Op 13 december diende de Stichting Bescherming Persoonsgegevens (SDBN) een class action in tegen Adobe voor het illegaal verzamelen van persoonlijke gegevens via haar Adobe Experience Cloud platform, het gebruik van de gegevens voor het maken van persoonlijke profielen en het delen van deze gegevens met adverteerders. Met andere woorden, de SDBN beweert dat Adobe je illegaal bespioneert en profileert via zijn advertentietools.
Net als de lopende rechtszaak van SDBN tegen X (voorheen Twitter), richt deze rechtszaak zich op wijdverspreide privacyproblemen in de ad-tech omgeving en is het de moeite waard om deze op de voet te volgen. Dit is waar het allemaal om gaat!
Wat staat er op het spel?
Deze zaak kan Adobe een enorme schadevergoeding kosten omdat het bedrijf miljoenen Nederlanders heeft geprofileerd. Maar geld is met gemak het minst belangrijke aspect van de zaak.
Als we naar het bredere plaatje kijken, zijn de problemen die de SBDN naar voren heeft gebracht gewoon de welbekende problemen van tracking-based advertising- en Adobe bevindt zich in goed gezelschap. Als de SDBN erin slaagt om een precedent te scheppen tegen Adobe (of X), kunnen andere grote vissen zoals Google en Meta de volgende in de rij zijn en ook veel geld riskeren.
Kortom, de zaak gaat niet echt over Adobe. Het gaat over een bedrijfsmodel. Eén dat wijdverspreid, immoreel en gevaarlijk is en gebouwd is op invasieve surveillance op wereldschaal.
Er is nog nooit een beter moment geweest om zowel de ethiek als de rechtmatigheid van het ad tech business model aan te vechten. Meta verandert voor de derde keer binnen een jaar zijn privacybeleid in een nieuw kat-en-muisspel met de GDPR - en wordt geconfronteerd met een nieuwe juridische uitdaging van noyb. Tegelijkertijd trekt een coalitie van privacyvoorvechters de rechtmatigheid in twijfel van het realtime biedsysteem dat de online reclameomgeving aandrijft in de geruchtmakende zaak IAB Europe.
In dit toch al precaire scenario zou een Nederlands precedent tegen op surveillance gebaseerd adverteren een verstorende (lees: goede) impact kunnen hebben op het ad tech ecosysteem.
Wat deed Adobe (naar verluidt) verkeerd?
De Adobe Experience Cloud is een veelgebruikte online marketing suite die diensten bevat zoals Adobe Analytics, Adobe Experience Manager en Adobe Campaign. Met andere woorden, de Cloud is een verzameling software-as-a-service tools die informatie uitwisselen en advertenties plaatsen op basis van bezoekersgegevens.
Hoewel de rechtszaak zelf op dit moment nog niet openbaar is, bevat de website van de SDBN een algemeen overzicht van de claims. De SDBN zegt dat Adobe illegaal persoonlijke gegevens heeft verzameld via cookies (wat impliciet wijst naar Adobe Analytics en de Acrobat SDK als de boosdoeners) en persoonlijke gegevens heeft gedeeld met derden in de ad tech omgeving.
Er valt veel uit te pakken, dus laten we het stuk voor stuk uit elkaar halen.
Adobe Analytics
Adobe Analytics is een professionele, prijzige, cookie-gebaseerde web analytics tool. Organisaties kunnen Adobe Analytics gebruiken om bezoekers te volgen en meer te weten te komen over hun interesses. Hierdoor kunnen ze andere tools in de Adobe Experience Cloud gebruiken om advertentieruimte te verkopen aan de vele advertentiepartners van Adobe.
Met andere woorden, Adobe Analytics is het Adobe-equivalent van Google Analytics. Het speelt een cruciale rol in Adobe's ad tech omgeving omdat de gegevens daar vandaan komen, samen met Adobe's SDK (zie hieronder).
De SDBN beweert dat Adobe Analytics illegaal gegevens verzamelt door cookies te plaatsen zonder toestemming van de gebruiker. Met andere woorden, er is iets mis met de cookiepop-ups die websites wettelijk verplicht zijn te tonen voordat ze marketingcookies in de browser van de bezoeker plaatsen.
Dit kan om verschillende redenen gebeuren. Op cookies gebaseerde tools zoals Adobe Analytics en Google Analytics mogen alleen cookies plaatsen met toestemming. Maar bedrijven stellen deze tools vaak verkeerd in - opzettelijk of door nalatigheid. Als gevolg hiervan tonen veel websites geen cookiepop-up of plaatsen ze geen cookies, zelfs niet voor gebruikers die hun toestemming hebben geweigerd.
De SDBN beweert ook dat websites vaak niet voldoende precieze informatie geven over wat er gebeurt met persoonlijke gegevens die via cookies zijn verzameld. Het verstrekken van deze informatie is een vereiste voor het verzamelen van geldige toestemming onder de GDPR.
De Acrobat SDK
Adobe Analytics is niet de enige bron van persoonlijke gegevens voor Adobe Cloud Experience: Adobe verzamelt ook persoonlijke gegevens met de Acrobat SDK en voert deze door naar zijn ad-tech tools.
