Home / Nieuws & Blogs / Toekomst van Digital Advertising

Toekomst van Digital Advertising

ICT-recht - Privacy - Achtergrond - Online ads
| 12 september 2023

Je kent het wel: je zoekt op de website van een kledingwinkel naar een nieuw paar schoenen, om vervolgens een dag later op een social media platform van exact dezelfde winkel een advertentie voorgeschoteld te krijgen van schoenen. Jij krijgt die gepersonaliseerde advertentie waarschijnlijk te zien omdat je bij het bezoeken van de website van de kledingwinkel zonder na te denken (hopelijk) toestemming hebt gegeven voor het plaatsen van een tracking-cookie van het social media platform. Deze tracking-cookie heeft bijgehouden waar je naar gekeken hebt op de website en het social media platform heeft vervolgens deze informatie gebruikt om de beschikbare advertentieruimte te personaliseren.

De afgelopen jaren is de kritiek op dit systeem enorm gegroeid. Consumenten hebben het gevoel geen controle te hebben over wat met hun persoonsgegevens online wordt gedaan. Als het gebruik van tracking-cookies makkelijk afgewezen kan worden (dit is vaak niet het geval), zou de consument dat massaal doen.

Met deze kritieken is ook de roep om strengere wetgeving gegroeid en in de rechtszaal zitten ze inmiddels ook niet meer stil. Het aantal massaclaims tegen onder ander social media platforms is in Nederland flink gegroeid. Zo moeten zowel Meta als TikTok zich in de rechtszaal verdedigen tegen een massaclaim en dreigt bij Twitter hetzelfde te gebeuren. Alle drie de gevallen hebben betrekking op hoe de bedrijven omgaan met persoonsgegevens voor advertentiedoeleinden.

In dit artikel staan we stil bij wat er precies aan de hand is in de online advertenties wereld en de mogelijke oplossingen. Maar allereest: hoe zit het digital advertising ecosysteem in elkaar?

Huidige ecosysteem

Om maar met de deur in huis te vallen: het digital advertising ecosysteem zit zo gecompliceerd in elkaar dat het onmogelijk is om dit makkelijk uit te leggen. Dat is ook meteen de kern van het probleem, maar daarover later meer. Toch ga ik een poging wagen om een versimpelde versie toe te lichten: 

De twee belangrijkste spelers zijn de adverteerder en de publisher. De adverteerder is (zoals het woord al zegt) de partij die met een merk wil adverteren. De publisher is de partij die de advertentie plaatst en dus de plek waar de consument de advertentie te zien krijgt. Maar voordat een advertentie van een adverteerder bij een publisher terecht is gekomen, legt het een ingewikkelde weg af. 

Publishers bieden vaak op persoonsniveau hun advertentieruimte online aan op platforms die zichzelf ad exchanges noemen. Dus iedere keer dat een consument de website van de publisher bezoekt, wordt het profiel van de consument aangeboden op een ad exchange. Adverteerders bieden vervolgens op deze advertentieruimte als het profiel past bij de doelgroep die ze willen targeten. De hoogste bieder mag logischerwijs zijn advertentie tonen op het platform van de publisher. Dit soort “veilingen” gaan volledig automatisch en zijn daarmee ontzettend snel; binnen een seconde is een veiling in principe afgerond. Dit proces wordt Real-Time-Bidding genoemd. 

Tot nu toe nog goed te volgen? Het blijft helaas daar niet bij. Zowel de adverteerder als de publisher nemen niet zelf deel aan de veilingen, maar maken gebruik van tussenpersonen. Adverteerders verkopen hun advertenties via demand-side platforms (DSPs). Een DSP biedt voor de adverteerder op de beschikbare advertentieruimte en houdt hierbij rekening met de doelgroep(en) en budget(ten) van de adverteerder. Publishers bieden op hun beurt de advertentieruimte aan via supply-side platforms (SSPs). SSPs doen in principe het tegenovergestelde van een DSP en zorgen ervoor dat de advertentieruimte van een publisher aan een zo groot mogelijk publiek (lees: adverteerders) wordt aangeboden. 

