Onderzoek naar de geldigheid van de toestemming van consumenten voor gedragsreclame onder de Algemene Verordening Gegevensbescherming
Persoonsgegevens worden gebruikt in gedragsreclame om gerichte reclames en commerciële inhoud te tonen.[1] Doorgaans worden persoonsgegevens verzameld in ruil voor gratis diensten (zoals zoekmachines en sociale mediaplatforms) en overgedragen tussen dergelijke dienstverleners.[2] Hoewel het aanzienlijke positieve effecten heeft op de economie, draagt dit ecosysteem ook bij aan manipulatie en ongepaste beïnvloeding door marketeers.[3] Dit artikel richt zich op geldige toestemming voor gedragsreclame onder de Algemene Verordening Gegevensbescherming (AVG).[4]
Kunstmatige intelligentie (AI) heeft een revolutie teweeggebracht in marketing door gepersonaliseerde en gerichte reclame mogelijk te maken, de klantervaring te verbeteren en de advertentiekosten te verlagen.[5] Marketeers gebruiken machine-learning algoritmen om te leren van gegevens over eerder consumentengedrag en de toekomstige financiële waarde van een consument te voorspellen.[6]
Volgens de Europese Commissie (EC) is gerichte reclame "een marketingpraktijk waarbij gegevens over individuen worden gebruikt om advertenties of andere vormen van commerciële inhoud voor marketingdoeleinden te selecteren en weer te geven".[7] De EC onderscheidt drie hoofdpraktijken: (i) contextuele reclame, (ii) gesegmenteerde reclame en (iii) gedragsreclame. Dit artikel richt zich op gedragsreclame.
Gedragsreclames richten zich op online consumenten door relevante advertenties te tonen op basis van in het verleden vertoond gedrag en voorspeld toekomstig gedrag.[8] Deze aanpak berust op het verzamelen en analyseren van persoonsgegevens om daarmee consumenten gerichte inhoud te bieden.[9]
Hoewel dit tot aanzienlijke economische voordelen leidt, biedt het vermogen om het gedrag van consumenten te voorspellen marketeers de mogelijkheid om bepaald gedrag uit te lokken door middel van gerichte reclame.[10] Dit vermogen biedt een grote stimulans voor misleiding en manipulatie, aangezien de consumenten zich mogelijk niet bewust zijn van de manier waarop ze worden beïnvloed. Daarmee kan dit vermogen van invloed zijn op de toestemming van consumenten.[11]
Gegevensbeschermingswetgeving speelt een prominente rol in de regulering van gedragsreclame.[12] De AVG is van toepassing "op de verwerking van persoonsgegevens (...)", wat het materiële toepassingsgebied van de AVG vormt.[13] Hieruit volgt dat de AVG van toepassing is op gedragsreclame, zolang deze praktijken betrekking hebben op de verwerking van persoonsgegevens.[14]
Volgens de AVG moet elke verwerking van persoonsgegevens gebaseerd zijn op een rechtsgrondslag die wordt beschreven in artikel 6.[15] Een cruciale rol is weggelegd voor de toestemming van de consument (artikel 6, lid 1, onder a AVG).[16] Toestemming wordt gedefinieerd als "elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt".[17] Volgens de gecombineerde lezing van de artikelen 4 en 7 en de overwegingen 32, 33, 42, 43, 53 en 58 van de AVG moet geldige toestemming (i) uit vrije wil worden gegeven, (ii) specifiek zijn, (iii) op informatie berusten en (v) worden verkregen door een duidelijke bevestigende handeling van de betrokkene.[18]
De AVG is erop gericht om de positie van consumenten ten opzichte van gedragsreclame te versterken.[19] Deze wetgeving heeft tot nu toe echter nog geen significante invloed kunnen hebben op het gedrag van marketeers of op het online gedrag van consumenten.[20]
