Eén miljoen toestemmingen?

Reclame bedrijf JCDecaux wil graag weten hoeveel mensen hun reclamezuilen in de publieke ruimte zien. Afgelopen week verscheen er een triomfantelijk bericht bij Marketing Tribune dat JCDecaux nu meer inzicht heeft in de hoeveelheid impressies op basis van smartphone data:

JCDecaux krijgt meer inzicht in aantallen mensen en impressies rondom zijn digitale schermen. De nieuwe methode meet namelijk nauwkeurig door middel van de smartphones van voorbijgangers.
Het mobiele panel van partner Resono bestaat uit ruim een miljoen Nederlanders die via hun smartphone meehelpen de drukte rond de digitale schermen van JCDecaux te meten.
Zij hebben toestemming gegeven dat deze gegevens verzameld worden, volledig geanonimiseerd en strikt volgens de Europese privacyregels.

Eén miljoen Nederlanders zouden dus toestemming hebben gegeven om hen te volgen. De partner van JCDecaux – Resono – meldt vol trots op hun website dat zelfs 7 miljoen Nederlanders toestemming hebben gegeven. Zie je het al voor je? Eén (of zelfs zeven) miljoen Nederlanders die toestemming hebben gegeven om hen te volgen?

Privacyregels

De toestemmingen zouden verkregen zijn conform de Europese privacyregels. De Nederlandse implementatie daarvan is de Algemene Verordening Gegevensbescherming (AVG). Volgens de Autoriteit Persoonsgegevens (AP) zijn er drie mogelijk gronden op basis waarvan mobiele telefoons gevolgd mogen worden: toestemming, overeenkomst en gerechtvaardigd belang. JCDecaux (en op de achtergrond Resono) claimt dus van één miljoen Nederlanders toestemming te hebben. Als je echter kijkt naar de eisen die de AVG stelt aan de geldigheid van een toestemming, dan lijkt het mij zeer onwaarschijnlijk dat de toestemming van één miljoen Nederlanders daaraan voldoet. Een rechtsgeldige toestemming moet namelijk voldoen aan de volgende eisen:

  1. Vrijelijk gegeven. Er mag geen enkele sprake zijn van druk.
  2. Ondubbelzinnig. De toestemming moet expliciet zijn. Geen vooraangevinkte vakjes dus.
  3. Geïnformeerd. De informatie over hetgeen waarvoor toestemming wordt gevraagd moet duidelijk en in eenvoudige taal worden gegeven voordat de toestemming daadwerkelijk wordt gevraagd.
  4. Specifiek. Het doel moet duidelijk en specifiek zijn. Meerdere doelen? Dan ook meerdere keren om toestemming vragen.

Laat bovenstaande eisen even op je inwerken. Wie gelooft er nu nog dat één miljoen Nederlanders (laat staan zeven miljoen) onder deze voorwaarden toestemming hebben gegeven?

Echt geanonimiseerd?

Verder stellen JCDecaux/Resono dat de gegevens volledig worden geanonimiseerd. Je kunt echter pas spreken van volledige anonimisering als deze onomkeerbaar is. Als dit wel omkeerbaar is, dan is er sprake van pseudonimisering in plaats van anonimisering. De gevolgde persoon mag zowel direct als indirect niet identificeerbaar zijn. Gezien de casussen waarmee Resono pronkt, is het ook discutabel of de persoonsgegevens echt zijn geanonimiseerd. En zelfs al zou de data wel volledig geanonimiseerd zijn, dan kunnen individuen vaak alsnog worden geïdentificeerd zoals een onderzoek van MIT liet zien.

Herkomst toestemmingen

Aangezien het toch erg onwaarschijnlijk is dat zeven miljoen Nederlanders onder de hierboven genoemde voorwaarden toestemming hebben verleend, kan het bijna niet anders dan dat Resono al deze Nederlanders daar met wat handigheidjes in heeft laten tuinen. Hoe? Dat blijft vooralsnog gissen, maar er zijn wel wat vermoedens. Door het bijvoorbeeld in de voorwaarden van een kortingscoupon te verwerken. Of een geniepige cookie-acceptatie-truc:

Snel naar de tekst toe scrollen om die te kunnen lezen zorgt ervoor dat je automatisch cookies accepteert. Je krijgt nog 1 seconde de tijd om dit ongedaan te maken:


Maar dan is je kans ook echt verkeken. Het zou me niet verbazen als Resono nog meer van dergelijke trucs in huis heeft om data van mensen te kunnen verzamelen.

Kortom: een interessante casus voor de AP om eens te beoordelen.

  1. 1

    Het is ook helemaal niet nodig. Je kunt mobiele telefoons, met behulp van passieve antennes, gewoon volgen. Op honderden meters. Die dingen knetteren continu hun MAC adres de ether in.

  2. 3

    @1, @2: Dat is alleen toegestaan in je winkel, als je het duidelijk aangeeft én als het daadwerkelijk ook alleen in je winkel is. Zodra passanten worden meegenomen, dan mag het al weer niet. In winkelstraten is dat dus uit den boze.

  3. 4

    Dat laatste doet me denken dat dit ook niet mag. Informatie van smartphones die niet ja hebben gezegd wordt namelijk ook verwerkt. Het wordt weer weggegooid.

  4. 6

    Ik durf er wel een fles wijn om te verwedden dat JCDecaux of Resono in ieder geval geen toestemming voor dit soort praktijken halen via een cookiemelding. De enige mensen die op hun mobiele telefoon die websites bezoeken zijn marketing professionals lijkt me.

    Ik vermoed dat dit gekoppeld is aan het gebruik van gratis wifi in de winkel, dan kom je wellicht wel aan 1 miljoen. Dan geef je ook actief toestemming het MAC adres op te slaan. Dat zal zich niet beperken tot de muur, maar ook een stuk winkelstraat erbuiten in een straal van weet ik veel wat, dan pik je vast wel een reclamebord mee.

  5. 8

    Het AP is een tandeloze tijger, daar zou ik mijn hoop niet op vestigen. Veel verantwoordelijkheden maar geen capaciteit. Heb ze laatst gebeld voor een klacht, het zou 9 maanden duren voordat die klacht überhaupt beoordeeld zou worden.