5 jaar na GDPR, nog steeds privacyschendingen
25 mei 2018. Een belangrijke datum, die voor veel bedrijven een hoofdpijndossier vormde. De nieuwe AVG/privacywetgeving werd ingevoerd en daar ‘moesten we iets mee’ - allemaal. Sindsdien is er een heleboel (maar in feite nog te weinig) gebeurd. Maar het heeft ons in ieder geval aan het denken gezet. In dit artikel belichten we, vanuit Opt Out Advertising, de effecten van GDPR, de veranderingen in techniek en gebruik van cookies, welke verschuivingen we hebben gezien en waar we nu staan.
Privacy houdt de gemoederen flink bezig - en terecht. Consumenten zijn steeds privacybewuster en weigeren, sinds de invoering van GDPR, cookies massaal: meer dan 85% van de mensen zegt steevast ‘nee’ tegen het gebruik van persoonsgegevens voor advertentiedoeleinden op het moment dat zij een expliciete keuze kunnen maken.
Steeds meer adverteerders en publishers stappen daarom over naar privacyvriendelijke advertentie-oplossingen. Desondanks is hier nog veel winst te behalen: uit onderzoek van de Consumentenbond blijkt dat meer dan 50% van de onderzochte publishers nog niet op de juiste manier consent vraagt. Het is wettelijk verplicht bezoekers een duidelijke, gelijkwaardige keuze te geven - waarbij diegene, ook bij het direct weigeren van cookies en tracking, alsnog de website of app moet kunnen bezoeken. In Nederland zijn genoeg publishers die het goede voorbeeld geven. Enkele landelijke uitgevers die privacyvriendelijk adverteren helemaal omarmd hebben, zijn STER en NRC Handelsblad. Sinds 20 maart zijn ook de Regionale Publieke Omroepen (RPO) volledig overgestapt op cookieloos - en dus privacyvriendelijk - adverteren. Deze uitgevers laten zien dat je geen persoonsgegevens nodig hebt om de advertentiebusiness door te laten lopen.
Even terugblikken
Laten we terugblikken op een aantal ontwikkelingen van de afgelopen vijf jaar na de invoering van de GDPR. Een tijdlijn.
25 mei 2018
GDPR/AVG wordt ingevoerd. Dit resulteerde direct in het uitvragen van consent via pop-ups op websites. De consument krijgt ineens de vraag of zij akkoord gaan met advertentiecookies (en andere manieren van tracking), maar is zich bewust van het recht op privacy. Waar zij cookies kunnen weigeren, doen zij dit zonder enige twijfel. Voor adverteerders een signaal dat de campagnestrategieën wijzigen en voor publishers een grote verandering, doordat er opeens inventory zonder (cookie)consent ontstaat.
2018-heden
In reactie op de GDPR hebben browsers en operating systems hun instellingen aangepast voor het gebruik van persoonsgegevens voor advertentiedoeleinden - zoals third-party cookies en tracking. De één doet dit veel eerder dan de ander:
‘Stiekeme’ workarounds
Omdat cookies vanaf volgend jaar helemaal niet meer bruikbaar zijn - vanwege de aanstaande blokkade van third-party cookies door Chrome, de browser met veruit het grootste marktaandeel - zoeken partijen naar alternatieven.
Alternatief 1: First Party Data
Door het verdwijnen van third-party cookies focussen veel organisaties tegenwoordig op het gebruik van first party data. Dit is de informatie die een organisatie, met toestemming van de klant, heeft vergaard zonder dat daar een tussenpartij aan te pas is gekomen. Via direct klantcontact, dus. Denk aan de klantenkaart van loyale consumenten, de gegevens die je met een bedrijf deelt bij het aanmaken van een account of de persoonlijke informatie die je invult bij het aanmelden voor een nieuwsbrief. First party data mag enkel gebruikt worden door de organisatie die deze informatie met toestemming heeft verzameld. Het is verboden om dit met andere partijen te delen. Zo is Meta (Facebook, Instagram en Whatsapp) in 2022 teruggefloten omdat zij in hun voorwaarden hadden verwerkt dat je automatisch toestemming geeft voor het delen van jouw gegevens met derden als je een profiel aanmaakt. Op 22 mei heeft Meta daarnaast een boete van 1.2 miljard euro opgelegd gekregen door de privacywaakhond van de Europese Unie.
Alternatief 2: Data Clean Rooms
Een ander alternatief dat ingezet wordt, zijn Data Clean Rooms. Deze DCRs anonimiseren de verzamelt persoonsgegevens. Daarna kan de data wel ‘volgens de regels’ gedeeld worden met derden. Echter wordt vaak vergeten dat je nog steeds gebruikmaakt van persoonsgegevens en daar is expliciet toestemming voor nodig. Deze route kan dus niet worden toegepast op de doelgroep die bij de consent-uitvraag het gebruik van persoonsgegevens weigert.
Alternatief 3: Fingerprinting
Tot slot wordt uitgebreid geëxperimenteerd met fingerprinting, dat gebruikmaakt van het gegeven dat computers altijd van elkaar verschillen: van elke computer kun je via de browser van de gebruiker een unieke ‘vingerafdruk’ maken. Met fingerprinting verzamelen organisaties data over een gebruiker. Veel partijen beweren deze gegevens (alleen) te gebruiken om fraude tegen te gaan. Dat is inderdaad een van de goede toepassingen, maar een fingerprint kan ook ingezet worden door adverteerders, om zonder third-party cookies alsnog te targeten op basis van persoonsgegevens, die opgeslagen zijn door het surfgedrag te koppelen aan het apparaat van de gebruiker.
