Datamakelaars: Identificatie mogelijk om advertenties te verkopen, niet om grondrechten uit te oefenen
Vandaag heeft noyb een reeks klachten ingediend tegen websites en gegevensmakelaars die toegangsverzoeken met cookies als authenticatiefactor niet correct afhandelden. De bedrijven hadden een obstructieve aanpak getoond bij de authenticatie van gebruikers; gaande van het weigeren van het recht op toegang, tot het vragen van bijkomende informatie, onnodig om de gebruiker te authenticeren.
- Klacht tegen gegevensmakelaar: machinaal vertaald NL [PDF]
- Klacht tegen website: machinaal vertaald EN [PDF]
Uitoefening van grondrechten via authenticatie op basis van cookies. Tracking cookies worden gebruikt om een gebruiker te identificeren, te profileren en te targeten met gepersonaliseerde advertenties. Daarom kunnen cookiegegevens ook worden gebruikt om gebruikers die hun GDPR-rechten uitoefenen te identificeren en te authenticeren. Althans in theorie. Om te testen hoe op cookies gebaseerde authenticatie door de industrie wordt behandeld, hebben gebruikers een aantal toegangsverzoeken gedaan op basis van cookiegegevens in een noyb-project .
Niet reageren op toegangsverzoek. Om de over hen verzamelde informatie te verkrijgen, koppelden de gebruikers de door de websites geplaatste cookies aan hun toegangsverzoek als identificatiemiddel. Veel websites en de gegevensmakelaars beantwoordden het verzoek om toegang echter onvoldoende. In plaats daarvan vroegen zij om andere vormen van identificatie (zoals aanvullende persoonsgegevens) of negeerden zij het verzoek helemaal. noyb diende daarom verschillende klachten in tegen de betrokken verantwoordelijken voor de verwerking omdat zij niet reageerden op de toegangsverzoeken en zich niet hielden aan het beginsel van gegevensminimalisering.
Stefano Rossetti, advocaat gegevensbescherming bij noyb: "Het idee achter deze klachten is eenvoudig: als een bedrijf een cookie kan gebruiken om mij te volgen, te profileren en gerichte reclame te sturen, waarom zou ik diezelfde cookie dan niet kunnen gebruiken om mijn GDPR-recht uit te oefenen?"
EDPB-richtsnoeren inzake authenticatie via cookies. De authenticatie van gebruikers via cookies is niet alleen technisch mogelijk, maar wordt ook aanbevolen in recente EDPB-richtsnoeren volgens welke gegevensmakelaars passende procedures moeten toepassen die gebruikers in staat stellen een verzoek om toegang in te dienen met de gegevens die gekoppeld zijn aan unieke identificatiemiddelen (zoals cookies). In het licht van het beginsel van gegevensminimalisering hebben gebruikers dus het recht om hun identiteit te authenticeren via gegevens die al over hen zijn gegenereerd en kunnen zij niet worden gedwongen om aanvullende persoonlijke informatie te verstrekken.
Tegenstrijdige mogelijkheden van gegevensmakelaars. Terwijl websites en gegevensmakelaars gebruikers identificeren voor gerichte reclame via cookies, weigeren zij gebruikers met dezelfde middelen te identificeren, zodra deze gebruik maken van hun fundamentele recht op toegang op grond van art. 15 GDPR.
Stefano Rossetti, advocaat gegevensbescherming bij noyb: "Deze klachten openen de nieuwe rechtsreeks gewijd aan digitale identiteit en de mogelijkheid om een trackinginstrument, in dit geval een cookie, te gebruiken om GDPR-rechten uit te oefenen."
