari 2022 17:44

Ik heb zelf JavaScript altijd uit staan en zet deze alleen aan voor sites die ik vertrouw. De meeste popups werken niet zonder JavaScript maar de content die je wil lezen vaak wel. Werk vooral voor nieuwssites enorm goed.

wiert.tweakers @himlims_ • 2 februari 2022 19:09

Ik sla tegenwoordig veel op in archive.is en lees het daar later als het is opgeslagen (soms uren later, want het is daar druk).

CyBeRSPiN @tisdawan • 2 februari 2022 18:00

Ja en nu nog voor een browser op mn iPad die ik voor 90% gebruik om te surfen op het WWW

aikebah @CyBeRSPiN • 2 februari 2022 21:03

de popups ben je niet kwijt, maar de privacymode doet het best prima als cookie-monster. Alleen ff oppassen bij webshops... die kunnen niet altijd tegen het cookiemonster bij de afrekenmodule.

depeje @tisdawan • 2 februari 2022 18:16

Opgepast! De eeste link naar de "I don't care about cookies" plugin accepteert soms cookies. De andere links heb ik niet bekeken.

[Reactie gewijzigd door depeje op 23 juli 2024 04:14]

amigob2 @depeje • 2 februari 2022 23:16

ja gewoon alle cookies accepteren met I don't care, en als je de brouwser sluit alle cookies weg gooien.

nopcode @tisdawan • 2 februari 2022 17:42

Je merkt wel dat de cookie popup blockers nog niet op het punt staan als adblockers.
Er gaan nog veel websites stuk bij mij met deze plugins.

Makkelijker snel alles te accepteren en dan cookies automatisch te laten verwijderen bij het sluiten van de tab.

Carn82 @tisdawan • 3 februari 2022 13:02

Dat zijn handige hulpmiddelen, maar het onderliggende probleem is dat deze tools nodig zijn..

Godson-2 @CyBeRSPiN • 2 februari 2022 17:16

Ja, bijvoorbeeld dat je tienduizend schuifregelaars met "legitimate interest" uit moet zetten voordat ze je gegevens niet gebruiken.

Ook heb ik gelezen van een "cookie consent provider" die zelf juist de cookie toestemming ging gebruiken om gebruikers te tracken en dit weer ging verkopen.

Ik denk dat we uiteindelijk gewoon van de Amerikaanse techgiganten moeten eisen dat ze alle gegevens hier opslaan en verwerken en niets meer richting de VS sturen. Anders is het gewoon blokkeren die hap.

readefries

@CyBeRSPiN • 2 februari 2022 16:28

Ja, heel irritant. Ik vind het volgen verwerpelijk en snap niet dat het door veel mensen geaccepteerd wordt.

BeQuietAndDrive @CyBeRSPiN • 2 februari 2022 16:41

Same! Ik gebruik er een plugin voor, maar damn... Vaak kun je al kiezen voor 'weiger alles' of 'alleen essentieel' wat top is. Maar soms moet je de hele leverancierslijst door om bij 300 bedrijven 'gerechtvaardigd belang' (what?!?) 1-voor-1 uit te vinken, zou je niets willen accepteren. Welke website heeft dan ook 300 bedrijven nodig om de 'site goed te laten functioneren'?

familyman @BeQuietAndDrive • 2 februari 2022 16:56

Vooral irritant als ze zeggen, we nemen je privacy serieus, voordat ze dat gaan doen....

We waren toch ook al klaar met 'are you sure?', gevolgd door 'are you really sure?' Popups van Windows?

Vrijdag @BeQuietAndDrive • 2 februari 2022 16:50

Dat zijn 300 bedrijven die zich allemaal inspannen om "jouw gebruikerservaring" persoonlijker en fijner te maken. Je zou ze toch dankbaar moeten zijn. Bijvoorbeeld door even bij de eigenaren persoonlijk 's avonds even thuis langs te komen met een bloemetje

Gubbel @Vrijdag • 2 februari 2022 18:34

Laten we vooral, om geen enkele reden, geen bezoekjes brengen bij mensen thuis.

dieAndereGozer @Vrijdag • 3 februari 2022 08:28

En als het donker is vooral die fakkel niet vergeten.

