Reportages

Real time bidding onder vuur: je wordt tientallen keren per dag verkocht

0

Tijdens het speurwerk van Robert Mueller naar de relatie tussen de verkiezingscampagne van Trump en Rusland was Cambridge Analytica onderwerp van discussie. Hetzelfde gold ook voor het onderzoek van het Britse Lagerhuis naar nepnieuws en disinformatie. Het strategische communicatiebedrijf maakte ongeoorloofd gebruik van gebruikersdata van Facebook voor politieke online advertenties. Hoewel het effect van deze inmenging op beide stembusgangen wordt betwist, zijn gepersonaliseerde online advertenties een ondoorgrondelijk marketingfenomeen. De Nederlandse Autoriteit Persoonsgegevens beraadt zich op stappen tegen het systeem achter dit verschijnsel.

“Keuzestress?” vraagt een VPRO-advertentie op een Nederlandse nieuwssite. In ieder geval niet voor de bezoeker van de website. Hooguit voor de honderden partijen die de advertentieruimte willen vullen. Is de potentiële klant interessant voor hun product of dienst? En mogen ze deze keer wel hun advertentie plaatsen? Hoewel overspannen en luidkeelse handelstaferelen voor de hand liggen, vinden advertentieveilingen op internet geruisloos plaats. Zonder stress. Computers kennen geen emoties. Ze kennen op basis van data alleen persoonlijke informatie van consumenten. En daar willen hun opdrachtgevers door behavioral targeting zo gericht mogelijk op inspelen.

Het gegeven dat websites of apps advertenties weergeven mag bekend zijn, de wereld die daar achter ligt niet. Volgens Ailidh Callander, advocate bij Privacy International, een wereldwijde voorvechter van privacy, is er weinig aandacht voor de bedrijven die onderdeel zijn van het systeem voor real time bidding. Laat staan dat hun praktijken worden getrotseerd.

Gebrek aan transparantie

Op zich zijn gerichte gepersonaliseerde advertenties een loffelijk streven, want de aangeboden informatie lijkt relevant voor een consument. Het nadeel is dat volgens een gezamenlijke klacht van de Open Rights Group (een Britse digitale rechtenorganisatie), University College London en Brave (een bedrijf gericht op een privacyvriendelijk en veilig internet) online advertentieveilingen gevoelige informatie versturen over internetgebruikers. Volgens de New Economics Foundation (een Britse denktank) gebeurt dit alleen al in Groot-Brittannië zo’n 164 keer per persoon per dag. Niet bekend is hoeveel organisaties informatie ontvangen over wat mensen lezen, kijken en luisteren op het internet. Schattingen lopen in de duizenden. Vanwege dit gebrek aan transparantie komt het systeem steeds meer onder vuur te liggen.

Kloppen de profielen wel?

Naast dringende vragen over veiligheid en privacy, zijn nog meer kanttekeningen te maken bij het realtimebidding-systeem, bijvoorbeeld over de accuraatheid van de gebruikte klantprofielen. Klopt het profiel aan de hand van beschikbare data? Als iemand regelmatig iets leest over depressies, is deze persoon dan patiënt, psychiater, student, nabestaande of onderzoeker? De juistheid van de conclusie maakt nogal uit. En hoe valt dit door een consument te controleren?

Als iemand regelmatig iets leest over depressies, is deze persoon dan patiënt, psychiater, student, nabestaande of onderzoeker?

Verder, in hoeverre leidt real time bidding onbedoeld tot discriminatie, bijvoorbeeld op basis van leeftijd, inkomen of ras? En welke partijen ontvangen de informatie, als je even terugdenkt aan de dubieuze politieke praktijken van Cambridge Analytica? Een transparant systeem, waarbij de verschillende partijen bekend zijn en consumenten weten hoe organisaties hun data gebruiken, helpt misstanden te voorkomen en consumenten hun privacyrechten uit te oefenen.

Hoe werkt het?

Het systeem voor real time bidding werkt als volgt. Zodra een gebruiker een website met advertentieruimte bezoekt, gaat er een advertentieverzoek naar verschillende Supply Side Platforms (SSP). Tegelijkertijd stuurt een cookie informatie over bijvoorbeeld leeftijd, geslacht, surfgeschiedenis en de locatie van de bezoeker naar het geselecteerde SSP. Het SSP kiest vervolgens een bepaalde Ad Exchange, een marktplaats voor aanbieders en kopers van advertentieruimte, en stuurt een advertentieverzoek. De desbetreffende Ad Exchange vraagt een bod aan bij honderden Demand Side Platforms (DSP). Zo’n DSP helpt de aangesloten adverteerders, merken en advertentiebureaus te bieden op de advertentieruimte.

