Ontwikkelaar Brave-browser: Google en andere adtech bedrijven overtreden GDPR

Het team achter de Brave-browser heeft een klacht over Google ingediend bij de autoriteiten in Ierland en het Verenigd Koninkrijk. Het bedrijf zou de nieuwe privacyregels die gelden sinds de invoer van de General Data Protection Regulation (GDPR) overtreden hebben. Ook andere ‘ad tech’ bedrijven zouden de regels overtreden hebben.

Het team van Brave, dat vertegenwoordigd wordt door Chief Policy Officer Johnny Ryan, claimt dat Google en ook andere bedrijven gebruikersgegevens blootleggen tijdens een proces dat in de advertentiewereld een ‘bid request’ genoemd wordt. Dat vindt plaats als een gebruiker een website bezoekt met een speciaal soort advertenties – ‘behavioral ads’ – van Google of een andere adverteerder.

Massale verzameling gegevens

Brave stelt dat de code voor de plek waar advertenties verschijnen grote hoeveelheden gebruikersgegevens verzamelt. Die informatie wordt vervolgens naar het advertentieplatform doorgezet, waar potentiële kopers van de advertentieruimte kunnen bieden om een advertentie aan de specifieke gebruiker te tonen. Dat laatste is een proces dat real-time bidding heet.

Doordat er bij het bid request informatie verzameld wordt, zonder dat een gebruiker daar expliciete toestemming voor heeft gegeven, zou er volgens Brave sprake zijn van onwettelijke toegang. Data die via de bid request bloot komt te liggen omvat onder meer wat een gebruiker op dat moment leest of bekijkt, informatie oer de locatie, het IP-adres, informatie over het apparaat en verschillende tracking-id’s.

Persoonlijke details

Volgens Ryan kan deze informatie mogelijk ook de seksualiteit, etniciteit, politieke meningen en andere persoonlijke details omvatten. Doordat gebruikers niet kunnen controleren wie hun gegevens ziet, zelfs als deze geanonimiseerd is, is er sprake van een inbreuk op de GDPR-richtlijnen.

Wat Ryan en Brave betreft, zou er nu een officieel onderzoek moeten volgen. “Er ligt een massaal en systematisch datalek aan het hart van de behavioral advertising industrie,” aldus Ryan. “Ondanks de twee jaar die dienden ter inleiding van GDPR, zijn adtech bedrijven er niet in geslaagd hieraan te voldoen.”

Google stelt in een reactie dat het wel voldoet aan GDPR en dat het transparant is naar zijn gebruikers, die ook zelf kunnen kiezen wat er met hun data gedaan wordt.