Cilph @CyBeRSPiN • 2 februari 2022 17:17

Is het ook. Al helemaal van het zotte als je bedenkt dat je al op je vinger getikt krijgt als je een opt-in vinkje als default afvinkt. Wat jij noemt is honderdmaal erger.

Rukapul @CyBeRSPiN • 2 februari 2022 18:35

Uit het artikel wordt niet meteen duidelijk dat dit een van de overtredingen zou zijn.

Enerzijds hoop ik van wel want de IAB methode grenst aan het misdadige wat betreft het niet uit kunnen oefenen van consent door eindeloos veel een voor een uit te moeten zetten.

Anderzijds hoop ik van niet want dan kan in een volgende zaak een fatsoenlijke sanctie worden opgelegd ipv een schamele kwart miljoen.

Hopelijk krijgen alle websites die dit gebruikt hebben minimaal dezelfde sanctie. Dit is het voorbeeld waar bedrijven het verdienen om zwaar te bloeden.

sympa @CyBeRSPiN • 3 februari 2022 13:48

Ik vind dat ze de onterecht/onwettig verzamelde data moeten wissen.

zx9r_mario 2 februari 2022 16:16

Tracking staat de laatste tijd onder druk binnen de EU. Eerst Google Analytics, van de week Google fonts en nu de IAB cookie popups.

Gropah @zx9r_mario • 2 februari 2022 16:29

Ik heb ze niet allemaal meegekregen, maar als dat daadwerkelijk zo is ben ik daar wel blij om.

Ik snap dat bedrijven geld moeten verdienen, maar daar hoeven we echt niet onze privacy voor op te geven door ons te laten tracken omdat het dan makkelijker zou zijn om ons "passende" advertenties te verkopen.

Ik blijf het altijd bizar vinden. Kijk naar 2 techreuzen (Meta en Google); bedenk je hoeveel hoogopgeleide mensen zij in dienst hebben, bedenk je hoeveel techniek zij hebben uitgevonden en hoeveel werk zij hebben verzet, om dan te bedenken dat ze dat hebben voor een significant deel hebben gedaan om jou advertenties voor te kunnen schotelen... Die denkkracht en werkcapaciteit had ook voor andere, maatschappelijk relevantere doeleinden gebruikt kunnen worden

Wizard @Gropah • 2 februari 2022 18:20

Die denkkracht en werkcapaciteit had ook voor andere, maatschappelijk relevantere doeleinden gebruikt kunnen worden

Kan je niet hetzelfde zeggen van jouw bericht hier op t.net (en eigenlijk ook dit bericht).

En het doel is niet om jou advertenties voor te schotelen, het doel is om geld te verdienen (en als je kijkt naar wat ze nu waard zijn vs 40 jaar geleden dan is dat uitstekend gelukt).
Hooguit is het krom dat advertenties meer opbrengen dan maatschappelijke relevante doelen (of praktisch welk ander doel dan ook).

Alleen het probleem met dit soort beweringen is dat het met 20/20 hindsight bekijken is. Als de techreuzen niet voor het grote geld waren gegaan maar voor het maatschappelijke dan hadden ze niet zoveel techniek uitgevonden etc. etc.
Zo kan je ook na elke loterij trekking zeggen : Als ik lot xxxx gekocht had dan was ik miljonair geweest. En toch vermoed ik dat je dat niet bizar vindt...

Gropah @Wizard • 2 februari 2022 18:59

Ik snap dat het doel is om geld te verdienen. Ads zijn een makkelijke manier, maar echt niet de enige. Tweakers kent plus, maar verdient ook aan de pricewatch via referrals en organiseert ook nog wel eens het een en ander wat ook geld in het laatje brengt. Daarbij, om even lullig te doen

, heb ik meer tijd in tweakers gestoken als vrijwilliger dan een willekeurige bezoeker ooit op gaat leveren aan ad-inkomsten

En er zit nogal een verschil tussen een nieuwssite en forum (ja, ok, wel 1 van de grootste van Nederland) waar een paar devvers aan werken en een techgigant zoals Google of Meta.

