Wijst VS Europa de weg in gedragsmarketing?

Het College Bescherming Persoonsgegevens (CBP) gaf haar bereidwillige medewerking om de TNO-rapporten, na enige anonimisering, vrij te geven. Het eerste is van 9 februari 2009 en heet 'Privacy aspecten van digitale televisie' en het tweede van 17 april 2009 met als titel 'Verkenning behavioral targeting op Internet'.

Het eerste was ingegeven door de mogelijkheid om kijkgedrag per abonnee vast te leggen door aanbieders van digitale televisie die een interactief kanaal aanbieden. Met IPTV en digitale kabeldiensten wordt dat mogelijk. Keuzes door abonnees kan de aanbieder vastleggen om er een profiel van te maken ten behoeve van dienstverlening, al dan niet commercieel. 'Datamining' zou kunnen oprukken in de tv-markt.

De conclusie van TNO was dat het zo'n vaart nog niet loopt met het opbouwen van databanken met bestel en/of kijkgedrag van individuele klanten. Dat is mede het gevolg van een 'stabiele inkomstenstroom' van de kabelaars uit tv-diensten. Maar in een omgeving met meer concurrentie zouden ze ertoe kunnen overgaan om adverteerders te trekken op grond van getoonde, vastgelegde interesses van kijkers.

Dat is ook opgenomen in algemene voorwaarden van de tv-aanbieders. Bij KPN en Ziggo kunnen persoonlijke gegevens na opt-in van de abonnee (actieve toestemming) worden gedeeld met adverteerders, bij Tele2 en UPC kan het ook maar zonder opt-in volgens de tabel van TNO.

TNO verwacht dat marketing op basis van kijkgedrag het eerst zal plaatsgrijpen op internet met commerciële diensten als RTLgemist waar voorkeuren nauwkeurig vastgelegd kunnen worden op IP-nummer en op naam indien gebruikers zich aanmelden.

SNS Bank

Boeiender is het TNO-rapport over behavioral targeting (BT) daar er wel concrete voorbeelden van waren begin 2009 - en nu overigens, anderhalf jaar later, nog veel meer. TNO deed onderzoek met hulp van digitaal marketingbedrijf Wunderloop, van reclamenetwerk en adviseur van webexploitanten WebAds en van SNS Bank die gedragsmarketing al geruime tijd inzet.

De belangrijkste conclusie is dat BT onbekend en onbemind was bij adverteerders en consumenten er vrijwel niets van wisten. De online reclamebranche zelf deed volgens TNO te weinig aan transparantie nam daarmee het risico dat haar praktijken in een negatief daglicht zouden komen te staan. Beste voorbeeld was destijds BT (KPN van Engeland) die met bedrijf Phorm surfdata verzamelde zonder haar klanten daar fatsoenlijk in te kennen. Er moesten ook nodig regels komen volgens TNO.

Sanoma als voorbeeld

Voorstellen voor regulering van gedragsmarketing zijn er inmiddels volop, ofschoon consumenten ook anno 2010 nog geen benul hebben wat er speelt, maar adverteerders en hun media- en reclamebureaus bouwen kennis snel op. Nieuw media vakblad Emerce publiceert daar regelmatig over. Net als het blad in 2008 volgens TNO al publiceerde dat Wunderloop de data van het surfen, IPTV kijken en mobiele platforms kon integreren.

Consumenten hebben geen idee dat data worden verzameld, wat volgens WebAds ertoe zou kunnen leiden dat ze het eng vinden en gaan tegenwerken. Dat verhinderen van dataverzameling - vrijwel altijd met cookies van de aanbieder op de pc's van klanten - is mogelijk in de browser. Maar wie cookies 'uitzet' loopt ook de kans om van sommige diensten verstoken te blijven.

Zo schrijft TNO dat Ilse Media profielen van gebruikers maakt en 'verkoopt' aan adverteerders. "De mogelijkheid om daarna nog enige controle uit te oefenen is zeer beperkt."

In de privacyverklaring van Sanoma Digital - voorheen Ilse Media - lezen we nu: " Sanoma Digital verzamelt en verwerkt via de door haar geëxploiteerde websites persoonsgegevens... om gericht aanbiedingen te doen, zo kan bijvoorbeeld een advertentie worden getoond van een product waarvan Sanoma Digital op basis van door haar verwerkte gegevens vermoedt dat het je interesse heeft. In het kader van de optimalisatie van het doen van de aanbiedingen kan Sanoma Digital een profiel van je opstellen."

En over het delen van die profielen en data staat dat Sanoma die binnen het concern kan combineren met bijvoorbeeld abonneedata. Over het delen met derden zoals adverteerders: "Adresgegevens kunnen voorts voor het per post toezenden van informatie en aanbiedingen worden verstrekt aan zorgvuldig geselecteerde derden (onder andere 'list rental').