Hiernaast maken DSPs en SSPs vaak gebruik van data management platforms (DMPs). DMPs worden gebruikt als plek om de persoonsgegevens/profielen die beide soorten partijen verzamelen in om op te slaan. Dit database kan vervolgens worden aangevuld met persoonsgegevens die andere partijen hebben verzameld (third-party data). Dit gebeurt via zogenoemde databrokers.

Naast de hiervoor genoemde partijen, nemen ook nog tal van andere soorten organisaties deel aan het ecosysteem. Om overzicht toch enigszins behapbaar te houden, worden deze hier verder niet besproken. 

Knelpunten

Zoals eerder in dit stuk aangegeven is er veel kritiek op dit systeem. Deze kritieken komen eigenlijk allemaal op hetzelfde neer: de consument begrijpt niet wat er met zijn/haar persoonsgegevens gebeurt online en ervaart daardoor een gebrek aan controle. Het gevolg hiervan is dat steeds meer beperkingen worden opgelegd op het huidige digital advertising systeem. We zien deze beperkingen voorkomen in nieuwe wetgeving, recente rechtspraak en ontwikkelingen in de markt. Een aantal belangrijke ontwikkelingen op een rij: 

Wetgeving

Eind vorig jaar is door een Europese Unie een akkoord bereikt over de Digital Services Act (DSA). De DSA regelt de aansprakelijkheid van internettussenpersonen zoals platforms. Naast specifiek regels over aansprakelijkheid stelt de DSA (aanvullende) eisen aan adverteren via platforms (zoals YouTube, Instagram en Facebook). De wet treedt stapsgewijs in werking. 17 februari 2024 is de deadline en dienen alle soorten platforms aan de nieuwe vereisten te voldoen. Vanaf dat moment is het op platforms bijvoorbeeld verboden om: 

  • advertenties te personaliseren met bijzondere persoonsgegevens; bijzondere persoonsgegevens zijn bijvoorbeeld gegevens die iets zeggen over de gezondheid of politieke voorkeur van een persoon;
  • bij diensten die zich richten op kinderen gepersonaliseerde advertenties te tonen;
  • de toestemmingsknop voor het personaliseren van advertenties duidelijker in beeld te brengen dan de knop om dit te weigeren (beter bekend als: “dark patterns”);  
  • platformgebruikers die weigeren om gepersonaliseerde advertenties te zien beperktere functionaliteiten aan te bieden dan platformgebruikers die wel toestemming hebben gegeven;
  • platformgebruikers herhaaldelijk om toestemming vragen voor het tonen van gepersonaliseerde advertenties als zij eerder dit hebben geweigerd.  

Daarnaast worden platforms verplicht om transparant(er) te zijn over de manier waarop zij advertenties personaliseren. Zo moet duidelijk worden aangegeven wanneer een advertenties is gepersonaliseerd, welke parameters daarvoor zijn gebruikt (bijvoorbeeld: vrouwen tussen de 20-30 jaar die in Amsterdam wonen) en welke organisatie de advertentie heeft geplaatst.

Naast de DSA heeft de Europese Unie ook de Digital Markets Act (DMA) goedgekeurd. Deze wet is alleen van toepassing op partijen die door hun grootte de toegang tot de Europe markt kunnen beperken (zogenoemde gatekeepers). Hierbij moet voornamelijk worden gedacht aan bedrijven zoals Amazon, Apple, Meta, Microsoft en Google. Hoewel de DMA voornamelijk mededingingsrechtelijke regels bevat en niet zozeer ingaat op digital advertising, bevat het toch een belangrijke toevoeging op de DSA. Zo verbiedt de DMA gatekeepers persoonsgegevens die worden verzameld via verschillende diensten van de gatekeeper te combineren zonder toestemming van de consumenten. Meta mag dan bijvoorbeeld geen persoonsgegevens meer combineren verzamelt via Instagram en Facebook zonder toestemming van de consumenten. Ook de DMA treedt naar verwachting begin volgend jaar in werking.

