Bij behavioural targeting volgen bedrijven het online gedrag van mensen en gebruiken ze de verzamelde informatie om hen gerichte advertenties te tonen. De wettelijke privacyregels hiervoor leggen veel nadruk op de zogenoemde ‘geïnformeerde toestemming’ van de betrokkene. Bedrijven mogen, kort gezegd, alleen een plaatsen nadat iemand daar geïnformeerde toestemming voor heeft gegeven.

Ook mogen bedrijven bijvoorbeeld geen bewaren. Toch speelt toestemming de hoofdrol in het huidige privacyrecht. Op papier lijkt dit een verstandige aanpak. Mensen kunnen zo zelf kiezen of zij een deel van hun privacy opgeven in ruil voor het gebruik van een website.

Hoe de kwaliteit van een product steeds verder daalt

Er wordt wel gezegd dat mensen met hun persoonsgegevens “betalen" voor gratis internetdiensten, maar op die opmerking is wel wat aan te merken. Betaalde diensten verzamelen namelijk vaak net zoveel - of zelfs meer - gegevens over mensen. Maar, gesteld dat er inderdaad sprake is van een markttransactie tussen een gebruiker en een internetdienst, dan wordt die transactie gekenmerkt door een vorm van marktfalen.

Sinds de jaren zeventig van de vorige eeuw is er onder economen veel aandacht voor markten met informatieasymmetrie, een situatie waarbij de ene marktpartij meer informatie heeft over een product dan de andere. George Akerlof, in 2001 winnaar van de Nobelprijs voor de Economie, gebruikte de markt voor tweedehands auto’s als voorbeeld, in het artikel (‘lemons’ zijn slechte auto’s).

Stel, er worden goede en slechte tweedehands auto’s te koop aangeboden. Verkopers weten of zij slechte of goede auto’s aanbieden, maar een koper kan verborgen gebreken niet vaststellen. Een rationele koper zal de prijs bieden die overeenkomt met de gemiddelde kwaliteit van alle auto’s op de markt.

Dat betekent dat iemand die een goede auto wil verkopen te weinig geboden krijgt. Veel verkopers van goede auto’s zullen daarom hun auto’s niet te koop aanbieden. Het gevolg is dat de gemiddelde kwaliteit van auto’s op de markt daalt. Kopers zullen daarom nog lagere prijzen bieden. Meer verkopers zullen zich daardoor terugtrekken van de markt. De kwaliteit van aangeboden tweedehands auto’s daalt op die manier steeds verder. Kortom, op een markt met informatieasymmetrie wordt doorgaans niet geconcurreerd op kwaliteit. Dit leidt tot producten en diensten van lage kwaliteit.

Niemand leest de voorwaarden

Een dergelijke race to the bottom speelt ook bij privacy op het internet. Mensen kunnen niet goed zien wat er met hun gegevens gebeurt bij een websitebezoek. Bovendien is het lastig in te schatten wat de consequenties zijn van het gebruik van persoonsgegevens. Beveiligt een bedrijf de gegevens goed? Aan wie verkoopt een bedrijf de gegevens? En als gegevens in verkeerde handen vallen, wat zijn dan de gevolgen voor de betrokkenen?

Zoals te verwachten op een markt met informatieasymmetrie, concurreren websites zelden op privacy. Vrijwel alle websites laten andere bedrijven, zoals Facebook, Google of online marketingbedrijven, het gedrag van websitebezoekers volgen. Een typische lemons-situatie dus.

Uit onderzoek blijkt dat we enkele weken per jaar kwijt zouden zijn als we alle privacystatements zouden lezen die we tegenkomen op het web

In theorie heeft de Nederlandse privacywet een antwoord op informatieasymmetrie. De wet eist dat bedrijven betrokkenen informeren over de verwerking van persoonsgegevens en dat bedrijven geïnformeerde toestemming vragen voor ze tracking cookies plaatsen. Maar in de praktijk niemand of toestemmingsverzoeken. Uit onderzoek blijkt dat we enkele weken per jaar kwijt zouden zijn als we alle privacystatements zouden lezen die we tegenkomen op het web. Bovendien zijn privacy statements vaak ingewikkeld, vaag en te lang.

Het is de vraag of het wel mogelijk is voor websites om aan bezoekers uit te leggen wat er met hun gegevens gebeurt. Vaak worden bij één websitebezoek cookies geplaatst door tientallen bedrijven, en die bedrijven verkopen gegevens weer door. Wat die bedrijven doen met persoonsgegevens is amper uit te leggen aan websitebezoekers (als de websitehouder het zelf al begrijpt).