Software development kits (SDK's) zijn bundels van voorgecompileerde code die beschikbaar worden gesteld aan externe ontwikkelaars - en bevatten meestal trackers. Met een SDK krijgt een externe ontwikkelaar gratis een handige gereedschapskist om zijn app te ontwikkelen en worden de kosten doorberekend aan de gebruikers, die hun persoonlijke gegevens krijgen - vaak zonder hun toestemming. Deze gegevens worden - je raadt het al - gebruikt voor advertenties en worden vaak toegevoegd aan de uitgebreide profielen die ad tech bedrijven bijhouden.
Met andere woorden, SDK's zijn een valstrik: een coole en gratis tool voor ontwikkelaars waarvoor je betaalt met je gegevens.
Mobiele tracking is een enorm probleem dat niet de aandacht krijgt die het verdient, dus we zijn blij om weer een SDBN-actie te zien waarbij wijdverspreide SDK's betrokken zijn.
Profilering en het delen van gegevens
De SDBN beweert dat Adobe persoonlijke gegevens deelt met derden. Dit is geen verrassing: dit is standaard in ad tech vanwege de aard van het real time bidding system (RTB).
We hebben al over RTB's geschreven, dus hier is de korte versie. Tools zoals Abode Analytics en Google Analytics verzamelen je gegevens via websites en voegen ze toe aan een persoonlijk profiel. Dit profiel laat bedrijven weten waar je in geïnteresseerd bent en hoe ze advertenties beter kunnen richten. Elke keer dat je een website bezoekt, wordt dit profiel gedeeld in de adtech-omgeving zodat bedrijven kunnen bieden op een specifieke advertentieruimte. Tijdens het bieden worden profielen gedeeld met adverteerders zodat zij weten hoeveel die bezoeker hen waard is in geld en welke advertenties ze moeten aanbieden voor een beter rendement op investering.
Dit systeem is een ramp. De gegevens worden gedeeld met honderden partijen voor elk bod en bedrijven zoals Adobe en Google hebben absoluut geen controle over de gegevens nadat ze zijn gedeeld. Ad tech is een surveillance free-for-all die misbruikt kan worden door criminelen, surveillance bedrijven, buitenlandse overheden en zo'n beetje iedereen die de moeite kan nemen om een bedrijf op te zetten en mee te doen aan het feestje.
Als de trotse ontwikkelaars van een tracking-free web analytics tool, zijn we een beetje bevooroordeeld als het aankomt op ad tech. Maar je hoeft ons niet op ons woord te geloven over hoe slecht de zaken ervoor staan. Twee recente rapporten van de Irish Council for Civil Liberties (een goed aangeschreven NGO op het gebied van burgerrechten) laten zien dat online reclame niets minder is dan een vuilnisbeltbrand op het gebied van privacy die zelfs overheids- en militair personeel in gevaar kan brengen!
Kortom: ja, Adobe deelt je gegevens met een heleboel partners. Naar alle waarschijnlijkheid zijn een aantal van hen niet te vertrouwen. Dit is erg slecht en nauwelijks verrassend.
Hoe zal dit aflopen?
Laten we eens kijken naar de positie van Adobe. In haar persberichten en eerdere uitwisselingen met de SDBN beweerde Adobe dat geen van de vermeende schendingen haar schuld is. Het bedrijf beweert dat de klant alleen verantwoordelijk is voor de naleving van de regels - Adobe verkoopt de service, levert wat juridische documentatie en houdt het voor gezien.
Heeft Adobe een punt? In hoeverre staat de GDPR toe dat Adobe zijn compliance verplichtingen afschuift op zijn klanten?
De wet is hier niet zwart-wit, maar er is een interessant precedent in deze kwestie waarbij reclamemultinational Criteo betrokken is. In die zaak oordeelde de Franse privacywaakhond (CNIL) dat een zo belangrijke organisatie als Criteo het verzamelen en documenteren van toestemming niet volledig aan haar klanten kan overlaten. In plaats daarvan heeft het de plicht om zich meer bezig te houden met naleving en moet het stappen ondernemen om ervoor te zorgen dat het werkt met echte en geldige toestemming.
De CNIL is een invloedrijke autoriteit en het spraakmakende precedent dat tegen Criteo is geschapen, zou wel eens net datgene kunnen zijn wat de SDBN nodig heeft om de balans in haar voordeel te doen doorslaan. De Nederlandse rechter is echter niet gebonden aan de beslissingen van de CNIL en kan heel goed een ander standpunt innemen over de toewijzing van nalevingsverplichtingen.
Slotopmerkingen
Zoals je waarschijnlijk al hebt begrepen, houden wij niet van tracking. Wij vinden het onverantwoordelijk, gevaarlijk en onethisch. Daarom hebben we Simple Analytics gemaakt om onze klanten te voorzien van alle inzichten die ze nodig hebben - zonder persoonlijke gegevens van de eindgebruiker te verzamelen. Als dit je aanspreekt, geef ons dan gerust een draai!