Rechtspraak 

Een zaak die al een hele tijd loopt heeft betrekking op het besluit dat de Belgische gegevensbeschermingsautoriteit (APD) heeft genomen over IAB Europe en het door IAB Europe ontwikkelde Transparency Consent Framework (TCF). IAB Europe heeft als Europese branchevereniging voor de digital advertising markt een standaard ontwikkeld die de informatievoorziening rondom en rechtvaardiging van het gebruik van cookies gelijktrekt (TCF). Cookies worden onder andere ingezet om websitebezoekers te tracken om zo een profiel op te bouwen waarmee vervolgens advertenties gepersonaliseerd worden via het hiervoor uitgelegde ecosysteem. Dit soort cookies worden daarom ook wel ‘tracking-cookies’ genoemd. Simpel gezegd zorgt het TCF ervoor dat bij alle partijen die aangesloten zitten bij het TCF de cookiebanner op dezelfde manier is ingestoken. Het TCF is een breed gedragen standaard en dit zal naar verwachting alleen nog maar gaan groeien, aangezien Google aan het begin van deze zomer heeft aangekondigd dat klanten die gebruik maken van Google AdSense, Ad Manager, or AdMob worden verplicht om volgens het TCF te gaan handelen. 

Terug naar de lopende zaak: de APD heeft IAB Europe aan het begin van 2022 op de vingers getikt omdat het gebruik van het gebruik van het TCF onrechtmatig zou zijn. Een van de redenen hiervoor was dat de manier waarop toestemming werd gevraagd voor het plaatsen van (tracking-)cookies niet in lijn was met de welbekende Algemene verordening gegevensbescherming (AVG). Overeenkomstig de AVG is het namelijk pas mogelijk om als consument toestemming te geven voor (in dit geval) het plaatsen van tracking-cookies als op een begrijpbare en leesbare manier wordt uitgelegd wat er met de persoonsgegevens van de consument gaat gebeuren. Tracking-cookies zijn third-party cookies; de cookies worden (in tegenstelling met first-party cookies) niet geplaatst door de website die wordt bezocht zelf, maar door externe partijen. IAB Europe probeerde deze duidelijke uitleg af te dwingen in de cookiebanners, maar volgens de APD was het TCF in combinatie met het hiervoor uitgelegde digital advertising ecosysteem zo ingewikkeld dat consumenten door lange lappen tekst moesten ploeteren om te kunnen begrijpen wat met hun persoonsgegevens zou gaan gebeuren. Veel websites staan het namelijk toe dat tientallen tot honderden externe partijen third-party cookies plaatsen. Volgens de APD kosten dit onevenredig veel tijd en was de verstrekte informatie in de cookiebanners daarmee niet ‘begrijpbaar’ en ‘leesbaar’. Dit betekende dat consumenten ook geen toestemming konden geven voor het plaatsen van (tracking-)cookies, terwijl toestemming de enige manier is om het plaatsen van tracking-cookies te rechtvaardigen.

IAB Europe is in beroep gegaan bij de Belgische rechter waar de zaak op dit moment ligt. De Belgische rechter is nog niet tot een inhoudelijke beoordeling gekomen, omdat het eerst een aantal prejudiciële vragen heeft gesteld aan het Hof van Justitie van de Europese Unie (HvJ). Begin 2024 wordt hier meer duidelijkheid over verwacht. 