Maar je hebt zeker wel een punt.

CAPSLOCK2000

Privacy
algemene verordening gegevensbescherming
Cookie
Advertenties
België

@Gropah • 2 februari 2022 16:42

Ik blijf het altijd bizar vinden. Kijk naar 2 techreuzen (Meta en Google); bedenk je hoeveel hoogopgeleide mensen zij in dienst hebben, bedenk je hoeveel techniek zij hebben uitgevonden en hoeveel werk zij hebben verzet, om dan te bedenken dat ze dat hebben voor een significant deel hebben gedaan om jou advertenties voor te kunnen schotelen... Die denkkracht en werkcapaciteit had ook voor andere, maatschappelijk relevantere doeleinden gebruikt kunnen worden

Ik zie het zo: mensen snappen niet hoe idioot duur het is om goede software te bouwen, in praktijk willen ze daar niet voor betalen. Mensen snappen ook niet hoe waardevol hun data is. Via hun data betalen ze een prijs die ze in geld niet bereid zijn om te betalen. Ik zou willen dat de echte kosten transparant worden zodat mensen beter zien wat ze krijgen en wat ze daar voor betalen.

blehz @CAPSLOCK2000 • 2 februari 2022 16:55

Hoezo betalen voor wat we krijgen? Ik ben nooit gevraagd geweest om te betalen met mijn data.

CAPSLOCK2000

Privacy
algemene verordening gegevensbescherming
Cookie
Advertenties
België

@blehz • 2 februari 2022 17:05

Hoezo betalen voor wat we krijgen? Ik ben nooit gevraagd geweest om te betalen met mijn data.

Ik zeg ook niet dat het je gevraagd is, maar betaald heb je zeker. Net als iedereen op internet, de een wat meer dan de ander. Wat je er voor terug hebt gekregen is maar de vraag.

Er zijn overigens ook andere woorden te bedenken voor 'onvrijwillig betalen'.

roawser @CAPSLOCK2000 • 2 februari 2022 17:33

Denkelijk bedoelt @blehz dat hij misschien wel zou willen betalen maar niet weet hoe omdat het hem/haar/het nooit gevraagd is. Interessante kwestie, bij veel websites is natuurlijk een betaalde account te krijgen maar die geldt dan voor de dienst die je afneemt (mail, media, kanbanbord, beurskoersen of wat dan ook).
Maar betalen voor de garantie dat je geen vieze cookies krijgt en dat ze aantoonbaar correct met je persoonsgegevens omgaan, los van de dienst zelf, dat moet ik ook nog tegenkomen.

blehz @roawser • 2 februari 2022 17:46

En al die jaren dat Google en Facebook ongevraagd miljarden winst hebben gemaakt met onze data. Eigenlijk zouden ze ons moeten betalen, want ze maken blijkbaar meer geld met data verkoop en ads dan dat het maken en runnen van de service kost.

Edgarz @blehz • 2 februari 2022 23:21

Tja, je hebt van hun product genoten/gebruik gemaakt zullen ze zeggen. Het enige dat discutabel is, is dat zij al besloten hebben voor jou dat de tegenprestatie je data is die ze verzamelen en gebruiken. Dan verwijzen ze naar de EULA en daar heb je ja op gezegd (maar nooit gelezen).

borbit @Edgarz • 3 februari 2022 14:11

Ze tracken je ook gewoon als je geen gebruik maakt van hun diensten. Als zullen ze dan de schuld bij de webmasters die hun diensten gebruiken leggen.

blehz @Edgarz • 3 februari 2022 15:59

EULA's zijn ook helemaal niet rechtsgeldig en zijn helemaal geen "contract" waar je akkoord mee moet gaan.
Dus dat gaat niet op. En zie ook borbit's antwoord.
Het is gewoon de omgekeerde wereld en er wordt gewoon niets tegen gedaan.
Landen als Frankrijk gaan dan wel belastingen innen bij die grote tech bedrijven maar uiteindelijk is het nog steeds de gebruiker die gebruikt en misbruikt wordt.

