Het adtech-bedrijf van Microsoft is het doelwit van een klacht die wordt gesteund door de Europese privacybelangenorganisatie noyb – een non-profitorganisatie die ver boven haar gewicht uitsteekt als het gaat om het schrijven van stakingen tegen technologiegiganten wegens datalekken.
Voor zijn nieuwste actie steunt noyb een niet bij naam genoemde persoon in Italië om een klacht tegen Xandro in te dienen bij de nationale gegevensbeschermingsautoriteit. De klacht werd ingediend op grond van de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie – wat betekent dat, als deze de overhand krijgt, dit kan leiden tot boetes tot 4% van de wereldwijde jaaromzet van Xandro’s moederbedrijf Microsoft.
Xandr wordt beschuldigd van tekortkomingen op het gebied van transparantie en schending van het recht op toegang tot gegevens van mensen in de buurt wiens informatie wordt verwerkt om profielen te maken die worden gebruikt voor microtargeted advertenties die worden verkocht via programmatische advertentieveilingen. In de klacht wordt ook beweerd dat het adtech-bedrijf onjuiste informatie over mensen gebruikt.
Meer specifiek beweert noyb dat Xandr inbreuk maakt op artikel 5, lid 1, onder c) en d); 12(2); 15 en 17 van de AVG.
In de klacht wordt de gegevensbeschermingsautoriteit gevraagd een onderzoek in te stellen en, indien overtredingen worden bevestigd, Xandra te gelasten hieraan gevolg te geven. noyb suggereert ook dat het een boete moet opleggen van maximaal 4% van de jaaromzet van Xandro’s moederbedrijf (let op: de jaaromzet van Microsoft voor 2023 bedroeg bijna $ 212 miljard).
Regulatoir risico verwerven?
Eind 2021 verwierf Microsoft wat het Xandr noemde, een “data-enabled technologieplatform” om zijn digitale advertentieactiviteiten uit te breiden, hoewel Xandr zijn structurele autonomie behield en als een afzonderlijke entiteit opereert. In het persbericht van Microsoft werd destijds verwezen naar de overname als een verbetering van de “retail media-oplossingen”, en werd ook “verbeterde inkomsten genereren voor uitgevers aangeprezen door betere toegang tot gegevens van eigen leveranciers en een compleet marketingaanbod.” Hij maakte geen melding van het vooruitzicht op een verhoogd regelgevingsrisico als gevolg van de overname.
Het probleem is volgens de door de noyb gesteunde klacht dat Xandr niet reageert op verzoeken om gegevenstoegang van personen die willen dat hun persoonlijke gegevens worden verwijderd of gecorrigeerd. De klacht linkt naar een ‘verborgen’ website waarop staat dat Xandr gegevenstoegangsstatistieken publiceert. Volgens de site heeft het bedrijf tussen 1 januari 2022 en 31 december 2022 1.294 toegangsverzoeken en 600 verwijderingsverzoeken ontvangen, maar deze allemaal afgewezen.
Een uitleg op de website luidt: “Verzoeken om toegang en verwijdering worden afgewezen wanneer we de identiteit en jurisdictie van de aanvrager niet kunnen verifiëren. Vanwege het pseudonieme karakter van de gegevens die Xandr op zijn Platform verzamelt, zijn we niet in staat de identiteit te verifiëren van consumenten die verzoeken om toegang en verwijdering hebben ingediend wanneer dergelijke verzoeken niet aan een andere identificatie zijn gekoppeld, en daarom hebben we dergelijke verzoeken afgewezen. ”
Het lijkt er dus op dat Xandr beweert dat het niet hoeft te voldoen aan de AVG-gegevenstoegangsrechten, omdat de informatie die het over individuen bewaart pseudoniem is.
In de klacht wordt echter betoogd dat het niet geloofwaardig is als een bedrijf waarvan de hele bedrijfsvoering afhankelijk is van het profileren van individuen voor gerichte reclamewinsten, beweert dat het de mensen niet kan identificeren wiens informatie het bezit.
In een reactie op de verklaring zei Massimiliano Gelmi, advocaat gegevensbescherming bij noyb: “Xanders activiteiten zijn duidelijk gebaseerd op het bijhouden van gegevens over miljoenen Europeanen en het targeten ervan. Het bedrijf geeft echter toe dat het een responspercentage van 0% heeft op verzoeken om toegang en verwijdering. Het is verbazingwekkend dat Xandr zelfs publiekelijk illustreert hoe dit in strijd is met de AVG.”
Het is de moeite waard om op te merken dat de AVG een uitgebreide kijk heeft op wat persoonlijke gegevens zijn, en dat gegevens die gepseudonimiseerd zijn, persoonlijke gegevens blijven – wat betekent dat degenen die dergelijke informatie bezitten, moeten voldoen aan pan-EU wettelijke vereisten, zoals het verlenen van toegangsrechten tot gegevens.
De richtlijnen over de toegangsrechten van betrokkenen die vorig jaar door de Europese Raad voor Gegevensbescherming (EDPB) zijn aangenomen, bevatten een illustratief voorbeeld op het gebied van microtargeted adverteren, waarin de Raad erop wijst dat een adtech-bedrijf in staat zou moeten zijn een individu dat toegang wil tot zijn persoonsgegevens met dezelfde eindapparatuur die is gekoppeld aan zijn advertentieprofiel (d.w.z. via de cookies die erop terechtkomen) omdat “er een verband kan worden gevonden tussen de gegevens die worden verwerkt en de betrokkene”.