Uitsluitend indien jij Sanoma Digital daarvoor ondubbelzinnige toestemming hebt gegeven, kan Sanoma Digital je elektronische gegevens verstrekken aan derden voor het toesturen van informatie en aanbiedingen over hun producten en diensten."

De laatste alinea gaat uit van opt-in: zonder ondubbelzinnige toestemming (vinkjes dus) geen gebruik van data door derden. Grote exploitanten zoals Sanoma en Telegraaf hebben meer kans dan kleine om in hun eigen netwerk data te gebruiken. Kleine partijen zullen commercieel meer onder druk komen om zoveel mogelijk interesses verzameld met cookies, bij voorkeur met login-data, aan online marketingbureaus en mediabureaus te verkopen.

Profielen commercieel aantrekkelijk

De reclamebranche stort zich op 'profiling', zo bleek ook uit een artikel in reclamevakblad Adformatie deze week. "Mediabureaus knabbelen aan de business van online publishers. Mediabureaus zullen de komende jaren op grote schaal investeren in het opbouwen van kennis voor het targeten van online advertising. Hierdoor zijn ze in staat om bij verschillende netwerken gericht online bereik in te kopen."

Het mediabureau koopt bannerruimte in over de netwerken van de exploitanten van websites heen. "Wij targeten met onze eigen profielgegevens en maken dus geen gebruik van de profielgegevens die zij hebben opgebouwd." 'Zij' zijn hier de exploitanten zoals een Sanoma en Telegraaf en WebAds die namens exploitanten reclame serveert.

Dat zei Tim van Dijk, directeur van Detroit Media, dat als eerste Nederlandse mediabureau aan de slag gaat met een eigen targetingsysteem in een vier maanden durende test grote adverteerders als UPC, American Express, Eneco, Thomas Cook en ING. Het bureau zal 'views' inkopen bij online.

Het mediabureau verzamelt data van surfers voor adverteerders om gericht te kunnen adverteren. Degene die interesse heeft getoond voor wintersport of een lening wordt bij zijn bezoek aan andere websites gevolgd met reclame over die onderwerpen. Volgen of 'achtervolgen'?

Volgens Google gaat dit volgen van surfgedrag voor gerichte reclame in de nabije toekomst gepaard met een direct veilingsysteem waarbij wordt bepaald wat een reclame oplevert. Surfdata van gebruikers op korte termijn te gebruiken zijn daarvoor dus cruciaal. Koopbehoefte kan en moet nu vervuld worden. Dus moet je het gedrag van surfers van nabij kunnen gadeslaan, met cookies bijvoorbeeld.

Europees voorstel

Mag dat? Afgelopen zomer hebben de Europese privacychefs, voorgezeten door Jacob Kohnstamm van het CBP, er een 'Advies' over gepubliceerd dat open staat voor discussie. Deze 'Opinion 2/2010 on online behavioural advertising' (lastig: 'behavioral' en 'behavioural' worden naast elkaar gebruikt) van de verenigde Europese toezichthouders in privacy, Working Party 29, staat ook in het Nederlands online.

Het is een boeiend stuk daar het een vervolg is op het Cookiedebat dat ook op Netkwesties intensief is gevoerd, dat leidde tot het wetsvoorstel van minister Maria van der Hoeven. Opvolger Maxime Verhagen zal het verdedigen. Er is voorzien in een opt-out regime: cookiegebruik voor commerciële doeleinden wordt toegestaan tenzij de gebruiker zich ervoor afmeldt. Het moet op websites goed duidelijk zijn hoe de opt-out bereikt kan worden.

De marketingbranche won, tegen de wens van de privacychefs in om er opt-in van te maken. Dat zou te bewerkelijk worden. Maar met de recent gepubliceerde opinie proberen de toezichthouders wederom opt-in tot norm te verheffen om data te verzamelen voor marketing.

Het Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural
advertising’) is helder gesteld e laat zich letterlijk citeren: " Tot op heden is de bedrijfstak tekortgeschoten in zijn informatievoorziening en in het bieden van mogelijkheden aan particulieren om te controleren of ze wel of niet willen worden gevolgd. Mededelingen hierover in de algemene voorwaarden en/of verklaringen of het privacybeleid, vaak in obscure termen verwoord, voldoen niet aan de vereisten van de wetgeving aangaande gegevensbescherming....

De Groep gegevensbescherming artikel 29 betwist de economische voordelen niet die reclame op basis van surfgedrag belanghebbenden oplevert. De Groep meent echter dat een dergelijke praktijk onder geen voorwaarde ten koste mag gaan van het recht op eerbiediging van de particuliere levenssfeer en van de bescherming van gegevens."

