Tracking Cookies verkruimeld door rechtbank


Een belangrijke internationale speler in de Ad Tech-industrie mag niet langer tracking cookies op de computer en andere apparaten van de eiser in deze zaak zetten zonder zijn toestemming. De rechtbank van Amsterdam is van oordeel dat het plaatsen van deze cookies in strijd is met onder meer de AVG.

Geschatte leestijd: 5 minuten

Eerdere overtreding van het technologiebedrijf

De eiser in deze zaak is een natuurlijke persoon. De gedaagde, Criteo, is een belangrijke internationale speler in de Ad Tech-industrie. Criteo is een technologiebedrijf met een hoofdkantoor in Parijs. Eerder dit jaar, op 15 juni jl., heeft de Franse privacy-toezichthouder, Commission Nationale de Informatique et des Libertés (CNIL), een boete van € 40.000.000,= opgelegd aan Criteo SA voor overtreding van verschillende bepalingen van de AVG.

De rol van Tracking cookies bij targeted advertising

Criteo plaatst via websites van derden zogeheten tracking cookies (uid cookie) op computers en mobiele apparaten. Het doel hiervan is om het surfgedrag, de interesses en/of andere gegevens van internetgebruikers te verzamelen en te analyseren voor commerciële doeleinden.

Criteo gebruikt de tracking cookies voor targeted advertising. Hierbij worden advertenties afgestemd op individuele gebruikers. Dat gebeurt doormiddel van het opstellen van gebruikersprofielen en dit herkent gebruikers als zij het internet bezoeken. Binnen een fractie van een seconde wordt er dankzij het “Real Time Bidding (RTB)-Systeem” een internetgebruiker herkend en wordt er een op de betreffende gebruiker afgestemde advertentie getoond. Tracking cookies spelen daarbij een essentiële rol.

Deskundigenrapport

De eiser in deze zaak, die heeft gediend bij de rechtbank Amsterdam, stelt dat Criteo jegens hem onrechtmatig handelt door, in strijd met de Telecommunicatiewet, de AVG en privacygrondrechten, regelmatig en al voordat hem om toestemming is gevraagd via een groot aantal websites eigen tracking cookies te plaatsen of uit te lezen en dat Criteo dat zelfs doet nadat er expliciet toestemming is geweigerd.

Ter onderbouwing heeft de eiser in deze zaak een deskundigenrapport aangedragen. Hieronder een korte weergave van hetgeen hierover in het vonnis wordt gezegd. Wil je hierover wat meer detail teruglezen, dan raad ik je aan om overweging 2.11 van het vonnis te lezen. 

In het Rapport wordt het bezoek van de eiser aan 40 websites geanalyseerd. Tijdens het laden van 39 van deze sites, interacteerde Criteo met cookies op het apparaat van de gebruiker zonder toestemming van de gebruiker. Elk van deze websites heeft een cookiebanner die de gebruiker de keuze biedt om alle cookies te accepteren of de instellingen te wijzigen om alle cookies of verschillende categorieën cookies te weigeren. Bij vijf websites wordt telkens geconstateerd dat deze zonder op de toestemming van de eiser te wachten diverse netwerkverzoeken naar Criteo stuurde.

Bij vier van deze vijf websites wordt daarnaast geconstateerd dat er een netwerkverzoek werd verzonden naar bidswitch.net, dat ook eigendom is van Criteo en unieke permanente cookies voor elke gebruiker plaatst, en er ook andere netwerkverzoeken waarin Criteo wordt genoemd werden verzonden naar andere Ad Tech-bedrijven.

Uit het deskundigenrapport blijkt dat stelselmatig tracking cookies van of via Criteo zijn geplaatst op devices van de eiser in deze zaak, zonder zijn voorafgaande toestemming.

Verkrijgen van toestemming kan niet bij de partners worden neergelegd

Volgens Criteo is niet zij, maar zijn haar partners zijn verantwoordelijk voor het verkrijgen van toestemming. Criteo voert aan dat zij diensten verleent aan haar partners die advertentieruimte verkopen aan adverteerders. Deze partners staan in direct contact met de eindgebruikers (de websitebezoekers). Niet Criteo zelf. 

De voorzieningenrechter is van oordeel dat Criteo zich voor het verkrijgen van toestemming niet kan verschuilen achter haar partners. Criteo blijft ook zelf verantwoordelijk om te bewerkstelligen dat er op een rechtsgeldige en rechtmatige wijze toestemming wordt verkregen voor het plaatsen en uitlezen van het uid cookie. Zij kan daar op grond van art. 26 lid 3 AVG op worden aangesproken. De voorzieningenrechter verwijst hierbij onder meer naar een overweging van het CNIL in haar beslissing van 15 juni jl: “..dat het feit dat de partners verantwoordelijk zijn voor het verzamelen van de toestemming (…), het bedrijf niet ontslaat van zijn verplichting, overeenkomstig artikel 7 AVG, om te kunnen aantonen dat de betrokkene toestemming heeft gegeven.”

Reactief optreden is onvoldoende

Criteo beroept zich er onder meer op dat zij na de CNIL-uitspraak, inmiddels wel voldoet aan de AVG.  Zij heeft hiertoe een aantal zaken beter op orde gebracht. Nieuwe partners worden nu van tevoren gescreend, de AVG-verplichtingen worden contractueel aan de partners oplegt, er worden audits uitvoert bij haar partners en Criteo treedt op als een partner niet correct vooraf toestemming vraagt. De voorzieningenrechter is echter van mening dat Criteo pas optreedt als zij een signaal krijgt en dat zij niet met stukken heeft aangetoond dat zij adequaat is opgetreden tegen de 39 websites.

Browser instellingen en opt-out

Criteo voert verder aan dat zij twee mogelijkheden heeft geboden waarmee kan worden voorkomen dat de eiser in deze zaak met tracking cookies wordt gevolgd. Namelijk ongewenste cookies verwijderen door zijn browser instellingen aan te passen en/of een opt-out instellen voor Criteo-cookies. De eiser, zo stelt Criteo, kiest er echter zelf voor deze opties niet te gebruiken. De voorzieningenrechter is van mening dat niet de eiser in deze zaak actie moet ondernemen, maar dat Criteo moet zorgen dat er vooraf toestemming wordt verkregen voor de plaatsing van de cookies en het verwerken van zijn persoonsgegevens. 

Vorderingen worden toegewezen

De eiser in deze zaak vordert onder meer om Criteo te gebieden het onrechtmatig handelen per ommegaande te staken en gestaakt te houden en Criteo te gebieden om inzage te verlenen in de verwerkte persoonsgegevens van de eiser. Alle in totaal zeven vorderingen worden door de voorzieningenrechter toegewezen waarbij er diverse dwangsommen worden toegekend.

Vragen over privacyrecht en AVG?

Op tracking cookies is naast de Telecommunicatiewet (TW) de Algemene verordening gegevensbescherming (AVG) van toepassing. Op de website van de Autoriteit persoonsgegevens vindt je hierover meer informatie terug. Heb je nog vragen over dit onderwerp, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.