Privacybrowser Brave beschuldigt Google van GDPR-schending via advertenties

Brave beweert dat Google de Europese GDPR-wetgeving schendt door webbrowseractiviteit van internetgebruikers te lekken naar adverteerders.

Johnny Ryan, chief policy officer van Brave, stelt in een onlangs gepubliceerd essay dat Googles real-time-bidding-systeem (RTB), dat door miljoenen websites wordt gebruikt om advertenties aan bezoekers voor te schotelen, voortdurend persoonlijke gegevens van die bezoekers verzendt naar duizenden advertentiebedrijven.

Volgens Brave, dat onder dezelfde naam een privacygerichte browser op basis van Chromium ontwikkelt, kunnen de gegevens worden gebruikt om internetgebruikers te volgen terwijl ze over het web surfen. Dat is volgens het bedrijf in strijd met de GDPR.

Zelfregulering

Google spreekt de beschuldiging tegen. De internetreus beweert dat het bedrijf marketinggegevens deelt zonder surfers persoonlijk naar adverteerders of andere derden toe te identificeren. Niet-persoonlijke gegevens die worden gedeeld via het RTB-systeem kunnen informatie bevatten over inkomen, leeftijd en geslacht, gewoonten en invloed op sociale media. Naast ook informatie over etniciteit, seksuele geaardheid, religie of politieke overtuiging. 

Wanneer internetbezoekers op een van de circa 8,4 miljoen websites terechtkomen die het RTB-systeem van Google gebruiken, wordt een pakket met een vage beschrijving van de betreffende bezoeker verstuurd naar adverteerders. Geautomatiseerde systemen van de adverteerders bieden vervolgens weer veel geld om hun advertentie te tonen. Volgens Google moeten partners zich houden aan zijn beleid, dat de identificatie en profilering van internetgebruikers op basis van deze informatie verbiedt.

Push Pages

Toch suggereert Ryan dat zelfregulering onvoldoende is. Zo voegt het RTB-systeem van Google een unieke reeks tekens aan Push Page-url’s toe, die derden kunnen gebruiken om gebruikers te identificeren. De tekenreeks geeft geen persoonlijke informatie zoals een naam of adres, maar het betreft een unieke pseudonieme marker die, in combinatie met andere Google-cookies, kan worden gebruikt voor het volgen van gebruikersactiviteiten op websites. Dat is in de Verenigde Staten niet illegaal, maar wel in strijd met de Europese GDPR.

“Elke Push Page onderscheidt zich door een code van bijna tweeduizend tekens. Google voegt deze aan het einde toe om de persoon waarover Google informatie deelt uniek te identificeren”, zegt Ryan. Het gaat volgens hem om verborgen pagina’s die laden zonder te worden gezien door bezoekers van de website. De pagina’s initiëren netwerkverzoeken voor verschillende programmatische advertentieservices. Push Pages worden aangeboden vanuit een Google-domein als HTML-bestanden met de naam ‘cookie_push.html’.

“Een cookie_push is geen ID en geen identificatie. Het is een parameter voor het meten van end-to-end latency”, reageert Google tegenover The Register. “We tonen geen gepersonaliseerde advertenties of sturen geen bid requests naar bieders, zonder toestemming van de gebruiker. De Ierse DPC en de Britse ICO (respectievelijke privacywaakhonden in deze landen, nvdr.) zijn al bezig met het onderzoeken van real-time bidding om de naleving van de GDPR te beoordelen. We verwelkomen dat werk en werken volledig samen.”

Gerelateerd: Ierse waakhond doet onderzoek naar GDPR-schending Google Ad Exchange