Edgarz @blehz • 4 februari 2022 23:21

Zeker wel.

Een conclusie:
EULA’s zijn in beginsel een rechtsgeldige manier om gebruikers van software bepaalde voorwaarden op te leggen. Wel moet de gebruiker ze tijdig hebben kunnen inzien, en bij elektronische teksten ze ook hebben kunnen opslaan. Bepalingen uit een EULA zijn te vernietigen als ze onredelijk bezwarend zijn, of als de gebruiker kan aantonen dat ze botsen met een hoger recht. Maar dat zal eerder de uitzondering dan de regel zijn.
Bron: https://blog.iusmentis.co...gheid-van-software-eulas/

Jerronimo @CAPSLOCK2000 • 2 februari 2022 21:23

Zoals grote verschillen in prijzen bij webshops... Zelfs de Efteling doet er aan mee met hotelovernachtingen.

DutchyI @blehz • 3 februari 2022 12:53

Sorry hoor maar dit is wel heel naïef

If you're not paying for a product, you are the product

sympa @DutchyI • 3 februari 2022 13:59

En als je wel betaalt, dan ben je nog steeds het product (vaak). Denk aan product placement in films, aan een telefoon die je koopt maar toch je data verkocht wordt, aan een website waar je bestelt maar die tracking cookies plaatst (zelfs 3rd party), en ga maar door.

DutchyI @sympa • 4 februari 2022 08:16

Ja fair, maar de Tweaker waar ik op reageerde had het over de diensten van Facebook en Google. Google levert ontzettend veel gratis diensten zoals maps, drive, Gmail, android, een mega krachtige search engine, server hosting en dat is nog maar het lukte van de ijsberg van google. Ondertussen verleend Facebook/meta Facebook, Instagram en Whatsapp (en waarschijnlijk mis ik een hoop). Voor al die diensten heeft nog nooit iemand een cent betaald. Dan is het naïef om te denken dat dat allemaal voor niks komt, en dat hun geen winst mogen maken.

Maurits van Baerle @Gropah • 2 februari 2022 16:49

Die zaak omtrent Google Fonts is volgens mij voorlopig alleen in Duitsland: Website fined by German court for leaking visitor's IP address via Google Fonts.

Maar, als blijkt dat er inderdaad een privacy issue is met Google Fonts dan is het een kwestie van tijd voordat het een EU-brede kwestie wordt.

Carn82 @Gropah • 3 februari 2022 13:04

Ik blijf het altijd bizar vinden. Kijk naar 2 techreuzen (Meta en Google); bedenk je hoeveel hoogopgeleide mensen zij in dienst hebben, bedenk je hoeveel techniek zij hebben uitgevonden en hoeveel werk zij hebben verzet, om dan te bedenken dat ze dat hebben voor een significant deel hebben gedaan om jou advertenties voor te kunnen schotelen... Die denkkracht en werkcapaciteit had ook voor andere, maatschappelijk relevantere doeleinden gebruikt kunnen worden

Naast bovenstaande moest ik ook even denken aan dit 'feit':

During the 20th century, and up to this day, workers in large capitalist oligopolistic firms (like General Electric, Exxon-Mobil, or General Motors) received approximately 80% of the company’s income. Big Tech’s workers do not even collect 1% of their employer’s revenues. This is because paid labour performs only a fraction of the work that Big Tech benefits from. Who performs the bulk of the work? Most of the rest of us! For the first time in history, almost everyone produces for free (often enthusiastically), adding to Big Tech’s capital stock (that is what it means to upload stuff on Facebook or move around while linked to Google Maps).

