Columns

Tracking & GDPR: ook de NOS doet het niet netjes

0

Column – Vorige week publiceerde de NOS een artikel over verzekeraars die, door middel van een pixel, gegevens delen met Facebook. De verontwaardiging was groot en een aantal verzekeraars besloot om de pixel direct te verwijderen. Maar de NOS gaf niet op en kopte twee dagen later: “Trackerwoede op zorgsites niet voorbij: surfgedrag nog steeds doorgestuurd.” Ook daarna bleef de NOS artikelen publiceren over het gebruik van foute trackers en adverteerders die data van klanten delen. Maar hoe zit het eigenlijk met de NOS zelf?

Op zich is het natuurlijk goed van de NOS om dit te publiceren. Het is de taak van journalisten om dingen aan de kaak te stellen, om burgers bewust te maken van de gevaren die ze lopen op het internet met betrekking tot hun privacy. Maar en passant werden in de artikelen ook nog politieke partijen en omroepen genoemd die zich schuldig maken aan het volgen van bezoekers en daarbij schoot één kort zinnetje mij in het verkeerde keelgat: “De NOS doet dat niet.”

NOS artikel pixelFeitelijk klopte dat zinnetje, want op nos.nl staat geen Facebook-pixel. Maar wel andere trackers! Hoogste tijd dus om de verontwaardiging van de NOS eens te analyseren.

Een Facebook-pixel is toegestaan

Het plaatsen van een Facebook-pixel is toegestaan, mits de bezoeker daarover geïnformeerd is en er toestemming voor geeft. De NOS vertelt dat er niet bij en doet daarmee toch wel een beetje aan stemmingmakerij. Natuurlijk kun je je afvragen hoeveel mensen weten waar ze toestemming voor geven, maar feit is dat ze het wel massaal doen. Een tweede probleem is dat veel websites dergelijke trackers plaatsen vóórdat de bezoeker toestemming heeft gegeven en dat is niet toegestaan.

Het is jammer dat de NOS niet helemaal volledig is geweest door het aspect van toestemming buiten beschouwing te laten. Met die toevoeging had de NOS namelijk aandacht kunnen vragen voor het fenomeen dat consumenten niet beseffen waar ze mee akkoord gaan en de vraag kunnen stellen of het misschien dan wel wettelijk is toegestaan, maar of het niet moreel verwerpelijk is. En dan natuurlijk ook gelijk de hand in eigen boezem steken, want dat doen ze niet!

De pot verwijt de ketel

De NOS is namelijk op het gebied van privacy allerminst het beste jongetje van de klas en doet naar hartenlust mee met het ‘tracken’ van bezoekers en deelt die informatie met advertentienetwerken. Een paar voorbeelden:

Google doubleclick

Het bekende cookie van het Adwords-advertentienetwerk waarmee bezoekers gepersonaliseerde advertenties te zien krijgen. De impact op de privacy is beperkt, maar toch.

Scorecard Research

Een tracker van het beruchte Amerikaanse bedrijf Comscore, dat in 2014 een schikking trof in een rechtszaak over de schending van privacy. Jawel, in de Verenigde Staten van Amerika, waar ze toch wat ruimer denken op dit gebied. Scorecard Research verzamelt allerlei gegevens van websitebezoekers en verkoopt die informatie aan derde partijen. Welke gegevens worden verzameld en waar ze mee worden gekoppeld, wil het bedrijf niet bekend maken. Maar ze maken wel duidelijk dat het om persoonsgegevens gaat die ze ook delen met adverteerders en andere derde partijen. Volgens de NOS doen ze dit niet met de gegevens die de NPO verzamelt, zie de reactie van de NOS hieronder.

Dergelijke bedrijven zijn in staat om gegevens uit meerdere bronnen te combineren tot complete profielen van gebruikers. De NOS schaart dit cookie in hun cookiemelding bij de analytische cookies, om daarmee te voorkomen dat een bezoeker om toestemming gevraagd moet worden; het wordt bij iedere bezoeker automatisch geplaatst, vanaf het eerste moment dat iemand de website bezoekt en zonder expliciete of impliciete toestemming.

Cookies

Chartbeat

Een tracker die populair aan het worden is bij uitgevers, maar waar vraagtekens bij gezet kunnen worden in verband met privacy. Chartbeat werd bij de NOS direct zonder toestemming gebruikt, maar dat is inmiddels aangepast; het wordt nu bij iedere bezoeker geplaatst die minimaal twee pagina’s bezoekt (ook als de bezoeker nog niet op de groene ‘Akkoord’-knop heeft geklikt). Dat wordt ‘impliciete toestemming’ genoemd en is onder de GDPR niet meer toegestaan.

