Nieuws & blogs

Gebruik trackingcookies door reclamebemiddelaar YD onrechtmatig

29 juli 2014

Cookies en de cookiewet
Sinds juni 2012 is er de ‘cookiewet’ (artikel 11.7a Telecommunicatiewet (Tw)), waarin verschillende informatie- en toestemmingsvereisten voor het gebruik van cookies zijn opgenomen. Onder de cookiewet valt elk plaatsen en uitlezen van informatie op het apparaat (tablet, PC, telefoon) bij internetgebruikers. Meestal zal het hierbij om kleine tekstbestandtjes gaan die door de browser geplaatst worden en bekend staan als ‘cookies’, vandaar de naam ‘cookiewet’.

Toestemming en ‘functionele cookies’
Het uitgangspunt van de cookiewet is dat voor plaatsen of uitlezen van cookies voorafgaande toestemming van de gebruiker nodig is. De enige uitzondering zijn puur ‘functionele cookies’: cookies die voor degene (gebruiker) waarbij de cookie geplaatst wordt, nuttig zijn. Het gaat dan bijvoorbeeld om cookies die onthouden dat de gebruiker ingelogd is of dat de gebruiker artikelen in een winkelmandje plaatst. Alle andere soorten cookies, ook al zijn ze wellicht handig of functioneel voor de aanbieder van een webpagina, vallen niet onder deze uitzondering. Voor het plaatsen van bijvoorbeeld cookies die analytische gegevens bijhouden, zoals bij het gebruik van Google Analytics, is dan ook voorafgaande toestemming nodig.

De Wet bescherming persoonsgegevens (Wbp) en (tracking)cookies
De Wbp stelt regels voor alle (enigszins) geordende verwerking van direct of indirect tot personen herleidbare informatie. Met behulp van cookies is het mogelijk gebruikersprofielen op te bouwen, meestal volledig onzichtbaar voor de gebruiker zelf.

Omdat dit soort verwerkingen van informatie de persoonlijke levenssfeer van internetgebruikers raakt, is de cookiewet begin vorig jaar aangepast en is er een vermoeden van verwerking van persoonsgegevens opgenomen bij het gebruik van ‘trackingcookies’ die gebruikers over meerdere sites volgen. Deze cookies kunnen namelijk gebruikt worden bij het opbouwen van gebruikersprofielen.

Toezicht door het College bescherming persoonsgegevens
Indien men met cookies persoonsgegevens verwerkt, moet men dus voldoen aan zowel de eisen van de cookiewet (Tw) als de Wbp. Normaal ziet de Autoriteit Consument en Markt (ACM, vroeger de OPTA) toe op het naleven van de cookiewet (de Tw). Het CBP is de ‘waakhond’ waar het om verwerking van persoonsgegevens gaat. Daar waar cookies vooral gebruikt worden om persoonsgegevens te verwerken, mag het CBP zelfstandig handhaven. Recent is zij hiertoe overgegaan bij een aanbieder van een advertentienetwerk.

Netwerk met persoonlijke advertenties
YD Display Advertising Benelux B.V. (hierna YD) is een aanbieder van een advertentienetwerk. Via dit netwerk bemiddelt YD in het tonen van gepersonaliseerde advertenties op webpagina’s die bij YD’s netwerk aangesloten zijn. Om te zorgen dat die advertenties zoveel mogelijk afgestemd zijn op de bezoekers, worden de advertenties niet alleen getoond via het netwerk, maar verzamelt het YD ook gegevens van de bezoekers van de aangesloten webpagina’s met behulp van eerder genoemde trackingcookies om zo een persoonlijk profiel op te bouwen.

Verwerking van persoonsgegevens
Het CBP komt maart 2014 tot de conclusie dat het opbouwen van een gebruikersprofiel door gebruikmaking van trackingcookies binnen het advertentienetwerk van YD is aan te merken als een verwerking van persoonsgegevens, waarvoor YD als ‘verantwoordelijke’ (in de zin van de Wbp) is aan te merken. De informatie- en toestemmingseisen die hiervoor gelden op grond van de Tw en Wbp zijn hoog: er moet sprake zijn van vrije, specifieke en op informatie berustende (ondubbelzinnige) toestemming.

