7 min Leestijd

Google Customer Match: zonder toestemming privacy technisch dubieus.

Veel gebruikt en waardevol: Google Customer Match. Maar vaak is toestemming nodig vanwege de privacy regelgeving. Als die nodig is en ontbreekt is Google Customer Match in strijd met de wet .

Google Customer Match. Een handig systeem om de eigen klanten te benaderen met behulp van Google. Klanten van een adverteerder zien zo zijn advertenties wanneer ze een zoekvraag intypen die verband houdt met het product van de adverteerder. Als ze tenminste ook abonnee bij Google zijn. Die klanten/Google abonnees zijn al klant, dus je mag aannemen dat de drempel om opnieuw in zee te gaan met de adverteerder lager is dan bij niet-klanten.

Bovendien kan de adverteerder een aanbod doen dat precies is toegesneden op de klant: de adverteerder kent zijn klanten immers. Kortom: veel voordelen. Het gerucht gaat dat de conversie meer dan goed is. Voorstelbaar allemaal. En prachtig natuurlijk maar er is ook een nadeel aan: Google moet om dit te kunnen doen, de beschikking  krijgen over de e-mailadressen van de klanten. En dat ligt gevoelig. Google is vanuit het oogpunt van privacy allerminst van onbesproken gedrag.

Hoe werkt het?

Een adverteerder uploadt e-mailadressen van zijn klanten naar Google. Het gaat om alle e-mailadressen of om een selectie. Afhankelijk van het doel van de upload. Google checkt welke van de geüploade e-mailadressen abonnee zijn bij Google/youtube. De adverteerder beheert zelf het bestand dat bij Google wordt gehost. Hij kan aan het bestand e-mailadressen en/of kenmerken toevoegen of verwijderen.

Vervolgens toont de adverteerder zijn klanten die ook Google abonnee zijn, speciaal op hen gerichte reclame via Google Adwords campagnes. Dat wil zeggen dat als zijn klanten bij Google zoeken op een woord (een adword) dat de adverteerder heeft “gereserveerd”(waarvoor hij het meeste betaalt), aan die klanten voor hen uitgezochte reclame wordt getoond.

Als de adverteerder e-mailadressen verwijdert uit de lijst, delete Google het kenmerk dat ze klant zijn bij adverteerder.

Een andere mogelijkheid is dat Google het geüploade bestand analyseert. Met het doel gezamenlijke kenmerken van de mensen in dat bestand te vinden. Kenmerken die daarnaast specifiek zijn voor dat bestand. De reden: het gaat om een klantenbestand dus je mag aannemen dat mensen die geen klant zijn maar wel die kenmerken hebben  sneller klant zullen worden dan mensen die die specifieke kenmerken niet hebben. De adverteerder kan vervolgens Adwords campagnes richten op deze niet-klanten met de kenmerken van de klanten. Dat zijn de look alike audiences.

De look-alike audiences blijven van Google. Google gebruikt het bestand alleen om als de adverteerder dat aangeeft, reclame van de adverteerder aan de personen in het bestand te sturen. Over de look-alike audiences gaat dit stuk verder niet. Vraag daar is alleen of de verrijking met het kenmerk “look-alike van klanten van adverteerder X”, geen inbreuk op de privacy van de klanten oplevert. Dat lijkt me niet (of niet snel) aan de hand.

Anders is dat met betrekking tot de Adwords campagnes.

Hoe zit het?

Allereerst de rolverdeling. Wie is er verantwoordelijk voor wat? In het privacyrecht spreekt men telkens over de verantwoordelijke als de partij die er “verantwoordelijk” voor is jegens de mensen in het bestand (de klanten) dat de hele omgang met hun gegevens correct gebeurt. Daarbij bij iedere handeling (uploaden, selecteren, verrijken, bewaren, advertenties serveren) worden bekeken wie daarvoor de verantwoordelijke is.

De adverteerder is de verantwoordelijke voor het uploaden naar Google. Hij moet zorgen dat hij dat mag doen. Vervolgens worden de geüploade klanten die ook abonnee zijn bij Google gevolgd op Google. Gekeken wordt welk zoekwoord ze intypen. Is dat een zoekwoord dat de adverteerder heeft geclaimd, toont Google de klant een door de adverteerder bepaalde advertentie.

Wie is voor het volgen en het tonen van die advertenties via Adwords de verantwoordelijke? Google doet dat in opdracht van de adverteerder. Je zou kunnen zeggen dat de adverteerder hiervoor alleen de verantwoordelijke is. Dat Google alleen handelt in opdracht van de adverteerder, ongeveer zoals een DM verzendhuis van fysieke post ook alleen de wensen van de adverteerder uitvoert. Het is echter de vraag of Google zich zo kan wegcijferen.

