Moeten organisaties toestemming vragen om op Facebook te adverteren via Custom Audiences?

June 7, 2018

Goed nieuws! Facebook biedt sinds eind mei 2018 een verwerkersovereenkomst aan voor haar advertentiedienst Custom Audiences! Maar is het gebruik van deze dienst nu privacy proof, en mogen organisaties daar nu adverteren zonder toestemming te vragen? Dat is helaas nog niet zo duidelijk.

Via Facebook Custom Audiences (of ‘aangepaste doelgroepen’) kunnen organisaties op Facebook advertenties richten op hun eigen klanten of bezoekers. Ze sturen dan gegevens van hun klanten of bezoekers zoals naam, adres, geboortedatum, telefoonnummer, e-mailadres of unieke identifier uit een Facebook cookie in een bewerkte vorm naar Facebook. Facebook maakt deze bewerking [de hashing] op haar servers ongedaan, en zoekt naar de bijbehorende Facebook-accountgegevens. Facebook kan de gevraagde advertentie op die manier tonen op het persoonlijke profiel van de klant of bezoeker van de adverterende organisaties.

Alleen met toestemming?

In november vorig jaar veroorzaakte De Consumentenbond ophef in Nederland over Custom Audiences. Volgens de Consumentenbond mochten bedrijven en organisaties dit soort advertenties alleen op Facebook tonen als mensen daar eerst toestemming voor hadden gegeven. De Bond onderzocht 17 Nederlandse organisaties, en zag dat nergens aparte toestemming werd gevraagd voor deze specifieke verwerking. De Autoriteit Persoonsgegevens beaamde dat de toenmalige werkwijze niet was toegestaan. De adverteerders konden zich niet beroepen op de grondslag van hun gerechtvaardigd belang, en Facebook bood ook geen verwerkersovereenkomst die uitsloot dat Facebook de gegevens voor eigen doeleinden mocht verwerken.

Verwerkersovereenkomst sinds 25 mei

Maar Facebook heeft eind mei haar privacybeleid aangepast aan de AVG, en biedt sindsdien aan adverteerders in de EU voor Custom Audiences een aparte verwerkersovereenkomst aan. Een verwerker mag persoonsgegevens alleen op instructie van het opdrachtgevende bedrijf verwerken (de verantwoordelijke), en niet voor eigen doeleinden.

Normaliter verwerkt Facebook alle persoonsgegevens die zij over mensen verzamelt, net als de persoonsgegevens die mensen zelf aan Facebook geven, voor alle doeleinden uit haar privacybeleid. Daaronder valt bijvoorbeeld het verwerken van alle gegevens in profielen om gerichtere advertenties te kunnen tonen, maar ook het gebruik van alle gegevens voor de catch all doelen zoals productonderzoek en -ontwikkeling. Omdat het om zo veel verschillende soorten gegevens gaat, waaronder zeer gevoelige gegevens, zijn de commerciële verwerkingen van Facebook zeer risicovol voor de mensen waar het om gaat (de betrokkenen). In haar gewone advertentieproces gebruikt Facebook elk besluit van de adverterende organisatie om een advertentie wel of niet aan een betrokkene te tonen om het profiel van de gebruiker te verrijken. Facebook biedt adverteerders expliciet de mogelijkheid om mensen op grond van kenmerken uit te sluiten van doelgroepen. Daarmee kan een onschuldige aanbieding van een organisatie aan een bestaande klant ineens leiden tot stigmatisering. Denk aan een persoon die door Facebook bijvoorbeeld getypeerd wordt als lijder aan een enge ziekte. Het kan ook leiden tot oneerlijke benadeling als andere adverteerders deze persoon gaan uitsluiten van bepaalde aanbiedingen. Het kan ook leiden tot onbehoorlijke beïnvloeding door het wel of niet tonen van berichten met bijvoorbeeld een politieke boodschap.

Veel van die risico’s worden voorkomen als Facebook alleen als verwerker optreedt voor Custom Audiences. Natuurlijk kan een individuele adverteerder mensen ook op een oneerlijke of onbehoorlijke manier benadelen, beïnvloeden of uitsluiten, maar deze benadeling wordt dan in ieder geval niet uitvergroot op Facebook naar alle andere adverteerders.

Let wel: voor andere advertentiemogelijkheden, zoals adverteren op vergelijkbare (look a like) doelgroepen, en voor de reguliere selectie van advertentiedoelgroepen, kàn Facebook nooit als verwerker optreden. Facebook bepaalt hierbij immers zelf het doel en de middelen van de verwerking, en is dus een verantwoordelijke.

Maar kunnen adverteerders, als ze de nieuwe verwerkersovereenkomst accepteren, veilig een beroep doen op de grondslag van hun gerechtvaardigd belang om gerichte advertenties te tonen aan hun klanten en websitebezoekers op Facebook? Het antwoord is helaas niet zwart-wit, geen Ja of Nee.

