De grote boetes tegen Meta haalden de laatste tijd het nieuws, maar één beslissing vloog onder de radar: de uitspraak van het Bundeskartellamt van het Hof van Justitie van de EU.
Dat is jammer, want de uitspraak is dynamiet. Het gooit een spaak in het wiel van Meta's compliance-strategie, stelt het hele bedrijfsmodel van het bedrijf ter discussie en kan op de lange termijn een wereld van problemen creëren voor Big Tech door mededingingsautoriteiten de mogelijkheid te geven om naar marktmisbruik te kijken.
Last but not least verduidelijkt de uitspraak dat analytische cookies gevoelige gegevens kunnen verzamelen, en dat vaak ook doen(raad eens wie dit de hele tijd al heeft gezegd?).
Er valt veel te zeggen over deze beslissing, dus we zullen de analyse in twee delen opsplitsen. Deze blog analyseert wat de uitspraak zegt over gevoelige gegevens en wat het betekent in het grotere geheel. De tweede blog richt zich op de rest van de beslissing en legt uit hoe deze een enorme impact kan hebben op het bedrijfsmodel van Meta en Big Tech in het algemeen.
Laten we er eens in duiken: hier is waar de uitspraak van het Bundeskartellamt over gaat, wat het betekent en waarom het een game changer zou kunnen zijn!
- Waar gaat de zaak over?
- Wat zegt de uitspraak
- Wat zegt de uitspraak over gevoelige gegevens?
- Is dat verrassend?
- Wat betekent dit voor cookie-gebaseerde analyses?
- Conclusies
Waar gaat de zaak over?
De zaak van het Bundeskartellamt houdt het midden tussen gegevensbeschermingswetgeving en antitrustwetgeving. In 2019 stelde de Duitse mededingingsautoriteit*(Bundeskartellamt*) vast dat Meta misbruik maakte van haar dominante positie op de socialemediamarkt. Om dit misbruik te corrigeren, beval de autoriteit het bedrijf om zijn servicevoorwaarden en privacybeleid voor Duitse gebruikers aan te passen.
Kort samengevat oordeelde de autoriteit dat Meta geen gegevens van buiten Facebook mocht verwerken (dat wil zeggen, gegevens die op andere websites zijn verzameld via Facebook-cookies en andere trackers) zonder toestemming van de gebruiker. Ook werden vraagtekens gezet bij de rechtsgrondslagen van Meta voor het aanbieden van gepersonaliseerde advertenties aan Facebook-gebruikers.
Meta deed wat Big Tech altijd doet en vocht de beslissing volledig aan. Deze strategie werkte averechts en leidde op 4 juli tot een nog slechtere uitspraak van het Europese Hof van Justitie (CJEU).
Wat zegt de uitspraak
Er is veel te analyseren in het Bundeskartellamt, maar hier zijn enkele van de belangrijkste punten:
- cookies voor webanalyse kunnen gevoelige gegevens verzamelen
- een mededingingsautoriteit kan bij de beoordeling van misbruik van een machtspositie rekening houden met schendingen van de GDPR
- Facebook kan geen gerichte reclame aanbieden zonder toestemming
Voor de duidelijkheid: het HvJEU "beslist" niet echt zaken, maar verduidelijkt de interpretatie van de wet. Dus, als we zeggen dat "het Hof vond dat Facebook geen gerichte reclame kan aanbieden zonder toestemming", bedoelen we dat het HvJEU een interpretatie van de GDPR heeft bevestigd, waaronder Facebook naar alle waarschijnlijkheid wel gevoelige gegevens verwerkt. Of dat uiteindelijk ook het geval is, is aan het Duitse Hof om te beslissen op basis van de feiten van de zaak. Maar als het gaat om de betekenis van de wet, is het Hof gebonden aan de uitspraak van het HvJEU.
Met dat uit de weg, laten we eens kijken wat het HvJEU heeft gezegd over gevoelige gegevens en waarom het zo'n groot probleem is.
Wat zegt de uitspraak over gevoelige gegevens?