Ondubbelzinnige toestemming
YD biedt echter slechts een opt-out regime aan, nadat de trackingcookies al geplaatst zijn. Hieruit mag volgens het CBP géén toestemming afgeleid worden. Dit terwijl, zoals hiervoor beschreven is, een ondubbelzinnige vóórafgaande toestemming nodig is. Zodoende handelt YD in strijd met de Tw en Wbp.

Verwerkingsgrondslag: bij trackingcookies alleen via ondubbelzinnige toestemming
Elke verwerking van persoonsgegevens moet gebeuren op basis van een verwerkingsgrondslag. Het CBP gaat niet mee met de stelling van YD dat de verwerking mogelijk is op grond van een legitiem bedrijfsbelang dat boven het belang van betrokken internetgebruikers gaat. Zij concluderen zelfs dat een belangenafweging op deze grondslag in het nadeel van YD uit zou moeten vallen. Volgens het CBP is bij het plaatsen van cookies waarbij sprake is van verwerking van persoonsgegevens de ondubbelzinnige toestemming van gebruikers de enige legitieme verwerkingsgrond.

Conclusie
Voor YD komt er vanuit het CBP nog een hoorzitting. Daar zal bepaald worden of en welke maatregelen YD opgelegd zullen worden. Het overtreden van de Tw en Wbp kan hoge boetes opleveren. Met de komst van de Europese Privacy Verordening worden de boetes en handhavingsmogelijkheden voor de waakhonden alléén nog maar groter. Nu ook blijkt dat het CBP actief toezicht gaat houden op de recente cookiewetgeving, wordt het steeds duidelijker dat het tijd is om als bedrijf actief naar het eigen cookie- en privacybeleid te kijken. In de dagelijkse praktijk blijkt dat organisaties dit vaak nog niet op orde hebben. Vaak is het geen onwil, maar weet men niet waar men moet beginnen.

Hier kan PIT Legal hulp verschaffen: wij pakken voortdurend dit probleem op praktische wijze aan. Een goed cookie- en privacybeleid voorkomt niet alleen dat op grond van wettelijke handhaving boetes opgelegd worden en reputatieschade optreedt, het kan ook zelf waardecreatie opleveren door uw klanten en relaties te laten zien dat u privacy serieus neemt en dit op transparante wijze toont. Ook consumenten worden zich steeds bewuster van privacy-risico’s, en zullen dan ook op zoek gaan naar betrouwbare dienstverleners die hun belangen serieus nemen.

De auteur
PIT Legal is opgericht door mr. Dirk-Jan de Bruin. Hij heeft 15 jaar ervaring in de IT-sector, zowel binnen Nederland als internationaal. Volgend op een periode in het buitenland, voltooide hij meerdere universitaire studies en ontstond zijn passie voor de combinatie van recht, ICT en innovatie. Na een stage bij een internationaal advocatenkantoor besloot hij PIT Legal op te richten waar hij zijn gedegen juridische kennis verbindt met zijn ICT-achtergrond en zijn gerichtheid op innovatie om zo de belangen van zijn cliënten optimaal te bedienen. Daarbij is zijn motto ‘voorkomen is beter dan genezen’. Hij helpt graag innovatieve start-ups en gevestigde organisaties in de technische en culturele sector om hun kansen op juridische problemen, conflicten en procedures te voorkomen of tenminste te verkleinen. Ook is hij is lid van de Nederlandse Vereniging voor Informatietechnologie en Recht (NVvIR) en de Vereniging Kunst Cultuur Recht (VKCR).

"Al bloggend op weg naar PLEIT2014"
Op de site van De Advocatenwijzer is al menig artikel verschenen over ICT en recht. In de aanloop naar PLEIT2014 zullen wij wekelijks een blog plaatsen over dit onderwerp. De artikelen dienen ter kennisneming en inspiratie voor deelnemers, (potentiële) cliënten en andere geïnteresseerden. Ben je jurist op het gebied van ICT recht (in de breedste zin des woords) en wil je een interessant en prikkelend artikel delen over dit thema? Stuur je blog naar: pleit@deadvocatenwijzer.nl. Zo gaan wij samen al bloggend op weg naar PLEIT2014!