In de tussentijd heeft IAB Europe niet stilgezeten; op verzoek van de APD is IAB Europe aan de slag gegaan moet een verbeterplan voor het TCF. Dit verbeterplan is voorgelegd aan de APD en vervolgens goedgekeurd. IAB Europe is inmiddels bezig met het doorvoeren van het plan. Let wel op, dat het verbeterplan is goedgekeurd door het APD, betekent niet dat het TCF na doorvoering van het plan wél in overeenstemming is met de wet. Verbeteringen die worden doorgevoerd kunnen nog onrechtmatig worden verklaard door de Belgische rechter. Het lijkt erop dat het verbeterplan geen specifieke maatregelen treft om de complexiteit van het digitale advertentie-ecosysteem aan te pakken. Dit roept de vraag op of het verkrijgen van toestemming haalbaar is, ondanks de inspanningen van IAB Europe om het systeem verder te verduidelijken. Mogelijk kan worden overwogen het volledige systeem te herzien en processen aanzienlijk te vereenvoudigen, bijvoorbeeld door het aantal tussenpersonen in de keten te verminderen.

Ontwikkelingen in de markt

Door het groeiende aantal kritieken besluiten steeds meer webbrowsers om het gebruik van third-party cookies te (gaan) verbieden. Dit terwijl een groot gedeelte van de digital advertising industrie rust op third-party cookies. Vaak wordt gedacht dat de (Europese) wetgever verantwoordelijk is voor het verbod, maar dat is dus niet het geval. Zo staat Mozilla (Firefox) al sinds 2019 geen third-party cookies meer toe, Apple (Safari) sinds 2021 en Google (Chrome) stapt van het gebruik af vanaf 2024. Of dat laatste ook daadwerkelijk gaat gebeuren, is afwachten; Google heeft het verbod al meerdere keren uitgesteld. Het wegvallen van de third-party cookie betekent dat het moeilijker gaat worden om gebruikersprofielen op te stellen, omdat consumenten niet (zomaar) meer kunnen worden gevolgd door het internet. 

Toekomst

Doordat de mogelijkheden in het huidige digital advertising ecosysteem beperkter lijken te raken, komen steeds meer nieuwe manieren van online adverteren aan het licht. Drie mogelijke oplossingen zijn: contextueel adverteren, data clean rooms en de Privacy Sandbox van Google. 

Contextueel adverteren

Bij contextueel adverteren wordt de advertentie afgestemd op de website waarop de advertentie wordt geplaatst (de context), in plaats van de persoon die de website bezoekt. Een voorbeeld hiervan is als een advertentie van een bedrijf dat auto’s verhuurt, wordt geplaatst op de website van een reisorganisatie. Het maakt hier in tegen stelling tot gepersonaliseerd adverteren niet uit wie de website bezoekt, de advertentie blijft hetzelfde.  

Het voordeel van contextueel adverteren is dat hierbij geen persoonsgegevens verwerkt hoeven te worden en toestemming van de consument dus niet noodzakelijk is. Een nadeel hiervan is dat, naarmate de doelgroep van de website breder wordt, de advertentie onpersoonlijker wordt. Het feit dat iemand de website van een reisorganisatie bezoekt, zegt nog niets over welk budget die persoon heeft om een auto te huren. Hierdoor is het moeilijk in te schatten in welke prijsklasse geadverteerd kan worden met een auto. Dit gat tussen gepersonaliseerd adverteren en contextueel adverteren wordt overigens steeds meer gedicht door artificial intelligence (AI). Met behulp van AI kan automatisch een website worden gescand en op basis daarvan een advertentie worden afgestemd. Hierdoor wordt bijvoorbeeld automatisch herkend dat bij een aanbieding van een duurdere vakantie met een auto in een hogere prijsklasse kan worden geadverteerd. 

Data clean rooms 

Dat er steeds minder gebruik wordt gemaakt van third-party cookies, betekent niet dat first-party cookies niet langer ingezet zullen worden. First-party cookies zijn cookies die door de bezochte website zelf worden geplaatst. De persoonsgegevens die worden verzameld met behulp van first-party cookies, kunnen worden gebruikt om advertenties te personaliseren. Met name grote partijen die beschikken over uitgebreide databases van gebruikersprofielen zullen hiervan profiteren. Kleinschalige partijen daarentegen waarschijnlijk minder, omdat ze onvoldoende data bezitten om advertenties te personaliseren.