Meta volgt niet alleen Facebook-gebruikers op zijn eigen sociale netwerk. Het gebruikt ook cookies, API's en andere tools om het surfgedrag en app-gebruik van gebruikers buiten het platform te volgen. In Bunderskartellamt oordeelde de rechtbank dat deze trackers gevoelige gegevens verzamelen wanneer iemand bepaalde websites bezoekt of bepaalde apps gebruikt (bijvoorbeeld gay dating apps).
Twee zeer belangrijke dingen moeten worden opgemerkt. Ten eerste: deze trackers werken net als alle cookies die worden gebruikt in webmarketing en analytics. Dus, bij uitbreiding, geldt de redenering achter de uitspraak voor elke op cookies gebaseerde analysedienst (inclusief de grootste speler, Google Analytics).
Ten tweede: het Hof heeft heel duidelijk gespecificeerd dat een dataset moet worden behandeld als gevoelige gegevens wanneer deze gevoelige gegevens bevat. Als je duizend dagelijkse bezoekers hebt en slechts één van hen googelt naar de bijwerkingen van hun medicijnen, dan moeten alle gegevens als gevoelig worden behandeld.
Kortom, web analytics en marketing cookies verzamelen gevoelige gegevens, en dat doen ze heel, heel vaak.
Dit is geen hypothese, maar eerder een logisch gevolg van het Bundeskartellamt. Het is slechts een kwestie van tijd voordat een rechtbank of een privacy-autoriteit dit punt maakt als het gaat om Google Analytics of andere op cookies gebaseerde analytics-aanbieders.
Is dat verrassend?
Helemaal niet. Deze beslissing is een gevolg van een oudere uitspraak die we al diepgaand hebben geanalyseerd - en zelfs toen zagen we dit al aankomen.
Dit zijn de juridische kwesties die op het spel staan. De GDPR behandelt een aantal speciale categorieën gegevens als gevoelige gegevens. Dit zijn gegevens zoals je seksuele geaardheid, je religieuze en politieke voorkeuren, gegevens over je gezondheid, enzovoort. Gevoelige gegevens leveren veel problemen op als ze misbruikt worden of in verkeerde handen vallen, dus de eisen voor het verwerken van gevoelige gegevens zijn strenger dan die voor het verwerken van gewone persoonsgegevens.
Vroeger zagen we deze speciale gegevenscategorieën als een reeks gelabelde vakjes. Er was een vakje voor seksuele geaardheid, een voor geloofsovertuiging, een voor etnische afkomst, enzovoort. Alles binnen de vakjes waren gevoelige gegevens, alles buiten de vakjes niet. Er waren een paar onduidelijke gevallen, maar voor het grootste deel was dat het.
Maar hier zit het addertje onder het gras: wat gebeurt er als je de gegevens buiten de doos kunt gebruiken om erachter te komen wat erin zit? Maakt dit de gegevens buiten de doos ook gevoelige gegevens?
Vorig jaar heeft het Hof "ja" geantwoord en de doos van Pandora geopend.
Het Bundeskartellamt is het logische gevolg van dat precedent. De GDPR zegt niet dat je surfgeschiedenis en app-gebruik gevoelige gegevens zijn, maar je kunt veel conclusies trekken over iemand op basis van zijn surfgeschiedenis - en een deel van die conclusies heeft vaak betrekking op gevoelige gegevens. Je moet al die gegevens dus behandelen als gevoelige gegevens.
Wat betekent dit voor cookie-gebaseerde analyses?
In één woord: problemen. Gevoelige gegevens zijn zeer streng gereguleerd. Als je gebruik maakt van cookie-based analytics, dan moet je voldoen aan alle regels voor het verwerken van gevoelige gegevens, wat niet eenvoudig is.
Onder de GDPR mogen gevoelige gegevens bijvoorbeeld alleen in specifieke gevallen worden verwerkt. Voor web analytics is het enige plausibele scenario dat er expliciete toestemming wordt gegeven. Hoe zou dat in de praktijk werken?
