Grote technologiebedrijven, waaronder Google, Meta en Microsoft, bleven gebruikers volgen, zelfs nadat ze wettelijk erkende opt-out-signalen hadden ontvangen, aldus een recent forensic audit .
Het onderzoek richtte zich op Global Privacy Control, een browsergebaseerd signaal dat bedoeld is om het verzoek van een gebruiker te communiceren om hun gegevens niet te verzamelen of te delen. Volgens privacywetten zoals de California Consumer Privacy Act zijn bedrijven verplicht dergelijke signalen te respecteren. De audit wees uit dat deze verzoeken vaak werden genegeerd.
Volgens de bevindingen heeft Google in ongeveer 86% van de geteste gevallen geen acceptatie van opt-out verzoeken gehonoreerd. Het rapport stelt dat de systemen van het bedrijf nog steeds commando’s gaven om advertentiecookies in te stellen, zelfs wanneer er een opt-out signaal aanwezig was.
Meta en Microsoft werden ook geïdentificeerd in de analyse. De audit meldde dat Microsoft in ongeveer 50% van de gevallen geen opt-out-signalen respecteerde, terwijl het faalpercentage van Meta hoger was, waarbij tracking code in veel gevallen werd uitgevoerd ongeacht gebruikersvoorkeuren.
De studie onderzocht hoe websites en ingebouwde trackingsystemen reageren op gebruikersinstructies. Onderzoekers observeerden dat trackingtechnologieën bleven werken nadat opt-out-signalen waren verzonden, waaronder het plaatsen van cookies en het verzenden van gebruikersgegevens naar advertentiesystemen.
Google verklaarde dat het rapport een misverstand weerspiegelt over hoe zijn producten functioneren en dat het voldoet aan wettelijke vereisten. Microsoft en Meta gaven vergelijkbare reacties en stelden dat hun systemen ontworpen zijn om gebruikersprivacykeuzes te respecteren terwijl de noodzakelijke operationele functies behouden blijven.
De bevindingen zijn gebaseerd op netwerkanalyse, waarmee onderzoekers in realtime kunnen observeren hoe systemen zich gedragen bij het verwerken van privacysignalen. Deze methode identificeerde discrepanties tussen het vastgestelde beleid en het daadwerkelijke technische gedrag.
Het rapport voegt een uitbreiding van de bestaande controle op trackingpraktijken. Eerdere regelgevende maatregelen hebben bedrijven gestraft voor het niet bieden van duidelijke of effectieve opt-out-mechanismen, waaronder boetes opgelegd door Europese gegevensbeschermingsautoriteiten vanwege cookie-toestemmingspraktijken.
De audit specificeerde niet het totale aantal getroffen gebruikers, maar analyseerde honderden advertentie- en trackingdiensten die over websites zijn ingebed. Onderzoekers gaven aan dat het probleem te maken heeft met hoe externe trackinginfrastructuur is geïntegreerd in digitale platforms, in plaats van bij geïsoleerde incidenten.
De studie concludeert dat opt-out-mechanismen, waaronder Global Privacy Control, mogelijk niet functioneren zoals bedoeld in het huidige online advertentie-ecosysteem, gebaseerd op het waargenomen gedrag van trackingsystemen tijdens testen.