Dus het plaatsen van cookies mag niet worden toegestaan zonder de toestemming van de gebruikers, en dat kan niet met een opt-out in de browsers, maar moet plaatsvinden met actieve toestemming wanneer surfgedrag wordt gevolgd om op maat gesneden advertenties aan te bieden.

In het advies wordt gesteld dat de enkele toestemming van gebruikers om een cookie te ontvangen ook kan inhouden dat zij hiermee aanvaarden dat de cookies worden gelezen en hun browsergedrag dus wordt gevolgd.

Het is niet nodig dat reclamenetten toestemming vragen voor het raadplegen van elke cookie. Maar er moet wel:
1. een tijdslimiet worden gesteld aan de toestemming;
2. de mogelijkheid geboden de toestemming eenvoudig te herroepen
3. transparant maken waar en wanneer het volgen plaatsvindt.

Bovendien moeten, net als in alle privacyregelingen tot nu toe, burgers de mogelijkheid hebben om data in te zien, te laten wissen en corrigeren.

Verzet Europese industrie

De privacychefs vragen de industrie om overleg over technische middelen om deze doelstellingen waar te maken. Maar de industrie verzet zich. Adverteerders, reclamenetten en uitgevers verzetten zich tegen de eis voor actieve toestemming door consumenten of opt-in voor het gebruik van cookies etc. om data te verzamelen.

Volgens de industrie loopt de aanbeveling van de Art. 29 werkgroep uit de pas met de relaties die bedrijven en consumenten online aangaan in goed vertrouwen en staan ze haaks op de realiteit.

"Dit is een overdreven strikte interpretatie van de e-privacy richtlijn. Indien die wordt gevolgd door de lidstaten, zou dit een aanslag betekenen op de mogelijkheden van de Europese online sector om levensvatbare reclame-inkomsten te verwerven en tegelijkertijd serieuze inspanningen te doen om consumenten effectieve controle te bieden over het gebruik van cookies.

De sector wil tot zelfregulering komen. De kans is groot dat de verantwoordelijke commissaris voor ICT, Neelie Kroes, daar ook voor kiest. In veel Europese landen functioneren momenteel regeringen die het bedrijfsleven welgezind zijn en minder 'red tape' ofwel bureaucratie willen om het bedrijfsleven meer mogelijkheden te bieden zich uit de 'crisis' omhoog te werk. Daarbij komt dat uitgevers het erg moeilijk hebben om winstgevende digitale exploitaties op te bouwen. Deze sector is machtig.

Opt-out register?

In de Verenigde Staten is anders dan hier een levendig debat ontstaan over deze kwestie die tot in het parlement gaat, anders dan hier in Europa en Nederland. De parlementsleden Markey en Barton, voorzitter van de Privacy Caucus van het Huis van Afgevaardigden, hebben 50 bedrijven aangeschreven met de vraag om opheldering over hun cookiegebruik.

Dat deden ze op grond van een serie in Wall Street Journal onder de titel What They Know, een diepgravende serie artikelen over methoden van de exploitanten op internet om data van gebruikers op computers te verzamelen.

Inmiddels is er een wetsvoorstel ingediend onder de titel Best Practices Act. Dit voorstel schrijft verregaande transparantie voor en vereiste toestemming van consumenten. Maar die willen de Amerikanen regelen met een heldere opt-out, niet met opt-in.

Ook worden regels opgesteld voor handel in persoonlijke data: die is toegestaan maar het gebruik van persoonlijke gegevens mag ook in handen van derden niet verdergaan dan waarmee consumenten hebben ingestemd. Consumenten moeten ook toegang krijgen tot persoonsdata die over hen is verzameld.

Vooral dat laatste stuit op fel verzet van het bedrijfsleven in de Verenigde Staten. Ze willen geen strikte regels met daarbij en boetbeding dat oploopt tot 5 miljoen dollar per overtreding. Als gevolg van het reces in verband met verkiezingen komt de wet niet meer door het parlement dit jaar.

Ondertussen loopt er ook een voorstel om een 'Do not track' regsiter open te stellen, analoog aan het 'Do not call'register of Bel-me-niet register in Nederland. Dat zou consumenten de gelegenheid moeten bieden om bij toezichthouder FTC een opt-out te plaatsen voor alle partijen tegelijk die met cookies en eventueel andere technologie data willen verzamelen.

Dit laatste stuit wel op het probleem dat het gaat om IP-nummers van computers. Je zou elk apparaat, ook telefoon en tablet, moeten registreren om gevrijwaard te zijn van het volgen van surfgedrag. Ondertussen kwam de industrie zelf al met een register voor 'opt-out'voor cookies, onder de naam AboutAds.info en hoopt met deze zelfregulering wettelijke plichten te voorkomen.