De DDMA Barometer 2022 laat zien dat de afhankelijkheid van third-party cookies in de marketingsector nog steeds groot is. Daarom bespreek ik in dit artikel de 5 belangrijkste juridische ontwikkelingen die invloed hebben op het gebruik van cookies. In de DDMA Legal Masterclass: Measurement & Optimization in een cookieless world op 8 december 2022 gaan we hier in een middag lang nog dieper op in, uiteraard met korting voor DDMA-leden.
1. ePrivacy Verordening
De wet die de ePrivacy Richtlijn (en daarmee Telecommunicatiewet) moet vervangen, ligt al sinds 2017 op de tekentafel in Brussel. Eén van de hete hangijzers in dit proces is het gebruik van cookies. De discussie gaat met name om 2 punten: 1. Moet er een mogelijkheid komen tot het blokkeren van third-party cookies via de browser? En 2. Moet een cookiewall verboden worden?
Door het langzame besluitvormingsproces lijkt de techniek en de praktijk de ePrivacy Verordening op sommige punten al te hebben ingehaald (want de uitfasering van third-party cookies door de grote tech-partijen is zoals bekend al begonnen).
Meer informatie op onze dossierpagina over de ePrivacy Verordening
2. Digital Services Act
Op 16 november is de finale tekst van de Digital Services Act (DSA) van kracht geworden. In dit pakket van nieuwe regels voor digitale diensten staan een paar interessante punten die invloed hebben op het gebruik van cookies en gepersonaliseerd adverteren:
- Verbod op gerichte advertenties voor kinderen
- Verbod op gerichte advertenties die zijn gebaseerd op de verwerking van bijzondere persoonsgegevens: het gaat dan bijvoorbeeld om persoonsgegevens over iemands ras, godsdienst of gezondheid.
- Verbod op het gebruik van dark patterns: het is voor online platforms niet langer toegestaan ‘online interfaces’ zodanig te ontwerpen dat gebruikers daardoor worden misleid of gemanipuleerd.
- Regels over transparantie ten aanzien van online reclame: er komen extra transparantieverplichtingen voor online platforms wanneer zij online advertenties tonen. Zo moet uit een register onder andere duidelijk blijken namens wie reclame wordt gemaakt en wie voor de reclame heeft betaald (als dit een andere partij is).
Meer informatie op: Finale tekst van de Digital Services Act gepubliceerd: dit zijn de 5 belangrijkste punten – DDMA
3. Nudging in cookiebanners
Door gebruik van personalisatie en algoritmes proberen we consumenten te helpen bij het maken van keuzes. Het beïnvloeden van consumenten ligt onder het vergrootglas bij de (Europese) wetgever en toezichthouders. ‘Nudging’ is in beginsel toegestaan, maar de wet stelt wel grenzen aan die beïnvloeding.
In Duitsland en Frankrijk zijn al boetes gevallen voor het gebruik van dit soort technieken in cookiebanners, onder meer voor de cookiebanner van Google. Ook in Nederland besteedt de ACM in haar Leidraad Bescherming van de Online Consument aandacht aan nudging. Daarnaast heeft NOYB de organisatie van privacyactivist Max Schrems, dit jaar opnieuw honderden klachten hierover ingediend bij verschillende toezichthouders in Europa.
Meer informatie op onze dossierpagina over Nudging en dark patterns
4. Transparancy and Consent Framework onder vuur
De Belgische Gegevensbeschermingsautoriteit (GBA) heeft op 2 februari 2022 geoordeeld dat het Transparency and Consent Framework (TCF) in strijd is met de AVG. Het TCF wordt veel gebruikt op de Europese online advertentiemarkt. Organisaties gebruiken het systeem om cookies te plaatsen voor het verzamelen van persoonsgegevens, die ingezet worden in het Real Time Bidding-proces voor online advertenties. IAB Europe, de ontwikkelaar van het systeem, kreeg een boete van 250.000 euro en 2 maanden de tijd om met een plan te komen waarmee de strijdigheid met de AVG wordt opgelost. Inmiddels heeft IAB de nodige aanpassingen gedaan, maar zijn ook in beroep gegaan tegen het besluit. De Nederlandse Autoriteit Persoonsgegevens heeft als reactie hierop in de media ook waarschuwende taal laten horen. Tot op heden zijn er in Nederland echter geen boetes gevallen voor dit systeem.
5. Data delen buiten de EU
Een laatste heikel dossier is het delen van data buiten de EU. Sinds het Privacy Shield in juli 2020 ongeldig werd verklaard, is doorgifte van persoonsgegevens naar de Verenigde Staten officieel niet meer toegestaan. In lijn daarmee hebben verschillende Europese privacytoezichthouders geoordeeld dat het gebruik van Google Analytics in specifieke omstandigheden in strijd is met de AVG. Een duidelijke oplossing is er nog niet, maar onlangs hebben de Europese Commissie en de VS wel een principeakkoord gesloten om hiermee aan de slag te gaan én heeft de Amerikaanse president biden hier inmiddels de eerste stap in gezet met een ‘Executive Order’. Daarnaast heeft Google aangekondigd in de nieuwe versie van Google Analytics (4) meer privacymaatregelen te nemen.
Meer informatie op onze dossierpagina over Google Analytics
In de DDMA Legal Masterclass: Measurement & Optimization in een cookieless world praten we je op 8 december 2022 bij over alle juridische ontwikkelingen op het gebied van ‘de cookieless world.’ Daarna weet jij precies hoe je hierop moet anticiperen binnen je dagelijkse praktijk. DDMA-leden krijgen uiteraard korting.
Ben je lid van DDMA en heb je een juridische vraag? Stuur een mailtje naar legal@ddma.nl.