Autoriteit Persoonsgegevens verwijdert tracking pixel in nieuwsbrief

Zo wekte de AP mijn nieuwsgierigheid toen ik zag dat de FG nieuwsbrief van de AP een tracking pixel (Een onzichtbaar afbeeldingsbestand dat gebruikersgedrag volgt en gegevens verzamelt.) heeft. Over die verwerking zou ik toch geïnformeerd moeten zijn, maar daar kon ik me niks van herinneren. Ook had ik geen toestemming gegeven. Hoe dat mag zouden veel organisaties ook wel willen weten en ik wilde wel weten hoe de AP het systeem had ingericht dus deed ik een inzageverzoek. Later begon me door te dringen dat ik misschien wat te positief was en heb ik er een mailtje achteraan gestuurd: als de AP de verwerking misschien eigenlijk niet had bedoeld en netjes zou beëindigen zou mijn inzageverzoek geen zin hebben en zou de AP mijn verzoek niet hoeven te beantwoorden. Dat vermoeden bleek terecht. 

Na een tijdje krijg ik bericht van de AP; de verwerking wordt per direct stopgezet. Goed nieuws, maar er mist nog wat. De verwerking is een week later namelijk nog niet stopgezet. Na een mail hierover belt de AP mij terug. Het loopt toch niet helemaal soepel. We spreken af dat we onderling nog even de communicatie afstemmen en dat ik kijk of ik nog wat tips kan geven voor de praktische afhandeling. 

Het stoppen van de verzameling

Het stoppen van het verzamelen is een ingewikkeld probleem. Al die nieuwsbrieven zijn natuurlijk al verstuurd. Die hebben allemaal een ingebouwde pixel die informatie blijft versturen bij het openen van de mail zonder dat de AP die mails kan veranderen. Mijn advies was als volgt:

De AP maakt gebruik van het mailingsysteem van Spotler Engage dat op nginx-webserver draait. De pixel word ingeladen vanaf urls die er als volgt uitzien: https://nieuwsbrief.autoriteitpersoonsgegevens.nl/x/p/?[unieke_id]. 

Alle nieuwsbrieven bevatten een onzichtbaar afbeeldingsbestand van 1 pixel groot dat wordt geladen vanuit een url met een identifier erin die per mail uniek is waardoor het openen van elke mail te volgen is.

Als het aanpassen van de nieuwsbrieven en de software niet haalbaar is kan de webserver in ieder geval overduidelijk alle requests naar de pixel’s url te weigeren. Mijn advies was om de nginx-webserver configuratie (voor urls die starten met '/x/p') een 403-foutcode terug te laten geven zodat binnenkomende pixel-data niet verder wordt verwerkt. De AP heeft een bijna-identieke aanpassing door laten voeren. Oude nieuwsbrieven blijven bij het openen nog wel gegevens versturen, maar de gegevens worden niet meer verwerkt  door de nieuwsbrief-software.

Verwijderen van gegevens

Het verwijderen van de al verzamelde gegevens zou relatief makkelijk moeten zijn. In tegenstelling tot vergelijkbare situaties waarbij het om third party trackers gaat die kunnen weigeren om gegevens weg te gooien, zou dit makkelijker moeten zijn. De AP heeft aangegeven dat de verzamelde gegevens zijn verwijderd. Ik kan niet controleren of dat ook daadwerkelijk gebeurd is.

Betrokkenen informeren

Betrokkenen horen normaal gesproken geïnformeerd te worden over de verwerking van hun persoonsgegevens. Maar betrokkenen zijn hier nooit over geïnformeerd omdat deze verwerking voor de AP nooit de bedoeling is geweest. Een verwerking die eigenlijk niet de bedoeling is, is niet een rechtmatige reden om betrokkenen niet te informeren. De AP geeft hier een heel mooi voorbeeld door de betrokkenen alsnog netjes te informeren over de verwerking. Alle personen die lid zijn van de normale nieuwsbrief van de AP zijn via de nieuwsbrief van 10 december 2024 geïnformeerd. Er is nog geen nieuwe FG-nieuwsbrief verstuurd, dus die betrokkenen zijn nog niet geïnformeerd. Ik hoop dat dit wat inspiratie is voor anderen die in vergelijkbare situaties ervoor hebben gekozen om betrokkenen niet te informeren. 

Lessen voor de toekomst

Dit is een van de lastigste punten om te beoordelen. Neemt de AP maatregelen om herhaling te voorkomen? Dit is niet de eerste keer dat de AP een vergelijkbare fout heeft gemaakt. Op basis van ervaring kan ik me voorstellen dat de AP na de vorige fouten nieuwe systemen controleert op het gebruik van tracking cookies die niet de bedoeling zijn. Toch kan het deze keer over het hoofd zijn gezien omdat de pixels geen cookies gebruiken of omdat een nieuwsbrief niet een typische website is en dus niet gecontroleerd is. Het is belangrijk dat verwerkingsverantwoordelijken zich beseffen dat ‘de cookiewet’ (of liever artikel 11.7a van de Telecommunicatiewet) op meer van toepassing is dan cookies en websites zoals bijvoorbeeld cookieloze tracking-pixels in e-mails.

Een andere fout die ik vaak zie is dat er te makkelijk op de leverancier wordt vertrouwd als die claims doet over de AVG compliance van een product of dienst. Helaas is dat vertrouwen in de praktijk te vaak onterecht. En het is goed als de AP een signaal geeft dat een verwerkingsverantwoordelijke niet alleen in theorie verantwoordelijk blijft, maar dat de verantwoordingsplicht uit artikel 5 het eigenlijk onhoudbaar maakt om op niet specifieke of niet onderbouwde marketing-claims van een leverancier te vertrouwen. Verzonden e-mails zouden eigenlijk net als websites gecontroleerd moeten worden op het gebruik van tracking-pixels.

Wat nu goed zichtbaar is, is dat de AP veel meer bereid is om te communiceren dan bij eerdere incidenten die ik heb opgemerkt. Dat is een trend waarvan ik alleen maar hoop dat die doorzet. Ik hoop dat de AP inziet dat het maken van fouten én het juist heel zorgvuldig inrichten van verwerkingen beiden goede kansen zijn om te gebruiken in voorlichting zonder dat daar een uitgebreid onderzoek voor nodig is met een verwerkingsverantwoordelijke die via de rechter openbaarmaking probeert tegen te houden. 

‍