(aardig artikel overigens: https://the-crypto-syllab...akis-on-techno-feudalism/)

Globber @Gropah • 3 februari 2022 09:21

Die denkkracht en werkcapaciteit had ook voor andere, maatschappelijk relevantere doeleinden gebruikt kunnen worden

Maar wat zijn volgens jou maatschappelijk relevantere doeleinden? Is entertainment niet maatschappelijk revelant, is een infrastructuur die veel bedrijven gebruiken (een Google Cloud, AWS etc.) niet maatschappelijk relevant.

Maatschappelijke relevantie is een heel relatief begrip. Dat jij Google niks vindt betekent niet dat het niks goeds heeft betekend natuurlijk. Uiteindelijk is bijvoorbeeld een bedrijf als Google ook extreem veel bezig met research, wat weer gebruikt wordt door bedrijven/stichtingen die jij wel ziet als maatschappelijk relevant.
Daarnaast heb je nog dat die advertenties heel veel promotie waarde bieden natuurlijk. Als jij een random klein bedrijfje hebt hoef je nu niet een ton neer te leggen om 10 seconde op TV te komen, maar kun je met een redelijk budget mensen bereiken. Dus voor die kleine ondernemers is het wel relevant, is dat dan niet maatschappelijk relevant?

Het is in mijn ogen een gekke aanname dat omdat jij het niet eens bent met een deel van hun bedrijfsmodel, het meteen geen waarde toevoegt aan de maatschappij. Het voegt geen waarde toe voor jou, wel voor een ander. Hetzelfde zou zijn als ik zeg 'al die mensen die bij Apple werken, als die nou toch eens wat toe zouden voegen door te werken bij een bedrijf wat ik wel een cent zou gunnen', dat dat mijn mening is betekent niet dat het niks toevoegt

Spatienazi 2 februari 2022 16:28

Goed zo. Die frameworks zijn me een doorn in het oog. Nog zo een tent is YourOnlineChoices.

Of die frameworks die in hun popups "Alles Accepteren" en "Details" neerzetten, zodat je dieper moet graven om minimaal cookies te pakken. Dat is ook iets dat alleen volgens de letter van de wet mag, maar duidelijk niet te bedoeling is. (Toestemming moet je volgens de AVG net zo makkelijk kunnen intrekken als geven, tenslotte.)

familyman @Spatienazi • 2 februari 2022 16:58

Wat ik me afvroeg, maak je die netwerken in de war, door bij het afsluiten van je tab standaard alle cookies en shit te wissen?

Of voelt dat beter dan het is?

nicolaasjan @familyman • 2 februari 2022 18:23

Of gewoon alle cookies van derden weigeren via de browser instellingen. 🙂

RoestVrijStaal @nicolaasjan • 2 februari 2022 19:59

En dan het gek vinden dat het betalen via online shoppen of login via DigiD telkens mislukt

Zomaar 3rd party cookies blokkeren wil je niet. Wat je wel wil is dat die cookies na een X tijd verwijderd worden als je ze niet meer nodig hebt.

Daarvoor zijn dingen als Cookie AutoDelete een uitkomst voor.

nicolaasjan @RoestVrijStaal • 3 februari 2022 08:03

Geen problemen met DigiD hier. 🙂

Ik zie trouwens net dat ik een iets minder strenge instelling in Firefox heb:

Blokkeren van Cross-site cookies inclusief sociale-media cookies.

Mocht betalen via online shoppen (doe ik zelden) niet lukken, dan zet ik gewoon tijdelijk de instelling nog minder streng.

Bij het afsluiten van de browser verwijder ik sowieso alle cookies, behalve een select aantal, welke ik in mijn cookie manager "op slot" heb gezet.

Dat gezegd hebbende, het overgrote deel van de sites geeft geen enkel probleem. 🙂

Godson-2 @Spatienazi • 2 februari 2022 17:18

Of alleen een knop met "Accepteren" of een link naar een pagina waar je niets kan instellen en alleen maar informatie kan lezen over hoe ze jouw gegevens gaan (mis)gebruiken. Google doet dit bijvoorbeeld.