Data clean rooms bieden hier mogelijk een uitkomst voor. Een data clean room is een afschermde digitale omgeving waarbinnen partijen geaggregeerde en daarmee geanonimiseerde data uitwisselen. Dit is data dat bijvoorbeeld afkomstig is van first-party cookies. Hierdoor profiteren ook de kleinere partijen van de databases met gebruikersprofielen van de grotere partijen. Daarnaast is het een stuk overzichtelijker met welke partijen gegevens worden uitgewisseld doordat alleen goedgekeurde partijen toegang krijgen tot de omgeving in tegenstelling met het huidige ecosysteem. Doordat de data anoniem is, is de AVG niet van toepassing en hoeft dus de consument geen toestemming te geven voor de uitwisseling van gegevens. 

Privacy Sandbox

De Privacy Sandbox van Google is een verzameling van verschillende oplossingen om het internet/Chrome (volgens Google) privacy vriendelijker te maken. Eén van die oplossingen is de Topics API. Het idee achter de Topics API is dat advertenties niet meer worden gepersonaliseerd op individueel niveau, maar op groepsniveau. Naarmate een Chrome-gebruiker over het internet surft, worden vooraf vastgestelde 'topics' toegevoegd aan het profiel van de Chrome-gebruiker. De Chrome-gebruiker wordt op basis daarvan in een groep geplaatst en alleen het groepsprofiel wordt gedeeld met de adverteerder/publisher. De Chrome-gebruiker krijgt de mogelijkheid om zelf zijn/haar profiel aan te passen in de browser van Google. 

De oplossing lijkt een stap in de goede richting te zijn naar een privacy vriendelijkere manier van adverteren, doordat gebruikersprofielen niet meer het hele internet overvliegen, maar centraal blijven opgeslagen bij Google. Daarnaast maakt dit het digital advertising systeem mogelijk een stuk overzichtelijker voor consumenten, waardoor zij ditmaal wél geïnformeerd toestemming kunnen geven voor de verwerking van persoonsgegevens. Tegelijkertijd betekent het wel dat Google meer macht naar zich toetrekt door adverteerders/publishers nóg afhankelijker te maken van het bedrijf. 

Conclusie 

Het mag duidelijk zijn dat het huidige digital advertising ecosysteem aan vervanging toe is. Door de complexiteit van het systeem is het vrijwel onmogelijk geworden om wat er precies gebeurt bij het personaliseren van advertenties duidelijk uit te leggen aan consumenten. Terwijl dit juist een vereiste is voor het kunnen geven van de verplichte toestemmingsvraag. Door deze kritieken worden de mogelijkheden voor persoonlijk adverteren steeds verder beperkt in bijvoorbeeld de wet (de DSA & DMA), maar vooral door toezichthouders/rechters (APD/IAB Europe) en de markt zelf (verbod op het gebruik van third-party cookies). De besproken oplossingen laten duidelijk zien dat privacy een grotere rol is gaan spelen. Maar om precies te weten te komen wat de gevolgen zijn op het gebied van privacy en digital advertising, moeten we nog even geduld hebben.  De verwachting is dat in 2024 het speelveld aanzienlijk zal evolueren wegens bovenstaande ontwikkelingen.

Guido Grevink

Legal Counsel
Lees meer
Wilt u meer weten over Privacy
ICTRecht B.V.

E contact@ictrecht.nl
T +31 (0)20 663 1941
Meer informatie

Juridisch advies
Professionals inhuren
Academy
Legal Tech
Security / Informatiebeveiliging
Documenten
Ons team
Vacatures

 

 
Nieuwsbrief

Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

Inschrijven nieuwsbrief

Social media
SM 22-Linkedin SM 22_Twitter SM 22_Instagram