Nou, de online reclame-industrie worstelt zelfs met het verzamelen van "basis", niet-expliciete toestemming onder de GDPR. Talloze websites persen toestemming af door middel van misleidende cookiebanners, ook al is dit niet in overeenstemming met de GDPR. Er is geen enkele manier waarop de huidige online advertentie-omgeving zou kunnen voldoen aan de hogere lat voor expliciete toestemming.
Expliciete toestemming is niet het enige probleem. Artikel 35 GDPR vereist een gegevensbeschermingseffectbeoordeling (DPIA) in bepaalde risicovolle verwerkingsscenario's, waaronder grootschalige verwerking van gevoelige gegevens. Het is niet 100% duidelijk wat grootschalig betekent, maar het is niet vergezocht om te denken dat deze regel van toepassing zou zijn op veel websites die gebruik maken van op cookies gebaseerde analytics - en het zou zeker van toepassing zijn op grotere websites.
Praktisch gezien zouden deze websites in hun papieren moeten uitleggen hoe de privacyrisico's van het verzamelen van tonnen gevoelige gegevens van bezoekers, en het voeden daarvan aan de privacydumpster fire die het online advertentie-ecosysteem is, een goed idee is en geen ondraaglijke en enorm onevenredige privacyrisico's met zich meebrengt. Naast het inschatten van de risico's moeten ze ook uitleggen hoe ze van plan zijn deze risico's te beperken.
Veel succes daarmee.
Al met al zal het Bundeskartellamt zeker een zeer ernstig probleem worden voor websites die gerelateerd zijn aan gevoelige onderwerpen, en voor third-party cookies in het algemeen.
Nu we het er toch over hebben: de Noorse autoriteit voor gegevensbescherming heeft interessant advies over webanalyse (let op: we gebruiken een automatische vertaling voor de Noorse tekst):
Noorwegen is geen EU-lidstaat, maar wel lid van de EER. De GDPR is dus integraal van toepassing en de autoriteit denkt hier aan Europese wetgeving - niet aan Noorse wetgeving! En het is waarschijnlijk geen toeval dat dit advies kort na Bundeskartellamt werd gepubliceerd.
Dit betekent niet dat andere Europese autoriteiten het hier per se mee eens zijn, maar we zijn niet de enigen die geloven dat cookie-gebaseerde analytics een serieus compliance-probleem heeft met gevoelige gegevens.
Conclusies
Het Bundeskartellamt is niet bepaald een openbaring. Privacyvoorvechters zijn al jaren bezig met het onder de aandacht brengen van de risico's van trackingtechnologieën. We wisten al lang voor de uitspraak dat reclame op basis van cookies gevaarlijk is en extreem inbreuk maakt op de privacy van individuen.
Maar het is belangrijk om dit te benadrukken omdat veel organisaties de risico's van tracking systematisch bagatelliseren.
Google en veel andere aanbieders moeten het product verkopen, dus doen ze hun best om de privacykwesties onder het tapijt te vegen. Ze spelen de retorische kaart van gebruikerscontrole over de gegevens terwijl ze weten dat deze schijn van controle niets anders is dan een farce.
Klanten van deze bedrijven trappen in het verhaal en denken niet na over de gevolgen voor de privacy van de tools die ze gebruiken. Analyse op basis van cookies is nu immers standaardpraktijk. Iedereen doet het al jaren, dus zo slecht kan het niet zijn!
Maar zo slecht is het wel, en het Bundeskartellamt bewijst onomstotelijk dat de huidige praktijken op het gebied van webanalyse en marketing niet GDPR-compliant of duurzaam op de lange termijn zijn.
Al met al zou dit een goed moment zijn om helemaal af te stappen van cookies. Web analytics zonder cookies is heel goed mogelijk, en dat is precies wat wij doen.
We hebben Simple Analytics gebouwd om bedrijven alle inzichten te geven die ze nodig hebben, zonder persoonlijke gegevens te verzamelen! Privacy is de hoeksteen van Simple Analytics. We gebruiken geen cookies, nemen geen vingerafdrukken en volgen gebruikers op geen enkele manier. Als dit goed klinkt, probeer ons dan gerust uit!