Een DSP informeert eerst een Data Management Platform (DMP) over de kenmerken van de websitebezoeker om te checken of deze informatie overeenkomt met een bepaald klantenprofiel. Op basis van klantendata van merken en data verkregen van datahandelaren ontwikkelt een DMP profielen en klantsegmenten.

Soms zijn DSP’s en DMP’s onderdeel van hetzelfde bedrijf, maar soms ook niet. Past bezoekersinformatie bij een segment, dan biedt een adverteerder of merk op de aangeboden advertentieruimte. De hoogste bieder wint de advertentieruimte, waarna de advertentie verschijnt op het scherm van de bezoeker van de website.

Advertentieveiling in een oogwenk

Waar het lezen van de uitleg in bovenstaande alinea’s ongeveer 60 seconden duurt, vinden advertentieveilingen in werkelijkheid in een oogwenk plaats. Maar de milliseconden die een veiling duurt zitten vol met momenten die een probleem zijn voor het beschermen van persoonlijke data.

“Niemand weet hoeveel en welke partijen tijdens een veiling persoonlijke data van websitebezoekers krijgen en dat is een ramp,” aldus Jonny Ryan, hoofd beleid en industriële relaties bij Brave. “Iedere partij die tijdens een veiling persoonlijke gegevens ontvangt, kan ongevraagd gedragsprofielen opstellen of de data verhandelen. Er is geen controle over wat er met de persoonlijke data gebeurt,” vervolgt hij. “Ook is het volgen van advertenties zonder duidelijke toestemming van de websitebezoeker een probleem onder de nieuwe Europese privacywetgeving. Zeker waar het gevoelige informatie betreft.” Hij noemt het voorbeeld van iemand die een halal voedingswebsite bezoekt. Het bezoek zegt mogelijk iets over de etniciteit of geloofsovertuiging van die persoon.

Aanklacht tegen het huidige systeem

De Poolse, Ierse en Britse Autoriteit Persoonsgegevens moeten inmiddels kleur bekennen wat betreft advertentieveilingen. Medio januari 2019 dienen de Panoptykon Foundation (een Poolse digitale rechten organisatie), de Open Rights Group, University College London en het bedrijf Brave een gezamenlijke klacht in bij deze toezichthouders. Het gebruik van en de handel in zeer gedetailleerde profielen als onderdeel van het huidige systeem moet volgens de klagers stoppen. Ze zijn niet tegen online advertenties, maar ageren tegen ontwikkelingen waarbij het systeem meer lijkt op surveillance en privacyrechten van consumenten schendt, zonder dat consumenten daar controle over hebben. Terwijl gedetailleerde profielen volgens de partners niet nodig zijn om online advertenties voor zowel aanbieders als kopers winstgevend te maken.

Ze ageren tegen ontwikkelingen waarbij het systeem meer lijkt op surveillance en privacyrechten van consumenten schendt, zonder dat consumenten daar controle over hebben.

In hun klacht beschuldigen ze bedrijven betrokken bij advertentieveilingen, waaronder (maar niet alleen) Google, van onwettige praktijken. Zo zouden deze bedrijven intieme profielen maken van internetgebruikers op basis van data verkregen via advertentieveilingen. Gebruikte categorieën zijn onder andere eetstoornissen, drugsmisbruik, ziektes, seksuele voorkeur, linkse politiek en rechtse politiek. Een lijst van 26 pagina’s met honderden categorieën persoonsinformatie die alleen al Google toepast, ondersteunt de klacht.

Het Interactive Advertising Bureau (IAB), de organisatie die de regels van de advertentieveilingen opstelt, noemt rubrieken als kindermisbruik, geloofsovertuiging en politieke kwesties (bijvoorbeeld immigratie). De nieuwe Europese privacywet beschouwt de informatie in deze categorieën als speciaal, waardoor er strengere privacyregels gelden. Inmiddels hebben de partners een extra klacht ingediend waarin zij stellen dat IAB wist dat het huidige systeem voor real time bidding in strijd is met de nieuwe privacywetgeving, maar daar niets aan deed.

Ook aandacht voor het probleem in Nederland

Advertentieveilingen hebben inmiddels ook de aandacht van de Nederlandse Autoriteit Persoonsgegevens. Robbert van Eijk (senior inspecteur bij deze organisatie) heeft een proefschrift over het onderwerp geschreven dat hij begin dit jaar succesvol verdedigde. Hij ontwikkelde een methode om de partijen binnen het systeem van advertentieveilingen in kaart te brengen. De methode laat ook zien welke rol partijen in het netwerk hebben bij het verzamelen en delen van data van websitebezoekers. Navraag leert dat de privacywaakhond de conclusies ter harte neemt en zich op verdere stappen beraadt. De Autoriteit Persoonsgegevens doet echter geen concrete uitspraken over vervolgonderzoek naar real time bidding.