De grondslag van gerechtvaardigd belang

De grondslag van gerechtvaardigd belang is één van de zes grondslagen om persoonsgegevens te mogen verwerken. Deze grondslag (artikel 6, eerste lid, onder f van de AVG) bestaat uit drie delen:

  1. Of het doeleinde (belang) gerechtvaardigd is, dat wil zeggen, niet verboden of volkomen onhaalbaar.
  2. Of de verwerking op deze wijze echt noodzakelijk is, dus of je niet teveel of te gevoelige gegevens verwerkt, op een manier die de privacy van de betrokken mensen teveel schaadt (in juristentermen: de beginselen van proportionaliteit en subsidiariteit) en:
  3. Of de verwerking in individuele gevallen bepaalde mensen niet toch teveel schaadt, en de maatregelen die je moet nemen om dat te voorkomen.

Vrije markt economie

Het gebruik van persoonsgegevens om reclame toe te sturen, of wel direct marketing, wordt sinds de invoering van de vorige Europese dataprotectierichtlijn expliciet erkend als gerechtvaardigd belang. Zie bijvoorbeeld ook de uitgebreide analyses van het (toen nog) College bescherming persoonsgegevens in de rapporten Klant te Koop en Koning Klant. Het is ook essentieel in een vrije markt economie dat organisaties hun bestaande én nieuwe klanten mogen vertellen over hun concurrerende diensten. Anders kunnen zij nooit nieuwe producten onder de aandacht brengen, en zouden mensen nooit over kunnen stappen naar een andere, klantvriendelijkere organisatie. In de AVG is het gerechtvaardigd belang bij direct marketing opgenomen in een aparte overweging, nummer 47.

Maar om een beroep te mogen doen op deze grondslag, is alleen een gerechtvaardigd belang zeker niet genoeg. De organisatie moet ook slagen voor de andere twee delen van de toets. Dat kun je alleen beoordelen door naar alle omstandigheden te kijken, zoals bijvoorbeeld de aard van de persoonsgegevens, de frequentie van de benadering, de leeftijd van de ontvangers, de duidelijkheid van de informatie aan ontvangers van de reclame en bijvoorbeeld de mogelijkheid van een makkelijke opt-out. Dus bijvoorbeeld geen reclamepost sturen voor maandverband aan 11-jarige meisjes.

Verschillen reclamepost, telemarketing en internetreclame

Adverteerders moeten rekening houden met verschillende wettelijke regels voor de verschillende soorten gerichte reclame, uit de ePrivacy richtlijn (omgezet in hoofdstuk 11 van de Telecommunicatiewet) en uit de AVG. Samengevat mochten en mogen zij onder de AVG zowel bestaande als nieuwe klanten per post en per telefoon ongevraagd benaderen met gerichte reclame, mits ze alleen beperkte overlast veroorzaken en geen noemenswaardige inbreuk maken op de privacy van de ontvangers. Maar als adverteerders identifiers willen gebruiken uit de volgcookies of pixels van Facebook, zullen ze de potentiële klanten of bezoekers eerst om toestemming moeten vragen om die gegevens te mogen uitlezen. Ze zullen op dat moment ook apart om toestemming moeten vragen om die gegevens te mogen gebruiken om op Facebook te adverteren.

Shoot out in de OK Corral (Het Comité)

Op zich zou je de dienst Custom Audiences op Facebook kunnen beschouwen als de digitale opvolger van reclame per post, mits Facebook net als de postbode geen kennis zou nemen van de inhoud van de boodschap, en ook geen profielen zou bijhouden over de soorten post, de frequentie en de afzenders. Maar dan zou Facebook echt alleen als verwerker mogen optreden. Of dat zo is, is onduidelijk. De nieuwe verwerkersovereenkomst noemt expliciet een aantal activiteiten die Facebook niet zal ondernemen, maar dat is niet hetzelfde als een overeenkomst waarin staat omschreven wat de verwerker wél mag doen. Bovendien zou een adverteerder zelf vragen moeten kunnen toevoegen aan de jaarlijkse audit die Facebook belooft te gaan doen. Een van de vragen die dan beantwoord moet worden is: “Gebruikt Facebook de gegevens echt niet voor eigen doeleinden, zoals verbetering van haar producten, waaronder het testen van nieuwe diensten, en voor onderzoek?

Om er zeker van te zijn dat hun gerechtvaardigd belang zwaarder weegt dan de rechten van betrokkenen, zullen organisaties hun bestaande klanten actief moeten informeren over het voornemen om op deze manier op Facebook te adverteren èn de mogelijkheid moeten bieden om hiertegen bezwaar te maken. Ze moeten bovendien voorkomen dat iemand zich gaat schamen of bespioneerd voelt door de aard van de geadverteerde producten of diensten.

Maar het is ook mogelijk dat bijvoorbeeld de Autoriteit Persoonsgegevens bij haar oordeel blijft dat het gebruik van Custom Audiences alleen met toestemming mag, ongeacht of het bestaande of nieuwe klanten zijn, en ongeacht de manier waarop de adverteerder aan de gegevens is gekomen. Dat standpunt is in november vorig jaar ook ingenomen door de regionale Duitse toezichthouder uit Beieren. Het is de vraag of alle collega toezichthouders het daarmee eens zijn. Dat wordt ongetwijfeld een bloedstollende shoot out in de O.K. Corral (het Comité, voorheen bekend als de Artikel 29-werkgroep).

Download