Privacy International, een organisatie die zich wereldwijd inzet voor de bescherming van privacy, heeft de Europese autoriteiten gevraagd om de activiteiten te onderzoeken van zeven grote bedrijven en vast te stellen of deze in overeenstemming zijn met GDPR. De bedrijven zijn Acxiom, Oracle, Criteo, Quantcast, Tapad, Equifax en Experian.
Voor wie bekend is met het wereldje van digital marketing en online targeting, zitten er in het rijtje namen van gedaagde bedrijven geen grote verrassingen bij. Het gaat in alle gevallen om zogeheten third party audience en retargeting partijen. Ofwel aanbieders die zich bezighouden met het verrijken dan wel doorverkopen van data.
‘Samen profiteren deze bedrijven van de exploitatie van persoonlijke gegevens van miljoenen mensen in Groot Brittannië, in de rest van de Europese Unie en daarbuiten’, stelt de groep in een van de klachten die zij heeft ingediend bij het Britse Information Commissioner's Office. Klachten werden tevens ingediend bij de gegevensautoriteiten in Ierland en Frankrijk.
Toestemming
Waarom deze partijen? Het antwoord is eenvoudig, omdat ze volgens de aanklager zonder toestemming persoonsgegevens gebruiken voor andere doeleinden dan waarvoor toestemming is gevraagd (als die al op de juiste manier is verstrekt). Ook het ongevraagd koppelen van databases, wat nooit mocht, is Privacy International een doorn in het oog.
Voor Privacy International is het niet moeilijk om bewijsmateriaal om te verzamelen. Partijen hebben gewoon op hun website staan hoe zij consumenten targeten met look-a-like kalibratie. Wellicht ook heeft PI zich gemeld als klant om daarna te kijken wat er ‘in de exchange’ gebeurt. Dat kan ook eenvoudig als je toegang hebt tot zaken als ‘bidstreams’.
Let wel, het zijn aanklachten. Op dit moment is nog niemand schuldig bevonden. Wel roept deze aanklacht een aantal vragen op over eventuele implicaties voor merken en marketeers, mocht het inderdaad tot een veroordeling komen van de genoemde bedrijven.
Lastig domein
Grote organisaties zijn vaak niet goed bekend met de juridische implicaties van diensten zij inhuren voor online targeting, stelt een voor dit artikel geraadpleegde expert die niet met naam genoemd wil worden. Hun eigen data hebben organisaties goed op orde, wat daar buiten gebeurt is minder scherp. De complexe wereld van digitale advertising en marketing is voor ‘legal’ vaak een lastig domein. De neiging bestaat om te leunen op informatie die wordt verstrekt door collega’s van ‘digital’ en ‘marketing’.’
Onduidelijk is welk risico een merk loopt, als deze oplossingen gebruikt van aanbieders die – naar later blijkt – de GDPR-regels hebben overtreden. ‘Krijg je dan afnemer van deze oplossingen eveneens een boete? En hoe zit dat als daar nog een schakel tussen zit, zoals een consultancy of een mediabureau? Is het merk dat nog steeds aansprakelijk? Ik ben geen jurist, maar het is interessant om te zien hoe deze zaak een vervolg krijgt.’
Als het aan de gedaagde aanbieders komt, zal het zover niet komen. Engadget citeert een woordvoerder van Experian: "We have worked hard to ensure that we are compliant with GDPR and we continue to believe that our services meet its requirements."
Aanvullend stelt Criteo: "We have complete confidence in our privacy practices." Axciom liet zich al eerder in vergelijkbare bewoordingen uit.