Chartbeat werkt op basis van IP-adressen. Een volledig IP-adres is wettelijk gezien een persoonsgegeven. Dat is nu in Nederland al zo, maar straks in de hele EU zodra de GDPR van kracht is. Met Chartbeat kan de NOS precies zien welke artikelen ik bekijk, of ik naar beneden scroll en nog veel meer gedetailleerde informatie. Chartbeat kan deze informatie volgens hun voorwaarden gebruiken voor advertentiedoeleinden. Volgens de NOS worden geen volledige IP-adressen gebruikt (zie de reactie hieronder), maar dat blijkt niet uit de privacy voorwaarden van Chartbeat of de NOS en is ook niet te verifiëren.

Rubicon

Een advertentienetwerk dat op zijn website schrijft hoe via hun trackers gegevens worden verzameld die in de EU worden beschouwd als persoonsgegevens. Deze data deelt Rubicon weer met derde partijen en die kunnen zo ook weer worden gecombineerd met gegevens van dezelfde persoon uit andere bronnen.

Andere advertentienetwerken waarmee de NOS gegevens deelt zijn o.a. AppNexus en SpotX. Afhankelijk van de content van de pagina worden ook andere trackers geplaatst, bijvoorbeeld van Twitter.

NOS trackers

De reactie van de NOS

De NOS doet niet alleen zelf mee met het tracken van bezoekers en het delen van die gegevens met advertentienetwerken, maar begeeft zich ook in een grijs gebied als het gaat om het verwerken en delen van persoonsgegevens zonder duidelijke toestemming vooraf van de bezoeker.

Ik heb de NOS een week geleden om een reactie gevraagd. Een woordvoerder beloofde om erop terug te komen, maar dat was een week later nog niet gebeurd. Vandaag heb ik de NOS nogmaals telefonisch benaderd en kwamen ze kort voor publicatie van dit artikel met een reactie:

Chartbeat heeft ons laten weten dat ze geen identificeerbare persoonlijke informatie verzamelen. De laatste cijfers van het IP-adres van de gebruiker worden geconverteerd tot nullen om zo de data te anonimiseren.

Dit is helaas niet te controleren, zoals wel mogelijk is bij andere analytische software. Bovendien wordt in de privacy voorwaarden van Chartbeat gesproken over IP-adressen zonder de toevoeging die de NOS nu geeft: “Chartbeat does collect IP addresses from visitors to Customer Websites in order to show geolocation information.” Ik vertrouw erop dat de NOS dit goed heeft gecheckt, maar het blijft voor een bezoeker moeilijk om de juiste informatie over het gebruik van Chartbeat door de NOS te vinden. Het Chartbeat cookie wordt op de cookiepagina van de NOS vermeld in de categorie ‘Overig’ waarvan de NOS zelf zegt dat daarbij “mogelijk persoonsgegevens worden verwerkt”. Er wordt geen opt-out mogelijkheid geboden.

Met betrekking tot Comscore zegt de NOS:

Verder heeft de NPO met Comscore een overeenkomst gesloten waarin is vastgelegd dat de verzamelde data op de publieke omroep-site enkel en alleen worden gebruikt voor analyse ten behoeve van de publieke omroep.

Ervan uitgaande dat deze overeenkomst waterdicht is, blijft het de vraag hoe bezoekers van nos.nl het vinden dat ze zonder toestemming over alle websites van de publieke omroep worden gevolgd en is het de vraag wat de NOS en de andere omroepen met deze profilering en persoonsgegevens doen.

De situatie na de GDPR

Een schrale troost: de NOS staat niet alleen. Het is moeilijk om een website te vinden die het helemaal volgens de regels doet. Ik kijk daarom uit naar 25 mei, als de nieuwe Europese wetgeving GDPR van kracht wordt. Al die trackers die gebruik maken van persoonsgegevens – zoals een volledig IP-adres, social media trackers, remarketing cookies en andere advertentiecookies – mogen dan alleen nog maar worden geplaatst met een actieve en ondubbelzinnige opt-in per doel.

Geen groene knop meer met ‘OK’ voor alle cookies, waardoor je als onwetende consument je privacy met één klik overboord gooit. Geen cookiepagina’s meer waar alle keuzes al voor je zijn aangevinkt en geen websitestatistieken meer op basis van volledige IP-adressen. Ook cookiemuren zullen we in de praktijk steeds minder gaan zien, omdat ze alleen nog maar gebruikt kunnen worden voor cookies waar geen toestemming voor nodig is.

De GDPR geeft consumenten het recht om weer volledige controle uit te oefenen op eigen gegevens. Ik hoop echt dat we daar massaal gebruik van gaan maken. Uitgevers en bureaus moeten dan gaan nadenken over andere vormen van adverteren en over statistieken die écht anoniem zijn en niet worden gedeeld. Na de GDPR ontstaat er een nieuwe en betere situatie.