Tracking cookies op websites derden
De kwestie gaat in de kern over het plaatsen van tracking cookies door (en van) grote partijen als Microsoft, LinkedIn, MIOL en Xandr op websites van derden. Het zijn dus de websitehouders (zoals bijvoorbeeld kennelijk kieskeurig.nl) die ervoor kiezen om een stukje (programma)code aan hun website toe te voegen, waardoor er cookies van die grote partijen worden geplaatst. Het idee daarvan is dat de websitehouder vervolgens meer informatie verkrijgt over de bezoekers aan zijn site.
Man wil niet getracked worden
Een man heeft geconstateerd dat er bij het bezoek van diverse sites dergelijke tracking cookies worden geplaatst zonder zijn toestemming. Daar is hij het niet mee eens. De man heeft 30 verschillende sites bezocht en geconstateerd dat het gros ervan cookies plaatst zonder geldige toestemming. Een door de man ingeschakelde deskundige maakt hiervan een rapport op die de bevindingen bevestigt. De man spreekt daarop de achterliggende bedrijven (en niet de websitehouders) in deze procedure aan.
Rb: er worden persoonsgegevens verwerkt
De gedaagden betwisten dat er met de cookies persoonsgegevens worden verwerkt. Zij betogen dat de gegevens niet herleidbaar zijn tot een persoon. De rechtbank gaat er echter - voorshands - vanuit dat dit verweer niet opgaat. Juist uit de eigen teksten van de bedrijven volgt immers dat de cookies bedoeld zijn om profielen van mensen op te bouwen.
Rb: er is toestemming nodig
Voor het plaatsen van cookies is toestemming nodig en voor de verwerking van persoonsgegevens die hiermee verband houdt zal de grondslag ook vaak toestemming zijn. De rechtbank constateert dat die toestemming er (dus) moet zijn. Uit het rapport van eiser en uit het tegenonderzoek van gedaagden blijkt het vragen van toestemming in ieder geval bij een deel van de sites niet goed gaat. De netwerken kunnen zich hierbij niet verschuilen achter de websitehouders; zij zijn immers zelf ook verantwoordelijk voor de verwerking.
Rb: een technische escape is denkbaar
De rechtbank merkt verder nog (ten overvloede) op dat gedaagden aan de websitehouders tools ter beschikking zouden kunnen stellen waardoor het plaatsen van cookies zonder toestemming technisch onmogelijk wordt. Nu dat niet gebeurd is, kunnen zij zich er niet op beroepen dat ze al reeds al het nodige hebben gedaan wat van hen kan worden gevergd om toestemming te verkrijgen.
Rb: verboden te tracken
Dit alles leidt tot een verbod nog cookies te plaatsen zonder toestemming op de devices van de man, op straffe van een dwangsom van 1.000 tot maximaal 25k.
Eerdere kwestie Criteo
De kwestie inzake Criteo van enkele maanden terug lijkt overigens sterk op deze kwestie. Ook daar werden door derde partijen tracking cookies van Criteo geplaatst, ook daar was het verweer dat deze derde partijen dit beter hadden moeten regelen en ook daar had de rechter (in dat geval: zowel rechtbank als Gerechtshof) daar geen boodschap aan.
Slotopmerking
Een van de kernvragen in de kwestie is of hier nu persoonsgegevens worden verwerkt of niet. Het valt op dat hier vrij snel overheen wordt gestapt en vooral wordt geleund op de documentatie van de grote partijen over het doel van de verwerking. De gedachte lijkt te zijn: "u probeert een profiel op te bouwen, dus u zult wel persoonsgegevens verwerken". De vraag is of dat helemaal correct is. Voor de verwerking van persoonsgegevens is immers identificeerbaarheid vereist is en is singling out onvoldoende. Hierover sprak ik onlangs ook op het VPR-congres. Het zou me dus niets verbazen wanneer dit in hoger beroep nog uitgediept wordt.
Ook lijken de regels over het plaatsen/uitlezen van cookies (en andere informatie) op devices enerzijds (=eprivacy) en de regels omtrent de verwerking van persoonsgegevens (=AVG) in de uitspraak soms nog wat op één hoop gegooid te worden. Ook dat zou in hoger beroep wellicht wat aangescherpt kunnen worden. Onderaan de streep maakt het vermoedelijk echter niet zo heel veel verschil, want voor cookies is toestemming vereist en kennelijk staat feitelijk vast dat die toestemming niet verkregen werd.
Een zeker zo interessante vraag is of de veroordeling feitelijk wel na te komen is. Het vonnis verbiedt namelijk "het zonder diens toestemming (doen) plaatsen dan wel uitlezen van tracking cookies of andere cookies waarvoor toestemming vereist is op de computer en/of apparaten van [eiser]", maar noch het vonnis, noch het dictum maakt duidelijk hoe de computer en/of apparaten van eiser herkend zouden moeten worden. Dat roept de vraag op hoe aan de veroordeling te voldoen. Moet de man nu identificerende gegevens kenbaar gaan maken aan de gedaagden (zodat hij, paradoxaal genoeg, getracked kan worden om niet getracked te worden)? Of strekt het vonnis in feite tot het algeheel te stoppen met de tracking cookies? En zo ja, is dat laatste dan proportioneel?
De escape waar de rechter zelf al op hint is om die reden erg interessant. De rechter zegt in wezen dat het proces technisch gezien ook anders ingericht had kunnen worden. En de gedachte lijkt te zijn: als het (redelijkerwijs) anders kan om wel aan de wet te voldoen, dan moet het (dus) ook anders. De hint die partijen als Microsoft dus in wezen krijgen is om hun programmacode zo te wijzigen dat de cookies alleen geplaatst worden indien geborgd is dat daadwerkelijk toestemming is verkregen. Aangezien niemand zit te wachten op allerlei verschillende technische frameworks om die toestemming te administreren, zou het maar zo kunnen zijn dat we op termijn toewerken naar een consent frame zoals bij de IAB. Gelet op het IAB-arrest roept dat wel weer de nodige AVG-vervolgvragen op.
En uitzoomend.... Het zou maar zo kunnen zijn dat - omdat naleving duurder is - de gedaagden de dwangsommen gewoon vol laten lopen en dat eiser vervolgens (dus) € 25.000,- kan incasseren. Dat houd je als gedaagden echter ook maar even vol; als de hele wereld ontdekt dat er 25k te verdienen is dan houdt het vermoedelijk snel op.
Kortom: deze kwestie wordt dus ongetwijfeld vervolgd.
Ondertussen doet u er als organisatie goed aan te borgen dat de naleving van de cookie- en privacywetgeving goed is geregeld, al was het maar om dit soort procedures te voorkomen. Neem gerust contact op bij vragen.
Gerelateerd
Privacy en gegevensbescherming