Hoewel de bovenstaande ‘slimme alternatieven’ op papier dus geen third-party cookies nodig hebben, is er volgens de AVG nog steeds consent nodig van de gebruiker, omdat er bij Fingerprinting, Data Clean Rooms en het delen van First Party Cookies op een andere manier persoonsgegevens gebruikt worden voor advertentiedoeleinden. Partijen die terugvallen op deze alternatieven hebben een ‘stiemeke workaround’, maar slaan de kern van de wetgeving alsnog in de wind.
De persoonlijke data verzameld via third-party cookies - of deze drie nieuwe alternatieven - werd en wordt door adverteerders gebruikt om de meest relevante doelgroepen te bereiken. Het werd gezien als de enige manier om adverteren relevant te maken. Maar is het wel zo belangrijk om iemands locatie, leeftijd, geslacht en surfgedrag te weten? En wat zegt uniek bereik nog, nu mensen naast een laptop ook een tablet, smartphone en connected tv gebruiken, vaak zonder inlog?
Contextual targeting
Zowel voor adverteerders als publishers is het inmiddels bewezen dat je voor advertenties de relevantie kunt opzoeken op basis van wat iemand op dat moment leest. Advertenties uitleveren op basis van de inhoud van het artikel dat gelezen wordt, noemen we ‘contextual targeting’: je target niet op basis van gegevens van de gebruiker, maar op de inhoud van de content die geconsumeerd wordt. Voor wedkantoren en sportwinkels is het bijvoorbeeld interessant om te adverteren bij een artikel over voetbal of basketbal - ongeacht de persoonsgegevens van de lezer. Mensen die dat artikel lezen, zijn geïnteresseerd in sport. Wel kan contextual targeting soms voor ongemakkelijke situaties zorgen. Bij een negatief artikel over sport (bijvoorbeeld over supporters die zich misdragen), wil je als sportmerk misschien liever niet adverteren, terwijl de categorie wél klopt. Het beoordelen van dit fenomeen, of een advertentie ‘past’ bij de inhoud van het artikel, noemen we ‘brand suitability’.
Brand suitability
Contextual targeting naar een hoger niveau tillen kan dus door ook rekening te houden met ‘brand suitability’. De creatie en het merk moeten passen bij de content. Niet alleen bij het onderwerp/de categorie, maar ook bij het sentiment van het artikel. Als dit niet klopt, wordt de advertentie niet uitgeleverd. Helaas is heel veel nieuws negatief geladen, wat betekent dat je advertenties niet altijd kunt uitsluiten bij een artikel met negatief sentiment. Wél kun je beoordelen of dit voor het ene merk misschien een groter probleem is dan voor het andere. Een advertentie over aanbiedingen in een supermarkt kan bijvoorbeeld prima bij een artikel over een (woning)brand, waar een advertentie over een woonverzekering ongevoelig kan overkomen. Op deze manier kunnen we de balans vinden: het potentiële bereik voor adverteerders blijft behouden, terwijl je als publisher niet alles hoeft te blokkeren dat ‘negatief’ geladen is.
Tijd voor actie
Nu de groep mensen die cookies weigert met de dag groeit en ook Google Chrome vanaf 2024 cookies niet meer ondersteunt, is het hoog tijd voor actie indien je nu nog met behulp van cookies advertentieruimte inkoopt - of enkel advertenties op basis van persoonsgegevens op jouw website tolereert. Bovendien worden er wel degelijk boetes uitgedeeld. Als je de wetgeving overtreedt, kan je er zomaar eentje op de mat krijgen. Zo zijn Google en Facebook al op de bon geslingerd, maar ook een kleinere partij als Roularta moest € 50.000 euro betalen. Privacyvriendelijk adverteren is inmiddels overal mogelijk: op het web, maar ook in-app - bijvoorbeeld met de privacyvriendelijke SDK die Opt Out Advertising heeft ontwikkeld in samenwerking met Pinch. Dus: voorkom boetes. Privacyvriendelijk adverteren is inmiddels zo geavanceerd dat het zonde en compleet onnodig is om deze risico’s nog te nemen. Bovendien waardeert de consument het enorm als je diens privacy respecteert.
Vooruitblik
Al met al hebben er dus absoluut ontwikkelingen plaatsgevonden de afgelopen vijf jaar. Hoewel die niet allemaal even zichtbaar zijn, zit er wel beweging in de markt. We zien dat partijen blijven proberen om personen te herkennen met ‘workarounds’. Waren het voorheen cookies, dan zijn het nu ID's die precies hetzelfde doen als wat eigenlijk geblokkeerd zou moeten zijn. Dit zal blijven gebeuren en transformeren, tot erkend wordt dat dit niet het echte probleem oplost. Het is een kwestie van tijd dat ook deze alternatieve werkwijzen worden bestempeld als 'niet privacyvriendelijk' - wat de reden was voor het invoeren van de GDPR. Het gaat niet om de cookies als middel, maar om het gebruik van persoonsgegevens zonder dat mensen zich daarvan bewust zijn. Wij verwachten dat we een kant opgaan waarbij het voor adverteerders niet meer moet uitmaken of er consent is gegeven of niet. Zij kunnen te allen tijde de best passende doelgroep voor de boodschap bereiken. Maar dan wel op een eerlijke manier. Dus: bezoekers niet meer dwingen om consent te geven, accounts aan te maken of verplicht te laten betalen voor het lezen van het laatste nieuws.