Hebben mensen wat te kiezen?

Verder is het twijfelachtig of mensen wel echt kunnen kiezen. Websites kunnen bijvoorbeeld “cookiemuren” optrekken. Een berucht voorbeeld is de website van de Nederlandse Publieke Omroep (NPO). Als men geen toestemming gaf voor het plaatsen van tracking cookies door onder meer Facebook en Google Analytics, liet de NPO de bezoeker niet toe op de website.

Mensen zijn geneigd om nú voordeel te kiezen, en nadeel in de toekomst te negeren

En zelfs als iemand een privacy statement zou lezen, en zelfs als hij die zou begrijpen, dan nog zou hij waarschijnlijk akkoord klikken als een website anders niet goed werkt. Dit komt overeen met inzichten uit de behavioural economics. Mensen zijn geneigd om nú voordeel te kiezen, en nadeel in de toekomst te negeren. ‘Vanaf volgende week ga ik meer sporten en gezonder eten.’

De problemen met geïnformeerde toestemming als privacybeschermingsmaatregel zijn dus vrijwel onoplosbaar. In de praktijk klikken veel mensen op ‘OK’ bij elk verzoek dat ze tegenkomen op het internet.

Toestemming vragen is niet genoeg om privacy te beschermen

Het is daarom tijd dat we de privacydiscussie verbreden. Alleen proberen de toestemming beter te regelen is niet genoeg om een redelijk niveau van privacybescherming te waarborgen. Misschien moeten sommige praktijken met persoonsgegevens gewoon verboden worden. Op het gebied van voedselveiligheid bijvoorbeeld is het gebruik van bepaalde zoetstoffen sterk gereguleerd. En voor veel producten, zoals auto’s, zijn er minimum veiligheidsvoorschriften.

Welk gebruik van persoonsgegevens vinden we aanvaardbaar in onze maatschappij, en welk gebruik niet? Is het bijvoorbeeld acceptabel dat vrijwel alle nieuwssites, van The Guardian tot De Correspondent, het leesgedrag van gebruikers in kaart brengen? Moet het bedrijven worden toegestaan prijzen aan te passen aan het surfprofiel van een internetgebruiker? En moet de publieke omroep bedrijven als Facebook of Google wel helpen om het gedrag van websitebezoekers te volgen?

De juiste balans vinden tussen het beschermen van privacybelangen en ongebreideld paternalisme is niet makkelijk. Maar de wetgever moet moeilijke keuzes niet uit de weg gaan.

Ik zal op 3 juli een van de panelleden zijn tijdens een discussie over behavioural targeting op de conferentie Deze week verschijnen er vier gastbijdragen van wetenschappers die deelnemen aan dit symposium. Morgen: Mireille Hildebrandt, hoogleraar Smart Environments, Data Protection and the Rule of Law aan de Radboud Universiteit Nijmegen.

Let op: deze gratis online dienst kost u meer dan u denkt Het is zo goed als onmogelijk om aan online surveillance door bedrijven te ontkomen, schrijft Chris Jay Hoofnagle van de University of California, Berkeley. Het wordt tijd om het begrip ‘gratis’ op internet te herdefiniëren en te heroverwegen, stelt hij. Lees hier de bijdrage van Chris Jay Hoofnagle Big Business is watching you Met geavanceerde trackers op websites slaan onbekende bedrijven talloze persoonsgegevens van ons op. Hoewel er miljarden aan worden verdiend, weet niemand wat deze bedrijven er precies mee doen. Deel 1 in een serie over de verborgen economie achter het web. Lees hier het artikel over online trackers terug Dit gebeurt er allemaal onder de motorkap van je smartphone Eerder schreven we over onlinetrackers die ons gedrag registeren via pc’s en laptops. Vandaag het vervolg: wat houdt het apparaat in onze broekzak allemaal over ons bij? Na langdurig onderzoek naar 85 populaire apps ontdekte correspondent Dimitri Tokmetzis hoe de smartphone vol privacygevoelige lekken zit. Lees hier het artikel over de datalekken in de smartphone terug Nee, je hebt wél iets te verbergen In discussies over privacy duikt steeds dit argument op: ‘Ik heb niets te verbergen’. Waarom zou je je dan zorgen maken over de NSA of Facebook? Correspondenten Rob Wijnberg en Maurits Martijn geven elf redenen waarom dit een fundamenteel verkeerd argument is. Lees hier het stuk tegen het niks-te-verbergen-argument terug