Ik zou zeggen dat de rol van Google groter is dan die van het verzendhuis. In het door Google (zonder dat de adverteerder daar enige invloed op kan uitoefenen) opgezette systeem geeft de adverteerder geen andere sturing dan de keuze van de Adwords en de keuze van de selectie uit zijn klantenbestand. Alle andere elementen van het proces, het volgen, het biedproces, het bepalen van de volgorde van wie welke advertentie te zien krijgt, enzovoorts, is het werk van Google. Je kunt dan niet meer zeggen dat Google dat alles uitsluitend doet ten behoeve van deze adverteerder en dat Google, als zielloos werktuig, slechts uitvoerder is. Google heeft een zelfstandige positie. En daarmee is Google medeverantwoordelijke. Naast dus de adverteerder.

De klant heeft een relatie met de adverteerder. Hij heeft zijn gegevens bij de adverteerder achtergelaten. Dat kan meerdere redenen hebben: om een contract met de adverteerder te kunnen uitvoeren bijvoorbeeld. De adverteerder kan de gegevens van de consument in principe gebruiken om de consument reclame te sturen. De klant snapt dat daarbij andere personen zijn gegevens in handen kunnen krijgen om hem reclame te kunnen laten ontvangen: een e-mailplatform, een verzendhuis van fysieke post, een extern callcenter. Dat alles onder regie en aansturing van de adverteerder. Maar snapt hij ook Google?

Google dat zijn gegevens krijgt (zijn e-mailadres en het feit dat hij klant is bij de adverteerder) om hem reclame te laten zien van die adverteerder? Dat spreekt niet vanzelf.  Zeker nu de regie van de adverteerder bij Google minder is. En Google zelf ook de medeverantwoordelijke is.  Google is dan in de relatie tot de klant niet een willoos verlengstuk van de adverteerder maar een buitenstaander, een derde, die de gegevens van de klant krijgt. Dat heeft gevolgen.

In ieder geval moet de adverteerder als hij de klantgegevens uitvraagt melden in zijn privacystatement dat hij bepaalde gegevens ook aan Google zal geven. Dat zegt Google zelf ook in zijn algemene voorwaarden. De klant zal als doel van het gebruik van het e-mailadres moeten opnemen dat het kan worden verstrekt aan sociale media met het doel hen op die sociale media te herkennen als klant van de adverteerder en hen op basis daarvan relevante informatie te serveren.

Is dat dan genoeg? Of moet de adverteerder eerst toestemming van de klant hebben voordat hij zijn e-mailadres mag delen met Google? Ik ben geneigd te denken van wel. Het gaat er immers om dat de adverteerder waarbij de klant klant is, via Google, de klant “in de gaten houdt”. Zijn gegevens worden daartoe gedeeld met Google.

Dat de adverteerder zelf de klant in de gaten houdt als die op zijn website rondstruint, dat wist de klant wel. Of daarvoor heeft hij via een cookietoestemming toestemming gegeven. En dat Google de klant in de gaten houdt, dat wist ie ook (het gaat immers om klanten die abonnees van Google zijn). Maar dat de adverteerder  via Google de klant volgt, hoeft hij niet te verwachten. En de klant kan dat als een inbreuk op zijn privacy ervaren. Dan is alleen informeren onvoldoende en moet toestemming worden verkregen.

Daarbij komt dat het verstrekken van gegevens aan Google as such, of Google nu verantwoordelijke is of toch alleen een willoos werktuig, niet voor iedereen acceptabel is. Tot voor de nieuwe regeling over dataoverdracht aan de VS vond de hoogste Europese rechter dat ook niet acceptabel (in verband met het gebrek aan respect voor de privacy van de Amerikaanse overheid). Ook om die reden kan het nodig zijn toestemming te krijgen voor het verstrekken aan Google.

Als adverteerders niet informeren en/of geen toestemming krijgen voor Google Customer Match, handelen zij in strijd met de wet. Ook kan Google in strijd met de wet handelen. Google meldt om daaraan te ontsnappen in zijn voorwaarden dat als het nodig is dat toestemming wordt gevraagd, het aan de adverteerder is om die te regelen. Zo legt Google de bal bij de adverteerder. Maar dat hoeft Google niet uit de wind te houden. Allereerst al niet omdat Google zelf ook verantwoordelijke is. Maar ook omdat een partij als Google niet de vermoorde onschuld kan blijven spelen als zou blijken dat het merendeel van de adverteerders die Google Customer Match gebruikt dat in strijd met de wet doet. Die kop-in-het-zand strategie houdt het schip maar kort drijvende.

 

 

 

 

 

 

11 december 2016 - ICT recht, Privacyrecht, Reclamerecht

About Jetse Sprey

Jetse is aan ons kantoor verbonden als legal counsel. Hij vindt oplossingen in plaats van problemen en is telkens weer in staat om impasses te doorbreken. Hij zegt wat hij ergens van vindt en niet wat hij denkt dat zijn cliënten willen horen.

Hij schrijft scherpe contracten die goed te lezen zijn. Hij heeft veel ervaring met Blockchain en onderneemt daar zelf in. Hij schrijft processtukken en adviezen die overtuigen. Hij weet veel van intellectueel eigendom, privacy en ondernemingsrecht.

Meer over Jetse Sprey