[Reactie gewijzigd door Godson-2 op 23 juli 2024 04:14]

Verwijderd 2 februari 2022 16:40

Er moet gewoon 1 duidelijke regel komen. Cookies mogen alleen mits functioneel en maximaal 48 uur opgeslagen worden (wil je je winkelwagen opslaan kan dit ook via je account bij de webshop zonder cookies) Google analytics en andere on-site tracking ook prima, maar anoniem en max 30 dagen puur alleen om te kijken of je een nieuwe of terugkerend bezoeker bent.

Zen1581 @Verwijderd • 2 februari 2022 17:54

Het moet gewoon even makkelijk zijn om cookies af te wijzen als ze toe te staan. Eerst 5 meldingen door die je waarschuwen dat de site mogelijk niet optimaal werkt voordat je ze kan afwijzen is niet voldoende. Dit is niet alleen zo netjes naar de bezoeker toe, maar ook zoals het volgens de AVG moet.
Ik kom gelukkig steeds meer sites tegen die wel doorhebben hoe het werkt en waarbij alleen de knop "voorkeuren opslaan" aanwezig is en alleen de noodzakelijke cookies aangevinkt staan.

GertMenkel @Verwijderd • 2 februari 2022 17:56

De regels zijn simpel. Ze zijn alleen niet wat advertentieboeren en websitemakers willen dat ze zijn. Daarom wordt je leven zo moeilijk mogelijk gemaakt met popups en wizards en cookiemuren met verwijzingen naar die oh zo gemene EU en hun privacywetgeving.

Google Analytics is per definitie niet anoniem omdat de hoofdreden om dat te gebruiken is dat je weet met welke interesses en van welke websites je bezoekers langskomen. Zodra je GA anoniem maakt, kun je net zo goed meteen gewoon zelf Matomo draaien.

Iedereen wil altijd maar data verzamelen over hoeveel terugkerende bezoekers je hebt en hoeveel tijd daar tussen zit en op welke knoppen ze het liefste klikken. Het mag eens afgelopen zijn met die bende. De supermarkt stuurt toch ook geen mannetje achter je aan die kijkt hoe lang je bij het groenteschap staat? Ze zetten toch ook geen stempel op je arm om aan te geven dat je al een keer eerder bent geweest? Dat zou in de echte wereld toch ook niet normaal zijn?

Verwijderd @GertMenkel • 2 februari 2022 18:44

Supermarketen optimaliseren looppaden en schappen juist exact op basis van bezoekers gedrag. Je vergelijking slaat de plank dus mis. Er is niks mis met tracking op een site, als website bouwer kun je zo makkelijk obstakels vinden voor bezoekers en sneller klanten naar de juiste producten leiden. En daar heb je 0 persoonsgegevens of IP adressen voor nodig.

Jerronimo @Verwijderd • 2 februari 2022 21:25

En toch gebeurt het, ga maar eens bij bol.com shoppen met cookie historie en zonder cookie historie en vergelijk de prijzen...

saren 2 februari 2022 17:22

Het zou het artikel sieren om tenminste een afbeelding van de pop-up te delen

Laar19 @saren • 2 februari 2022 18:14

Dat zou het zeker, maar ik begin me na wat googlen af te vragen of ze werkelijk zelf de cookie-pop-up leveren. Op basis van deze pagina krijg ik het gevoel dat ze meer middleware leveren voor achter de pop-ups.

Bijvoorbeeld onder "What is the IAB Framework" staat:

The IAB Framework establishes a common ground of cooperation between publishers, advertisers, and consent management providers that can help smoothen the process of meeting the requirements of the GDPR.

The Framework especially works as a standardized means for communicating the state of user consent between first parties such as publishers, third parties such as advertisers, and the consent management system in use on the first party’s website.

Niet dat dat heel duidelijk is voor een halve leek op dit gebied.

Edit:
Als ik dit nieuwsartikel lees, krijg je juist te horen dat ze wel de pop-ups zouden hebben ontworpen. Het is mij een vage situatie.