Als een individu zijn gegevens op een andere manier opvraagt, bijvoorbeeld per e-mail, suggereren de EDPB-richtlijnen dat het adtech-bedrijf hem om aanvullende informatie vraagt om het relevante advertentieprofiel te identificeren en aan zijn verzoek om toegang tot gegevens te voldoen. Concreet zeggen de richtlijnen dat een individu een cookie-identificator moet beveiligen die is opgeslagen in zijn eindapparatuur.
Het is niet duidelijk welke stappen Xandr heeft ondernomen om de advertentieprofielen te identificeren van mensen die toegang tot hun gegevens zoeken of deze willen verwijderen.
Terugkomend op de klacht: uit het onderzoek van noyb is ook gebleken dat er sprake is van een hoge mate van onnauwkeurigheid in de informatie die Xandr over individuen bewaart, wat bij zijn klanten afzonderlijke vragen kan oproepen over de kwaliteit van zijn advertentiegerichte diensten. Maar het heeft ook juridische betekenis omdat de AVG individuen het recht geeft om onjuiste gegevens die over hen worden bewaard, te corrigeren.
Mensen uit de EU kunnen ook voor andere rechten op de AVG vertrouwen, waaronder de mogelijkheid om een kopie van hun gegevens op te vragen. Nogmaals, noyb stelt dat dit een ander gebied is waarop Xandr niet synchroon loopt. Hij kon van Xandro zelf geen kopie van de gegevens van klager krijgen, maar gebruikte in plaats daarvan een verzoek om toegang tot de betrokkene bij een van zijn gegevensmakelaars.
“Dankzij een toegangsverzoek aan datamakelaar – en Xandr-leverancier – emeriq, weten we dat ten minste een deel van de database van Xandr bestaat uit enorm onnauwkeurige en tegenstrijdige persoonlijke informatie over mensen”, aldus het persbericht. “Volgens emetriq is de klager zowel man als vrouw, met een geschatte leeftijd tussen 16-19, 20-29, 30-39, 40-49, 50-59 en 60+. Daarnaast heeft klager een inkomen tussen € 500,- en € 1.500,-, € 1.500,- en € 2.500,- en € 2.500,-. Bovendien is dezelfde persoon op zoek naar een baan, heeft een baan, is student, scholier en werkt in een bedrijf. Dat bedrijf daarentegen heeft tegelijkertijd 1-10, 1.000+ en 1.100-5.000 mensen in dienst. “
“Het is moeilijk voor te stellen hoe deze gegevenscategorieën kunnen worden gebruikt om advertenties nauwkeurig te targeten”, voegt noyb toe. “Hoewel emetryq niet de enige datamakelaar is die gegevens aan Xander verstrekt, moet worden aangenomen dat deze informatie wordt gebruikt voor advertentietargeting.”
In een verder commentaar schreef Gelmi ook: “Delen van de reclame-industrie lijken zich er niet echt druk om te maken om adverteerders van nauwkeurige informatie te voorzien. In plaats daarvan bevat de dataset chaotische, ongelijksoortige tegenstrijdige informatie. Dit kan bedrijven als Xandr potentieel ten goede komen, omdat ze dezelfde gebruiker van jong en oud aan verschillende zakenpartners kunnen verkopen.”
Er is contact opgenomen met Microsoft voor een reactie op de klacht.
Een woordvoerder van Noyb vertelde ons dat het niet verwacht dat de klacht uit Italië zal worden doorgestuurd naar de Ierse gegevensbeschermingsautoriteiten, in overeenstemming met het one-stop GDPR-proces, aangezien Xandr is opgericht in de VS. Deze bedrijfsstructuur suggereert dat het adtech-bedrijf het doelwit zou kunnen zijn van verdere klachten in andere EU-lidstaten waar het de gegevens van lokale bewoners verwerkte, waardoor het regelgevingsrisico nog groter werd.
De door Noyb ondersteunde klacht benadrukt eerder onderzoek waaruit blijkt dat Xandr zeer gevoelige informatie over individuen verzamelt voor advertentieprofileringsdoeleinden, zoals gegevens over hun seksleven of seksuele geaardheid, religieuze overtuigingen en politieke opvattingen. De AVG legt een bijzonder hoge lat – uitdrukkelijke toestemming – voor de juridische verwerking van gevoelige categorieën gegevens.
Het is niet duidelijk hoe dergelijke toestemmingen zouden worden verkregen van de personen wier gegevens Xandr bezit. Maar websitebezoekers kunnen een bron van informatie zijn, omdat het volgen van advertenties kan worden geïnitieerd door mensen die toegang krijgen tot de inhoud van uitgevers. In de EU worden dergelijke sites verondersteld bezoekers om toestemming te vragen om te worden gevolgd, maar de in de sector gebruikelijke mechanismen voor het verkrijgen van toestemming van mensen zijn zelf beschuldigd van het schenden van de AVG.