Taaie koekjes: vals gevoel van online privacy door zogenaamd gerechtvaardigd belang
Je kent het wel: een pop-up op je scherm vraagt toestemming om cookies te plaatsen. Goed, denk je terwijl je alles uitvinkt: mijn privacy is gegarandeerd. Maar zo eenvoudig is het niet, want adverteerders maken misbruik van het grijze gebied in de wet om die toestemming te omzeilen.
Internet cookies. Ze zijn nuttig maar ook vervelend, met name de zogenaamde tracking cookies die adverteerders gebruiken om jouw surfgedrag te volgen. Volgens de Europese ePrivacy-richtlijn (Richtlijn Privacy en Elektronische Communicatie) kun je cookies weigeren en moeten websites toestemming vragen om ze te plaatsen.
Via de cookiebanner moet je actief toestemming kunnen geven voor het verzamelen van informatie. Maar zelfs als je alles afwijst of weigert, kunnen adverteerders nog steeds proberen cookies te plaatsen die je surfgedrag registreren en opslaan, waardoor je privacy wordt geschonden.
Wat zijn cookies?
Een cookie is een klein stukje software dat een website op uw computer of telefoon plaatst wanneer je de site bezoekt. Handig als je bijvoorbeeld niet elke keer wilt inloggen, omdat de site dan je inloggegevens onthoudt. Maar cookies kunnen veel meer gegevens verwerken, zoals het bijhouden van je privacygevoelige surfgedrag en het doorsturen ervan naar adverteerders.
Bedrijven hebben dubieuze manieren bedacht om toch gegevens van je te verzamelen. Irene Kamara, universitair docent cybercrime en mensenrechten en promovenda Alicja Joanna Kucharska onderzoeken deze praktijken in de context van technologie en mensenrechten, binnen het Tilburgse Institute for Law, Technology, and Society (TILT).
Als een platform zoals Instagram persoonsgegevens van iemand wil verzamelen, mag dat alleen op basis van een of meer van de zes opties die de Algemene Verordening Gegevensbescherming (AVG) biedt. De zesde en laatste optie is het zogenaamde gerechtvaardigd belang, waarbij bedrijven en organisaties geen toestemming hoeven te vragen, maar zelf een afweging moeten maken.
Kamara: ‘De AVG is bedoeld om regels te bieden over hoe persoonsgegevens moeten worden geanalyseerd en gedeeld. Binnen de kaders van de wet biedt het gerechtvaardigd belang adverteerders de mogelijkheid om zonder toestemming cookies te plaatsen.’
‘Wanneer een organisatie persoonsgegevens wil verzamelen op basis van deze optie, zijn ze verplicht om drie wettelijke voorwaarden te beoordelen,’ legt Kucharska uit: ‘Het doel van de gegevensverzameling moet ten eerste rechtmatig zijn, ten tweede moet het noodzakelijk zijn voor het beoogde doel en ten slotte moet het doel zwaarder wegen dan de fundamentele vrijheden van de gebruiker.’
Grijs gebied
‘Het probleem is niet zozeer dat de wet ontoereikend is’, voegt Kamara eraan toe. ‘Het zit hem in de naleving en handhaving van de wet. Want een overtreding van het gerechtvaardigd belang is minder eenvoudig te handhaven, vanwege de interpretatie van de criteria. Want wat is ‘rechtmatig’, wat is ‘noodzakelijk’ en wat ‘weegt zwaarder’? In de praktijk maken veel organisaties misbruik van die criteria om persoonsgegevens te verzamelen.’
‘We noemen het misbruik, omdat bedrijven geen toestemming vragen bij hun beroep op gerechtvaardigd belang. Ze moeten de test intern maken en dat weten gebruikers niet’, zegt Kamara. Bovendien is deze overweging niet altijd in het belang van de gebruiker, vindt ze.
Vals gevoel van controle
Sommige websites geven hun gebruikers wel de mogelijkheid om de toestemming voor gerechtvaardigd belang voor elke adverteerder uit te zetten, meestal in een apart tabblad. Maar die lijst met adverteerders kan soms oneindig lang zijn.
‘Ik denk dat bedrijven uiteindelijk gewoon data zullen verzamelen en verwerken, waarbij ze rekenen op de vermoeidheid van gebruikers om de stap te zetten naar bezwaar voor meerdere doeleinden van gegevensverwerking’, verzucht Kucharska. ‘Bovendien zal de gebruiker niet volledig kunnen begrijpen wat de praktische gevolgen zijn van het verschuiven van de knop naar ’toestemming’ of ‘geen toestemming’.’
Kamara: ‘Gerechtvaardigd belang geeft gebruikers dus een vals gevoel van controle. Dit is niet wat de wetgever voor ogen had. Daar moeten we vanaf. De punten van de AVG zijn niet bedoeld als boodschappenlijstje: als we niet aan dit criterium kunnen voldoen, gaan we proberen een ander criterium toe te passen om alsnog geen toestemming te hoeven vragen.’
Oplossing
Er is geen eenvoudige oplossing voor het probleem zolang de wet niet wordt veranderd. Als je als gebruiker op veilig wilt spelen en jezelf wilt beschermen tegen opdringerige cookies, is het aan te raden om advertenties te weigeren en privacyvriendelijke browsers te gebruiken, zegt Kamara: ‘Ik neem altijd de moeite om alles af te wijzen.
‘Maar ik denk niet dat dit een verantwoordelijkheid moet zijn voor elke individuele gebruiker. De aanbieders moeten hierin hun verantwoordelijkheid nemen.’
Kucharska: ‘De Autoriteit Persoonsgegevens (AP) heeft niet de middelen om alle vermeende misstanden te voorkomen. Voor mijn scriptie heb ik een laagdrempelige vragenlijst voor bedrijven gemaakt om de gerechtvaardigd belang-toets goed uit te kunnen voeren.
‘Maar bedrijven willen niet altijd tijd vrijmaken voor zo’n lijst. Misschien kunnen rechtszaken tegen grotere spelers die de regels overtreden wel helpen. Door hoge boetes op te leggen, kunnen deze zaken als voorbeeld dienen voor anderen.’
Advertentie.