Deze huidige stand van zaken is grotendeels te wijten aan de manier waarop de toestemming van consumenten word misbruikt als rechtsgrondslag voor gerichte reclame.[21] In theorie zou de verplichte rechtsgrondslag voor gegevensverwerking moeten garanderen dat persoonsgegevens alleen worden verwerkt wanneer dit het belang dient van de consument in kwestie, die vrijwillig toestemming heeft gegeven voor de gegevensverwerking (artikel 6, lid 1, onder a AVG).[22] Helaas lijkt het erop dat de zwakke plek in dit mechanisme juist deze toestemming is.[23] AI-algoritmen kunnen zich richten op consumenten op basis van hun psychologische profielen en voorkeuren, waardoor consumenten worden overgehaald om in te stemmen met elke vorm van verwerking voor advertenties en aankopen te doen of zich te gedragen tegen hun eigen belangen in.[24]
Er zijn verschillende oplossingen voorgesteld om de juridische uitdagingen van AI in online marketing aan te pakken.[25] Een mogelijke oplossing is het beperken van de reikwijdte van de toestemming van de consument.[26] Dit zou betekenen dat toestemming niet langer een geldige rechtsgrondslag is voor het gebruik van persoonsgegevens bij gedragsreclame.[27] Hierdoor zou de verwerking van persoonsgegevens in deze gevallen onwettig zijn, zelfs wanneer de consument toestemming heeft gegeven.[28]
Consumentenwetgeving kan worden gebruikt om toestemming ongeldig te maken in gevallen waarin de uitwisseling van persoonsgegevens onevenwichtig is, met name wanneer marketeers een aanzienlijke marktmacht hebben.[29] Het beperken van de verwerking van persoonsgegevens, zelfs wanneer toestemming is gegeven, kan paternalistisch lijken.[30] Het voorkomen van overeenkomsten die worden gedreven door ongelijke macht zou echter de keuzes van consumenten kunnen verbeteren.[31]
Als de wet toestemming ongeldig maakt, zou dit aanzienlijke veranderingen vereisen in de huidige bedrijfsmodellen die juist afhankelijk zijn van het verzamelen en verwerken van persoonsgegevens voor reclame.[32] Dit zou gevolgen kunnen hebben voor de inkomsten van grote platforms en kleinere entiteiten.[33] Deze aanpak elimineert echter geen reclame op basis van de inhoud van bezochte webpagina's of aangevraagde diensten.[34] Gerichte reclame kan nog steeds worden geleverd zonder gebruik te maken van gedragsgegevens, en gebruikers die gepersonaliseerde suggesties willen, kunnen kiezen voor gemonitorde gedragsgebaseerde advertenties.[35] Dit kan marketeers motiveren om relevantere marketinginhoud aan te bieden, aangezien gebruikers kunnen afhaken als gerichte reclames irrelevant of hinderlijk worden gevonden.[36]
Concluderend speelt geldige toestemming een cruciale rol op het gebied van gedragsreclame onder de AVG, maar het is niet genoeg om consumenten volledig te beschermen. Er is een breder wettelijk kader nodig om de uitdagingen van AI-gestuurde marketing aan te pakken. Een mogelijke oplossing is het beperken van de reikwijdte van de toestemming van de consument door deze ongeldig te maken als rechtsgrondslag voor het gebruik van persoonsgegevens in reclame op basis van surfgedrag. Dit zou een dergelijke verwerking onwettig maken, zelfs met toestemming. Consumentenwetgeving zou toestemming ongeldig kunnen maken in gevallen van onevenwichtige gegevensuitwisseling of aanmerkelijke marktmacht. Hoewel deze aanpak veranderingen in bestaande bedrijfsmodellen kan vereisen, maakt het gerichte reclame op basis van inhoud of gevraagde diensten mogelijk zonder gebruik te maken van gedragsgegevens. Gebruikers kunnen desgewenst kiezen voor gemonitorde advertenties op basis van gedrag. Deze maatregelen zouden consumenten mondiger maken, oneerlijke overeenkomsten voorkomen en marketeers stimuleren om relevantere inhoud te bieden met inachtneming van de privacyrechten.
Wil je meer weten over deze materie? Ga dan naar onze Academy.
