Vrijwel iedere website maakt tegenwoordig gebruik van cookies om de gebruikservaring voor bezoekers te optimaliseren en om nuttige informatie over hen te verzamelen. Er zijn een aantal zaken op het gebied van privacy waarmee je rekening moet houden bij het gebruik van cookies. In deze blog worden deze aspecten aan de hand van een recent vonnis van de rechtbank Amsterdam nader toegelicht.
Wat zijn cookies?
Cookies zijn kleine bestanden die door een website op het apparaat van een eindgebruiker worden gezet. De website kan bij een volgend bezoek de cookie opvragen en uitlezen. Op deze manier kan niet alleen worden bijgehouden wie op een bepaald moment de website heeft bezocht, maar bijvoorbeeld ook wat zijn/haar voorkeuren zijn.
Verschillende soorten en maten
Cookies worden doorgaans onderverdeeld in drie categorieën: functionele cookies, tracking cookies en analytische cookies. Voor iedere soort gelden andere regels.
Functionele cookies
Zoals de naam al doet vermoeden, zijn functionele cookies noodzakelijk voor de technische werking van een website. Voor het plaatsen van functionele cookies is geen toestemming van de websitebezoeker vereist.
Analytische cookies
Met het plaatsen van analytische cookies kun je inzicht krijgen in de statistieken van een website, zoals het aantal bezoekers, weergaven of kliks. Voor het plaatsen van analytische cookies is geen toestemming vereist, wanneer hiermee informatie wordt verkregen over de kwaliteit of effectiviteit van de website én het plaatsen van deze cookies geen of slechts geringe consequenties heeft voor de privacy van de websitebezoeker.
Tracking cookies
Met tracking cookies kan men het surfgedrag van een individuele websitebezoeker volgen. De informatie die daarbij wordt verkregen, zegt vaak iets over de persoonlijke interesses en voorkeuren van de websitebezoeker (“profiling”). Vaak worden deze gegevens gebruikt voor het aanbieden van gepersonaliseerde advertenties (“targeted advertising”). Voor het plaatsen van tracking cookies is altijd toestemming van de websitebezoeker vereist. Daaraan voorafgaand moet de bezoeker ook worden geïnformeerd over de doeleinden waarvoor de gegevens zullen worden gebruikt.
Toestemming, tracking en targeting: een voorbeeld uit de praktijk
De wet- en regelgeving op het gebied van cookies kan aardig complex zijn. Dit blijkt ook uit een recent vonnis van de rechtbank Amsterdam, waarin het gebruik van tracking cookies ter discussie werd gesteld.
Wat ging eraan vooraf?
Een internetgebruiker (“Eiser”) had geconstateerd dat er tracking cookies werden geplaatst op zijn apparaten, zonder dat hij daarvoor toestemming had gegeven. De cookies waren afkomstig van Criteo: een grote multinational binnen de Ad Tech-industrie. Het bedrijfsmodel van Criteo bestaat uit het plaatsen van tracking cookies via de websites van derden. De informatie die daarbij wordt verkregen, gebruikt Criteo voor (het verkopen van advertentieruimte voor) targeted advertising.
Eiser meent dat Criteo daarmee in strijd handelt met de Algemene Verordening Gegevensbescherming (“AVG”). Volgens eiser verifieert Criteo namelijk niet of haar partners daadwerkelijk om toestemming hebben gevraagd. Deze gedachtegang sluit aan bij die van de Franse privacy-toezichthouder (CNIL), die eerder dit jaar om dezelfde reden Criteo een boete had opgelegd van € 40 miljoen.
Eiser vordert in deze procedure dat Criteo haar verwerkingsactiviteiten staakt, inzage geeft in de onrechtmatig verwerkte persoonsgegevens én deze gegevens vervolgens verwijdert. De partijen die de cookies namens Criteo hadden geplaatst moeten eveneens op de hoogte worden gebracht van het verwijderingsverzoek, zodat ook die partijen aan het verzoek gehoor kunnen geven.
Criteo stelt echter dat het de verantwoordelijkheid van de websitebeheerders is om de benodigde toestemming te verkrijgen. Criteo heeft hen daartoe contractueel verplicht. Daarbij merkt Criteo nog op dat zij niet over de bevoegdheid beschikt om de inhoud van de websites van haar partners te wijzigen en derhalve niet in staat is om het proces tot het verkrijgen van toestemming anders in te richten. Criteo kiest er daarom voor om pas actie te ondernemen ten opzichte van haar partners, wanneer zij een melding/klacht van een websitegebruiker ontvangt.
Criteo geeft tot slot nog aan dat zij Eiser twee mogelijkheden heeft geboden waarmee deze zelf actie kan ondernemen: het verwijderen van de cookies via de browserinstellingen of het instellen van een “opt-out” voor de ongewenste Criteo-cookies.
Oordeel van de rechtbank
De rechtbank is van oordeel dat Criteo zich niet kan verschuilen achter haar partners en zelf verantwoordelijk is voor het verkrijgen van rechtsgeldige toestemming. Zij mag deze taken contractueel uitbesteden aan haar partners, maar dat ontslaat Criteo niet van haar verplichting om zelf aan te kunnen tonen dat er toestemming is gegeven. Aangezien Criteo dit niet kan en aannemelijk is dat het proces tot het verkrijgen van toestemming bij een groot aantal websites niet goed is geregeld, komt de rechtbank tot de conclusie dat Criteo (in ieder geval ten aanzien van Eiser) niet (correct) aan haar verplichtingen uit hoofde van de AVG heeft voldaan.
Wat betreft de voorgestelde acties waarmee Eiser zelf de ongewenste cookies kon verwijderen/weren, merkt de rechtbank op dat niet Eiser, maar Criteo als verwerkingsverantwoordelijke actie moet ondernemen: zij dient er in de eerste plaats voor te zorgen dat er voorafgaand aan de verwerking toestemming wordt verkregen van de eindgebruiker. Het door Criteo gehanteerde klacht- en meldingssysteem is volgens de rechtbank onvoldoende om het onrechtmatige karakter van de verwerkingsactiviteiten weg te nemen. De rechtbank besluit dan ook om de vorderingen van Eiser toe te wijzen.
Conclusie
Indien je gebruik wilt maken van (tracking) cookies, dan is het belangrijk om processen te implementeren waarin de gebruiker voorafgaand aan het plaatsen van de cookies om toestemming wordt gevraagd. Dit kan bijvoorbeeld via een cookiebanner of pop-up. Het is ook mogelijk om dit proces aan een andere partij uit te besteden, zij het dat je als beheerder van de website (eind)verantwoordelijk om aan te tonen dat de gebruiker toestemming heeft verleend.
Mocht je vragen hebben over het plaatsen van cookies of het inrichten van een cookiebanner, neem dan gerust contact op met één van onze experts.
