Advertentiemakelaar Xandr (een dochteronderneming van Microsoft) verzamelt en deelt de persoonlijke gegevens van miljoenen Europeanen voor gedetailleerd gerichte reclame. Hierdoor kan Xandr advertentieruimte veilen aan duizenden adverteerders. Maar: hoewel er uiteindelijk maar één advertentie aan gebruikers wordt getoond, ontvangen alle adverteerders hun gegevens. Dit kunnen persoonlijke gegevens zijn over hun gezondheid, seksualiteit of politieke meningen. En ondanks dat het bedrijf zijn dienst als "gericht" verkoopt, beschikt het over nogal willekeurige informatie: de klager is blijkbaar zowel een man als een vrouw, heeft werk en is werkloos. Hierdoor zou Xandr advertentieruimte kunnen verkopen aan meerdere bedrijven die denken dat ze zich op een specifieke groep richten. Sommige details zijn nog onbekend, want Xandr weigerde ook in te gaan op het verzoek van de klager om toegang te krijgen tot de gegevens en deze te wissen. noyb heeft nu een GDPR-klacht ingediend.
Achtergrond: gerichte reclame. Als bedrijven gerichte reclame willen gebruiken om hun producten of diensten online te promoten, moeten ze gebruikmaken van zogenaamde Real Time Bidding (RTB)-platforms. Eén zo'n platform wordt gerund door Microsoft-dochter Xandr, waarmee adverteerders volledig geautomatiseerd advertentieruimte kunnen kopen op websites of in mobiele apps. Wanneer een gebruiker een website bezoekt, vindt er een algoritmische veiling plaats om te bepalen welk bedrijf een advertentie mag weergeven. Omdat de interesses en kenmerken van een gebruiker uiteindelijk bepalen of een adverteerder bereid is een advertentie te plaatsen, verzamelt en deelt Xandr een enorme hoeveelheid persoonlijke gegevens om de gebruikers te profileren en targeting mogelijk te maken. Veel van die gegevens worden gekocht door externe partijen zoals emetriq, een dochteronderneming van de Duitse Telecom.
Arbeidsongeschikt? Zwanger? LGBT? Eerder onderzoek heeft aangetoond dat Xandr honderden gevoelige profielen van Europeanen verzamelt met informatie over hun gezondheid, seksleven of seksuele geaardheid, politieke of filosofische opvattingen, religieuze overtuigingen of financiële status. Specifieke segmenten zijn onder andere 'french_disability', 'pregnant', 'lgbt', 'gender_equality' en 'jewishfrench'.
0% naleving van GDPR-verzoeken. Volgens de GDPR heeft iedereen het recht om toegang te krijgen tot zijn gegevens. Maar ondanks het verzamelen van enorme hoeveelheden gedetailleerde informatie over mensen, rapporteert Xandr een verbazingwekkende 0% respons op toegangs- en verwijderingsverzoeken in 2022. Xandr publiceert deze interne statistieken zelfs op een verborgen website zodat iedereen ze kan zien. De klager heeft deze aanpak aan den lijve ondervonden: Toen hij om toegang tot zijn gegevens vroeg, beweerde Xandr dat het hem niet kon identificeren - en weigerde zijn verzoek om toegang en wissen. In werkelijkheid beschikt het bedrijf over alle benodigde informatie om specifieke betrokkenen te identificeren. Het identificeren en targeten van individuen is tenslotte hun core business.
Massimiliano Gelmi, advocaat gegevensbescherming bij noyb: "Xandr's business is duidelijk gebaseerd op het bijhouden van gegevens over miljoenen Europeanen en hen te targeten. Toch geeft het bedrijf toe dat het een respons van 0% heeft op verzoeken om toegang en verwijdering. Het is verbazingwekkend dat Xandr zelfs publiekelijk illustreert hoe het de GDPR overtreedt."
(On)gerichte reclame. Bovendien vereist de GDPR dat gegevens over individuen 'nauwkeurig' zijn. De beschikbare informatie suggereert echter dat het systeem van Xandr tonnen valse informatie over gebruikers gebruikt. Zelfs vanuit zakelijk oogpunt lijkt Xandr de spot te drijven met het idee van gerichte reclame. Dankzij een inzageverzoek bij de gegevensmakelaar - en Xandr-leverancier - emetriq, weten we dat ten minste een deel van Xandr's database bestaat uit zeer onnauwkeurige en tegenstrijdige persoonlijke gegevens over mensen: Volgens emetriq is de klager zowel man als vrouw, heeft een geschatte leeftijd tussen 16-19, 20-29, 30-39, 40-49, 50-59 en 60+. De klager heeft ook een inkomen tussen €500 - €1.500, €1.500 - €2.500 en €2.500 - €4.000. Verder is dezelfde persoon op zoek naar een baan, heeft werk, is student, scholier en werkt in een bedrijf. Dat bedrijf heeft op zijn beurt tegelijkertijd 1-10, 1.000+ en 1.100-5.000 mensen in dienst. Het is moeilijk voor te stellen hoe deze gegevenscategorieën kunnen worden gebruikt voor nauwkeurige advertentietargeting. Hoewel emetriq niet de enige gegevensmakelaar is die gegevens aan Xandr levert, moet worden aangenomen dat deze informatie wordt gebruikt voor advertentietargeting.
Massimiliano Gelmi, advocaat gegevensbescherming bij noyb: "Het lijkt erop dat delen van de advertentie-industrie er niet echt om geven om adverteerders te voorzien van accurate informatie. In plaats daarvan bevat de dataset een chaotische verscheidenheid aan tegenstrijdige informatie. Dit kan mogelijk gunstig zijn voor bedrijven als Xandr, omdat ze dezelfde gebruiker als jong en oud aan verschillende zakenpartners kunnen verkopen."
Klacht ingediend in Italië. noyb heeft nu een GDPR-klacht ingediend bij de Italiaanse gegevensbeschermingsautoriteit (Garante) over transparantieproblemen, het recht op toegang en het gebruik van onjuiste informatie over gebruikers. In het algemeen lijkt Xandr artikel 5, lid 1, onder c) en d), artikel 12, lid 2, artikel 15 en artikel 17 van de GDPR te schenden. Daarom vragen we de autoriteit om de verwerkingsactiviteiten van Xandr te onderzoeken en het bedrijf te bevelen om te voldoen aan het verzoek van de klager om toegang en verwijdering. Met betrekking tot alle getroffen betrokkenen stellen we ook voor dat de Garante Xandr beveelt zijn verwerkingsactiviteiten in overeenstemming te brengen met de beginselen van gegevensminimalisatie en nauwkeurigheid. Tot slot stellen we voor dat de bevoegde autoriteit een doeltreffende, evenredige en afschrikkende administratieve boete oplegt van maximaal 4% van de jaaromzet van Xandr.