Innovatie & Strategie
Opt-out geeft consument géén opt-out, blijkt uit onderzoek
Data worden tóch verzameld, verwerkt en gedeeld met derde partijen.
Data worden tóch verzameld, verwerkt en gedeeld met derde partijen.
Websites die hun bezoekers een opt-outmogelijkheid bieden voor datavergaring onthouden zich daarmee niet helemaal van het verzamelen van gebruikersgegevens. Opt-out betekent niet altijd opt-out, concluderen wetenschappers in een nieuw onderzoek. Zogeheten consent management platforms (CMP's) werken niet waterdicht.
Het onderzoek heeft CMP's van leveranciers als Didomi, Quantcast, OneTrust en Usercentrics aan de tand gevoeld. Die software moet de websites van hun gebruikers dusdanig laten functioneren dat ze kunnen voldoen aan databeschermingsregels en -wetten. Zoals bijvoorbeeld de EU-brede GDPR (General Data Protection Regulation) en de diverse nationale implementaties daarvan (in Nederland de AVG, Algemene verordening gegevensbescherming).
GDPR schenden
Drie onderzoekers van twee Amerikaanse universiteiten hebben dit belicht en komen na hun onderzoek tot de conclusie dat wet- en regelgeving geen afdoende privacybescherming biedt. In veel gevallen worden gegevens van websitebezoekers nog altijd verzameld, verwerkt en gedeeld - zelfs wanneer gebruikers voor een opt-out hebben gekozen.
"Onze bevindingen suggereren dat diverse prominente adverteerders mogelijk de GDPR en CCPA [California Consumer Privacy Act - red.] schenden", schrijven informatici Zengrui Liu en Nitesh Saxena (beide van de Texas A&M University) en Umar Iqbal (van de University of Washington) in hun onderzoekspaper. De bij wet geregelde mogelijkheid voor opt-out zou in de praktijk dus neerkomen op grofweg hetzelfde als Do-Not-Track, schrijft technieuwssite The Register. Do-Not-Track is een webspecificatie, vanuit de techindustrie, waarbij eindgebruikers hun voorkeur voor privacybescherming kunnen aangeven. Schendingen daarvan zijn echter mogelijk en sancties zijn onwaarschijnlijk.
Ongestraft tóch tracken
Een praktijkvoorbeeld is het tóch tracken van consumenten dat Google heeft gedaan bij iPhone-gebruikers, ondanks dat die Do-Not-Track 'aan' hadden staan in de Safari-browser van Apple. Een Britse belangengroep heeft hiervoor in 2018 een aanklacht ingediend, met miljardenclaim. Deze zaak is in 2021 echter afgeschoten door het Britse hooggerechtshof, omdat het een kansloze kwestie zou zijn. Het vaststellen van de datavergaring plus -verwerking en dan nog eens de schade voor consumenten zou juridisch niet rond te krijgen zijn, luidde de redenatie voor het afwijzen van deze groepsaanklacht.
Techjournalist, ICT-kenner en contentproducent bij AG Connect.
Behalve de AVG/GDPR verwarring wordt hier voorbij gegaan aan de wet die primair van toepassing is: ePrivacy of specifiek de Nederlandse artikel 11.7a van de Telecommunicatiewet. In Europa is opt-out in deze context irrelevant. Er is voorafgaande toestemming nodig.
"Zoals bijvoorbeeld de EU-brede GDPR (General Data Protection Regulation) en de diverse nationale implementaties daarvan (in Nederland de AVG, Algemene verordening gegevensbescherming). "
De AVG is niet de nationale implementatie van de GDPR, maar IS het Nederlandse woord voor de GDPR.
Nadere invulling daarvan in Nederland is (o.a.) de U-AVG.