[Reactie gewijzigd door Laar19 op 23 juli 2024 04:14]

Zidane007nl @Laar19 • 2 februari 2022 23:13

Het IAB is de online advertentiebrancheorganisatie. Ze hebben OpenRTB ontwikkeld en beheren het. Het nieuwsbericht van Bits of Freedom geeft wat meer informatie en het handhavingsverzoek.

exaltion 2 februari 2022 17:06

Heeft iemand een visueel voorbeeld van de betreffende dergelijke cookie pop-up? Zou een fijne aanvulling op het artikel zijn geweest.

[Reactie gewijzigd door exaltion op 23 juli 2024 04:14]

bartvb

@exaltion • 3 februari 2022 16:24

Onder andere de OneTrust en Quantcast consent dialogs zijn een voorbeeld.

Voorbeelden:
https://www.google.com/search?q=quantcast+cmp&tbm=isch

Verder is dit geen 'hoera voor privacy', het is vooral een enorme setback voor kleinere (lees niet mega grote) uitgevers en adverteerders.

Als het IAB (en dus het TCF) wordt afgeschoten dan is OpenRTB in Europa geen optie meer en is het Google AdBuyers protocol de enige realistische optie voor adverteerders. Dus meer marktmacht en nog meer data voor Google. Lijkt me niet dat de privacysituatie daar perse beter van wordt en voor de markt is het al helemaal niet gezond. Kijk b.v. ook naar deze enorme beerput:

nieuws: 'Google gaf eigen advertentiesysteem voorrang bij bieden op ad-impres...

Google doet heus een hoop goede dingen, maar zoveel marktmacht bij 1 partij is gewoon niet gezond.

roawser 2 februari 2022 17:42

De kwestie 'verwerker of verantwoordelijke' is voor iemand die er regelmatig mee te maken krijgt zeer interessant omdat het bijna nooit zwart wit is en de betreffende entiteit *dus* probeert die hoedanigheid aan te nemen die hen 't beste uitkomt. Volgens het artikel zou IAB claimen verwerker te zijn, terwijl ik toch in hun privacy policy lees: "IAB Europe A.I.S.B.L. [...] is the entity that acts as the only data controller for the purposes of this Privacy Policy (“IAB Europe”). "

Daar heb je de eerste vaagheid al: gaat die privacy policy over hun publieke website of over hun dienst? Het bronartikel gaat er helaas niet zo diep op in op in met een gelinkt document van 130 paginas die ik nog niet gelezen heb maar in het algemeen ben ik blij met het oordeel van de toezichthouder dat ze als Verantwoordelijke aangemerkt kunnen worden. Zeker als ik lees dat ze een loopje nemen met de verplichtingen uit de AVG die ook een verwerker toekomen.

[Reactie gewijzigd door roawser op 23 juli 2024 04:14]

berzerker

@roawser • 3 februari 2022 17:00

Ik ben het document nog aan het lezen, maar het is toch niet zo gek dat ze stellen controller te zijn voor de persoonsgegevens die ze verzamelen op hun eigen websites (Ik lees hun privacy policy als dat hij daar over gaat, en niet over TCF), maar niet voor de gegevens die TCF ten behoeve van de deelnemers verzamelt? IAB doet er zelf verder niets mee, alleen die deelnemers, dus alles wat ze doen is ten behoeve van de deelnemers. Dat is een belangrijke indicatie dat ze een verwerker zijn (alleen: kan je verwerker zijn als je voor meerdere gegevensverantwoordelijken werkt? Hopelijk gaat het stuk daar verder op in).

Begrijp ik het goed, dan stelt de persoonsgegevensautoriteit dat de consent string een persoonsgegeven voor IAB is omdat hun deelnemers dat kunnen koppelen aan een IP-adres (dat de ISP dan weer aan een echte persoon kan koppelen, voeg ik daar zelf dan maar even aan toe), dit nota bene terwijl IAB deze niet eens opslaat. De persoonsgegevensautoriteit wordt ook niet moe te benadrukken dat 'persoonsgegevens' ruim moet worden uitgelegd, kennelijk vinden ze het zelf ook niet bijzonder voor de hand liggend dat daar hier sprake van is.

