Eerlijk gezegd hoop ik dat adverteerders al langer nadenken over adverteren op platforms als Meta. Immers: aanleiding genoeg. Recent heeft de rechtbank Amsterdam bijvoorbeeld geoordeeld dat Facebook geen rechtsgeldige toestemming had verkregen om persoonsgegevens te gebruiken voor advertentiedoeleinden. En vorig jaar heeft de Belgische privacy-toezichthouder het IAB een ‘cookie’ van eigen deeg gegeven omtrent het Transparency and Consent Framework. Ook hier rammelde de toestemming. En wat de denken van de recente discussies over de inzet van dubieuze AI-chatbots door social media platforms.
Probleem uitgelegd
Maar goed, de aanleiding voor dit blog is de recente boete van maar liefst 1,2 miljard euro aan Meta. Het is by far de hoogste boete in Europa tot nu toe voor het schenden van de privacy. En die schending ziet ogenschijnlijks op iets kleins: de doorgifte van persoonsgegevens naar de Verenigde Staten.
Maar helaas is dit bepaald geen klein ding. Het is een serieus probleem dat al bijna drie jaar speelt, en waarvoor nog steeds geen oplossing is gevonden. Ik leg het probleem kort uit.
De AVG vindt iets van doorgifte van persoonsgegevens naar landen buiten de EU. Namelijk dat onze EU-privacy-rechten zoals vastgelegd in de AVG in dat land ook moeten zijn gewaarborgd. En het hoogste Europese rechtsorgaan, het EU Hof van Justitie (EHvJ), heeft in 2020 geoordeeld dat dit in de VS níet het geval is. Volgens het EHvJ is het als Europeaan niet mogelijk om geheime diensten als de NSA in de Verenigde Staten voor een onafhankelijke rechter te slepen. Het probleem is dus de Amerikaanse wetgeving daar. En het EHvJ zet vervolgens een streep door de afspraak tussen de EU en de VS voor die doorgifte: het vernietigt het zogenaamde Privacy Shield.
Adverteerders moeten nadenken
Waar de verwarring vervolgens ontstaat - is dat het EHvJ in diezelfde uitspraak - ook aangeeft dat de zogenaamde Standard Contractual Clauses (SCC) van de EU, die als instrument gebruikt kunnen worden voor doorgiftes buiten de EU, wel voldoen aan de AVG. Althans, mits er een data transfer impact assessment (DTIA) wordt gedaan. Dus dacht iedereen: ‘oh, dus met een DTIA in combinatie met de SCC kun je gewoon gegevens naar de Verenigde Staten blijven sturen.’ Maar dat heeft het EHvJ natuurlijk niet bedoeld, want met die DTIA neem je het probleem van de Amerikaanse wetgeving niet weg.
Alle Amerikaanse big tech hebben vervolgens wel voor die route gekozen: de SCC – DTIA-vlieger. Voor de zekerheid: dit spreken ze met zichzelf af, dus de Europese vestiging van Facebook spreekt dit af met de Amerikaanse vestiging van Facebook. Idem voor Microsoft, AWS (Amazon) en ga zo maar door. Maar de boete van Meta leert dat deze SCC – DTIA-vlieger niet opgaat. Ik durf wel te stellen dat de boete aan Meta ook als signaal is bedoeld aan alle Amerikaanse big tech: ‘you’ve got a problem.’
En nu komt mijn uitsmijter: dit signaal moet je je als adverteerder natuurlijk ook aantrekken. Want je kunt nu met goed fatsoen niet meer ontkennen dat Amerikaanse (social media) platformen de AVG schenden, hoe graag je er ook op adverteert. En de gebruikers die door jou op die platformen worden getarget, weten dit ook. En daar zit je grootste gevaar. Niet alleen juridisch.
En dit is natuurlijk niet anders met Chinese initiatieven als TikTok. Want als de Amerikaanse wetgeving al niet voldoet, dan laat de uitkomst over de Chinese wetgeving zich wel raden.
Succes met nadenken.
Menno Weij is partner bij BDO en gespecialiseerd in Tech & Privacy recht
Lees ook
- Digital transformation & tech Onderzoek: TikToks advertentiebeleid overtreedt de Europese privacywet
- Privacy Waarom TikTok zijn controversiële privacybeleid uitstelt
- Media Waarom de overheid dreigt te stoppen met communiceren via Facebook
- Data & insights Rechter: Facebook heeft Nederlandse persoonsgegevens ten onrechte gebruikt voor advertentiedoeleinden
Plaats als eerste een reactie
Ook een reactie plaatsen? Word lid van Adformatie!