1. Europees Parlement. (2021). Regulating targeted and behavioural advertising in digital services. How to ensure users’ informed consent. Geraadpleegd op 1 juni 2023, van https://www.europarl.europa.eu/thinktank/en/document/IPOL_STU(2021)694680, p. 10-11. (Hierna: Europees Parlement (2021)).
2. Galli, F., Lagioia. F. & Sartor, G. (2022). Consent to Targeted Advertising. European Business Law Review, 33(4). Geraadpleegd op 31 mei 2023, van https://kluwerlawonline.com/journalarticle/European+Business+Law+Review/33.4/EULR2022023, p. 486. (Hierna: Galli et al (2022)).
3. Europees Parlement (2021); Galli et al (2022), p. 486.
4. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verorderning gegevensbescherming).
5. Kumar, D. (2023). Ethical and Legal Challenges of AI in Marketing: An Exploration of Solutions. Available at SSRN 4396132. Geraadpleegd op 30 mei 2023, van https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4396132, p. 2. (Hierna: Kumar (2023)); Eriksson, K., Kerem, K., & Nilsson, D. (2019). Artificial intelligence in marketing: A general overview and future research directions. Journal of Business Research, 98, 365-380. (Hierna: Eriksson et al (2019)).
6. Ribeiro, T., & Reis, J. L. (2020). Artificial intelligence applied to digital marketing. In Trends and Innovations in Information Systems and Technologies: Volume 2 8 (pp. 158-169). Springer International Publishing. Geraadpleegd op 1 juni 2023, van https://link.springer.com/chapter/10.1007/978-3-030-45691-7_15, p. 161.
7. Europees Parlement (2021), p. 23-24.
8. Sposit, N. (2021). Adapting to digital marketing regulations: The impact of the General Data Protection Regulation on individualized, behaviour-based marketing techniques. Journal of Digital & Social Media Marketing, Henry Stewart Publictaions, vol. 6)4), p. 342. (Hierna: Sposit (2021)).
9. Sposit (2021), p. 342.
10. Europees Parlement (2021), p. 19.
11. Europees Parlement (2021), p. 19; Galli et al (2022), p. 490.
12. Galli et al (2022), p. 490-491.
13. Purtova, N. (2018). The law of everything. Broad concept of personal data and future of EU data protection law. Law, Innovation and Technology, 10(1). Geraadpleegd op 31 mei 2023, van https://doi.org/10.1080/17579961.2018.1452176, p. 43-44.
14. Ibid.
15. Galli et al (2022), p. 490-491.
16. Ibid.
17. Artikel 4(11) AVG.
18. Galli et al (2022), p. 490-491.
19. Galli et al (2022), p. 490-491.
20. Europees Parlement (2021), p. 20-21.
21. Ibid.
22. Europees Parlement (2021), p. 20-21; Kumar (2023), p. 14; Crawford, K., & Schultz, J. (2014). Big data and due process: Toward a framework to redress predictive privacy harms. Boston College Law Review, 55(1), 93-128; German, S., O'Sullivan, S., & Raworth, K. (2019). Communicating AI. The Lancet Digital Health, 1(2), e51-e52. (Hierna: German et al (2019)); Kumar (2023), p. 5.
23. Europees Parlement (2021), p. 21.
24. German et al (2019).
25. Eriksson et al (2019).
26. Eriksson et al (2019); Kumar (2023), p. 3.
27. Galli et al (2022), p. 508-509.
28. Galli et al (2022), p. 508.
29. Hacker, P. (2019). Regulating the economic impact of data as counter-performance: from the illegality doctrine to the unfair contract terms directive. Data as Counter-Performance: Contract Law, 2.
30. Galli et al (2022), p. 509.
31. Europees Parlement (2021), p. 117-120; Galli et al (2022), p. 509.
32. Galli et al (2022), p. 510-511.
33. Ibid.
34. Europees Parlement (2021), p. 122.
35. Ibid.
36. Galli et al (2022), p. 510-511.