Edit: Hetzelfde lijkt te gelden voor de uitleg van "gegevensverantwoordelijke". Na te hebben benadrukt dat het begrip ruim moet worden uitgelegd, lees ik:

Het staat voor de Geschillenkamer dus vast dat de verweerster niet noodzakelijk zelf de betrokken persoonsgegevens moet verwerken, noch dat zij zich enige toegang moet kunnen verschaffen tot de persoonsgegevens, teneinde IAB Europe als verwerkingsverantwoordelijke te kunnen aanmerken met betrekking tot een raamwerk waarvoor de verweerster bovendien een jaarlijkse vergoeding van 1.500 EUR vraagt aan deelnemende organisaties.

Dus als je geen persoonsgegevens verwerkt kan je nog steeds gegevensverantwoordelijke zijn. En als je geld vraagt voor een systeem waarin persoonsgegevens worden verwerkt door derden, weegt dat kennelijk mee het beantwoorden van de vraag of je een gegevensverantwoordelijke bent. Ik vind dat best ver gaan.

Vooralsnog bekruipt mij de indruk van naar het doel toe redeneren. Je hoort steeds vaker de roep om behavioral targeting gewoon te verbieden; dat lijkt mij veel wenselijker dan allerhande begrippen uit de AVG tot in het extreme op te rekken.

[Reactie gewijzigd door berzerker op 23 juli 2024 04:14]

wimswa 2 februari 2022 17:50

Het wordt hoog tijd dat de EU een bepaalde standaard verplicht. Nu is het vaak nog dat je niet meteen alles kunt afwijzen en de knop 'zelf instellen' zit dan links, als je daar op klikt zit de knop alles 'alles afwijzen' daarna vervolgens rechts. Alleen maar om het elke keer weer ingewikkelder te maken. Meteen bovenaan de knoppen alles afwijzen, zelf instellen, alles accepteren, en altijd in die volgorde. Dan scheelt het al een heleboel geknoei steeds.

EDIT: eigenlijk zouden sites gewoon een instelling in de browser moeten accepteren natuurlijk, waarom je elke keer iets moeten aanklikken terwijl veel mensen toch altijd hetzelfde willen.

[Reactie gewijzigd door wimswa op 23 juli 2024 04:14]

RSpliet 2 februari 2022 18:24

Het zou de gegevensbescherming autoriteit sieren als ze ook achter LiveRamp aan gaan. In die pop-up heb je 36 kliks nodig om bezwaar te maken tegen alle "rechtmatig belang" cookies. Althans, daar ga ik dan maar vanuit, want als ik na die otnzeggingen op het "Doelen" tabje naar het "Bedrijven" tabje ga en een van de bedrijven openklik met een (i) icoontje erachter, dan staat "rechtmatig belang" nog steeds aan! Die consent tool is overduidelijk zo ontworpen dat de meeste mensen de bakken aan "rechtmatig belang" cookies compleet over het hoofd zien en zo min mogelijk mensen de moeite nemen daadwerkelijk toestemming voor deze cookies te ontzeggen.

[Reactie gewijzigd door RSpliet op 23 juli 2024 04:14]

kodak

Privacy
algemene verordening gegevensbescherming

2 februari 2022 18:53

In nieuws van eind vorig jaar was een conclusie dat tot 80% van de Europese websites dit framework zou gebruiken. De leverancier aanpakken met deze boete lijkt dan geheel niet in verhouding te staan tot wat het veroorzaakt. De boete lijkt een schijntje bij wat ze veroorzaakt hebben en ook de vele websites die het dus te makkelijk gebruiken worden er nog steeds niet mee aangepakt wat betreft het overtreden en blijven negeren van recht van heel veel bezoekers door de jaren heen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (80)

Sorteer op:

Weergave: