Binnenkort strengere regels voor targeted advertising?

De marketingwereld ligt al een hele tijd onder vuur.  GDPR was twee jaar geleden een eerste aardverschuiving.  Intussen is er ook een aanzienlijke verstrenging (of althans verstrengde handhaving) van de cookiewetgeving en bovendien loert het einde van het gebruik van third party cookies om de hoek omwille van Apple’s ITP 2.1, ATP in Google Chrome en third party blocking in Firefox.  

De European Data Protection Board (EDPB) deed hier op 15 september nog een schepje bovenop met een ontwerpadvies inzake targeted advertising op social media.   Het gaat om een ontwerp waarop sectorspelers nog tot 19 oktober 2020 hun eventuele opmerkingen kunnen maken aan de EDPB, dus reden genoeg om als marketing professional onderstaande even door te lezen en je eventuele bezorgdheden (via ons eventueel) te bundelen…

Targeted_advertising_regels

Targeted advertising?

Bij targeted advertising, of ook wel gepersonaliseerd adverteren of audience targeting, wordt reclame zo precies mogelijk gericht aan de juiste doelgroep, vaak via social media advertenties. Door advertentiebudget te besteden aan een publiek dat bestaat uit potentieel geïnteresseerde klanten behaalt een advertentiecampagne een hoger rendement.

Deze targeting is meestal gebaseerd op iemands interesses, bezochte internetpagina’s, recente aankopen, … (behavioral targeting) of op de inhoud van de pagina die wordt bekeken, plaats en uur van de dag, het weer, specifieke evenementen of gebeurtenissen (contextual targeting) of louter op het feit dat een bezoeker al eerder op de site of een specifieke pagina van de adverteerder is geweest (retargeting).  

Targeting via social media advertenties koppelt bovenstaande info aan de profielinfo die bvb Facebook of Google over je bezitten om een gepast publiek of ‘audience’ voor je advertentie samen te stellen en gericht te adverteren (locatie, geslacht, leeftijd en sociale klasse, …). 

Bezorgdheid bij de overheid

De EDPB publiceerde op 15 september (met wat vertraging, want de beslissing dateert van 2 september) een ontwerpadvies nr.08 / 2020 over het gebruik van targeted advertizing op social media.

De EDPB ziet aanzienlijke privacyrisico’s voor de gebruiker bij targeting, vooral ook door het feit dat er verschillende partijen bij betrokken zijn (minstens de adverteerder en het platform) én het feit dat zeer uitgebreide profielen worden opgebouwd en gebruikt in deze context.

Die profielinfo is opgebouwd uit drie soorten gegevens: 

  • data die de betrokkene zelf deelt met Facebook, Google en andere (social) media 
  • behavioral data die “gemeten” wordt terwijl de gebruiker online is (op basis van cookies, fingerprints, server side tracking, …) 
  • analytische profieldata die de adverteerder of het social mediaplatform afleiden uit de twee voorgaande

Joint controllers

Voor de EDPB zit het specifieke risico voor de betrokkene in de eerste plaats in transparantie en in de correcte juridische grondslag die aan elk van de betrokken partijen toelaat om deze gegevens te verwerken en al dan niet uit te wisselen.

De EDPB ziet in haar ontwerp de adverteerder en sociale media vaak als gezamenlijke verwerkingsverantwoordelijken, minstens voor een deel van het proces.  Ze bepalen immers samen “het doel en de middelen van de verwerking”, zoals GDPR dat omschrijft. Vanzelfsprekend is Google of Facebook alleen verantwoordelijke in het kader van de voorafgaande opbouw van profielen, maar zodra er sprake is van het gebruik van die profielen voor een specifieke campagne, ontstaat er gedeelde verantwoordelijkheid met de adverteerder.  

Dit is érg belangrijk omdat gedeelde verantwoordelijkheid ook gedeelde aansprakelijkheid voor (elkaars) fouten (denk aan data breaches door gebrekkige security) betekent…

Noodzakelijke toestemming

Om gegevens te verwerken, heb je een gepaste rechtsgrond nodig.  In principe zijn er zes rechtsgronden die evenwaardig naast elkaar bestaan onder GDPR, maar de EDPB is van oordeel dat in het kader van profiling en targeted advertizing de meest geschikte rechtsgrond quasi noodzakelijk de (voorafgaande, vrije en geïnformeerde) toestemming van de betrokkene is, of, minder evident,  het gerechtvaardigd belang. 

Het ontwerpadvies stelt dat er duidelijk situaties zijn waarin de voorafgaande toestemming écht noodzakelijk is.  Dat geldt bijvoorbeeld voor cross domain tracking, cross device tracking, delen van locatiegegevens of data brokerage.  Dat zijn stuk voor stuk activiteiten die zéér frequent voorkomen, ook buiten targeted advertising, en waarbij de vaststelling in de praktijk is dat deze zéér zelden op basis van voorafgaande toestemming plaatsvinden.  Heel wat bedrijven begeven zich hier dus, althans naar het standpunt van de EDPB, in de illegaliteit…  

Vanzelfsprekend verwijst de EDPB ook naar de cookieregelgeving, waar sowieso altijd voorafgaande toestemming nodig is (en dat geldt natuurlijk ook voor fingerprinting, pixels, server side tracking en bijvoorbeeld het gebruik van social-plug-ins, …).

Transparantie is noodzaak!

De EDPB benadrukt vervolgens het belang van transparantie ten aanzien van de betrokkene en het recht op toegang en verzet van die betrokkene

Gebruikers moeten wéten dat hun persoonsgegevens worden verwerkt, hoe dat gebeurt, met welk doel en met wie hun gegevens gedeeld worden.  Dat moet kort en transparant gebeuren, in begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke taal. 

De EDPB bevestigt overigens wat Sirius legal al langer in opleidingen en webinars aanhaalt en wat we ook consequent meegeven aan onze eigen cliënten: het volstaat absoluut niet om in je privacy policy te melden dat “uw gegevens worden gebruikt voor marketingdoeleinden.  Adverteerders en social mediaplatformen hebben de gezamenlijke verantwoordelijkheid, als joint controllers om transparantie te garanderen elk aan hun kant (bij de adverteerder én op het platform) bijvoorbeeld via een link in of naast de advertentie met als titel “Waarom zie ik deze advertentie?“. 

Data Protection Impact Assessments (DPIA)

De EDPB wijst vervolgens, -terecht- op de noodzaak om in bepaalde gevallen een voorafgaande DPIA uit te voeren.  Zulke DPIA is verplicht in een aantal gevallen, bijvoorbeeld wanneer verschillende datasets aan elkaar gekoppeld worden, wanneer data op grote schaal verwerkt wordt, wanneer gevoelige data verwerkt wordt (dat is bijvoorbeeld het geval als in profielinfo op basis van algoritmes ingeschat wordt op welke politieke partij iemand waarschijnlijk zal stemmen of welke seksuele voorkeur iemand waarschijnlijk heeft…) of wanneer er een aanzienlijke impact is te verwachten op de privacy (“de rechten en vrijheden”) van de betrokkene.  Precies deze situatie doet zich voor bij targeted advertizing en zowel adverteerder als platform moeten, elk aan hun kant zorgen voor een voorafgaande DPIA…

Een van onze volgende webinars bij Sirius Legal gaat overigens precies over DPIA’s: op 11 december leggen we uit wanneer een DPIA nodig is, hoe je die best uitvoert en waarop je moet letten.  We geven meteen ook enkele best practices mee en zorgen voor voorbeelden van bij onszelf en van oa de Franse CNIL.  Inschrijven kan zeer binnenkort op onze webinar page.

Feedback kan nog tot 19 oktober

De openbare raadpleging loopt nog tot 19 oktober 2020. Alle belanghebbenden (ook individuele bedrijven) kunnen tot dan hun commentaar kenbaar maken aan de EDPB.  De finale guidelines volgen dan wellicht tegen het eind van het jaar.  

Ben je zelf actief in targeted advertizing?  Lees dan de gehele tekst goed door en aarzel niet om ons je bedenkingen over te maken.  Wij kunnen ze eventueel verpakken in een juridisch sluitende argumentatie en nog tijdig overmaken aan de EDPB…

Vragen over GDPR of omgaan met data?