Het gebruik van tracking cookies is de afgelopen periode veel in het nieuws geweest. Afgelopen zomer legde de Franse privacy-toezichthouder een boete op voor het plaatsen van tracking cookies zonder toestemming. In oktober volgde de rechtbank Amsterdam met eenzelfde beslissing met een last onder een dwangsom van maximaal € 25.000,-. Daarnaast werd bekend dat de Nederlandse privacy-toezichthouder, de Autoriteit Persoonsgegevens (AP) structureel een half miljoen euro extra krijgt om dergelijke cookieovertredingen aan te pakken.
Het is duidelijk dat er zowel vanuit de toezichthouders boetes worden opgelegd, maar dat ook burgers via de rechter hun rechten onder de AVG afdwingen. Het gebruik van tracking cookies geeft handige inzichten over het gebruik van websites en applicaties. De ervaring leert dat veel ondernemers niet precies weten wat wel en niet mag, terwijl zij daar wel voor verantwoordelijk zijn, ook als zij een gespecialiseerd (marketing)bedrijf daarvoor inzetten.
Cookies zijn kleine tekstbestanden die via het internet op een apparaat worden opgeslagen op het moment dat een website of applicatie wordt bezocht. Er zijn verschillende soorten cookies. Deze kunnen noodzakelijk (ook wel: functioneel) zijn voor het bezoek van een website, zoals het onthouden welk product in het boodschappenmandje wordt geplaatst voor het afrekenen. Andere cookies worden gebruikt om gebruikers te volgen (ook wel: ‘tracking cookies’), door een uniek ID toe te wijzen aan het apparaat van de websitebezoeker. Hiermee wordt surfgedrag, interesses en/of andere gegevens van internetgebruikers verzameld en geanalyseerd voor commerciële doeleinden. Deze worden bijvoorbeeld gebruikt voor ‘targeted advertising’: het laten zien van gerichte specifieke advertenties aan een gebruiker op basis van deze gegevens.
In Nederland geldt dat op grond van de Telecommunicatiewet voor het plaatsen van noodzakelijke niet-privacygevoelige analytische cookies geen toestemming van de eindgebruiker nodig is. Voor alle andere gevallen, zoals tracking cookies, is dat wel vereist. Toestemming moet voldoen aan de voorwaarden die uiteengezet zijn in de Algemene Verordening Gegevensbescherming (AVG).
De laatste jaren hebben enerzijds het Hof van Justitie van de Europese Unie anderzijds andere privacy-toezichthouders in de Europese Unie invulling gegeven hoe deze toestemming moet worden verkregen. Het geven van toestemming moet een actieve handeling zijn, impliciete toestemming (‘door gebruik van deze website gaat u akkoord met het plaatsen van cookies’) is dus niet mogelijk. Daarnaast is een zogeheten ‘cookiewall’ volgens de AP niet toegestaan, hierbij kan de gebruiker zonder het geven van toestemming geen gebruik maken van een website. De toestemming moet ‘vrij’ zijn, dat betekent dat het ‘nudgen’ van de gebruiker om toestemming te geven niet geldig is, bijvoorbeeld door de knop om cookies te plaatsen groen te maken en de knop om te weigeren grijs/rood.
Zoals aangegeven in de inleiding heeft de Franse privacy-toezichthouder een boete opgelegd voor het plaatsen van tracking cookies zonder toestemming. Het bedrijf maakt op basis van deze tracking cookies profielen, waarbij wordt bepaald welke advertentie het beste getoond kan worden. De Franse toezichthouder oordeelt dat zij op vijf punten de AVG overtreedt, waaronder dat niet (altijd) aangetoond kan worden dat geldige toestemming is verkregen, er onvoldoende informatie werd gegeven en niet (tijdig) op inzageverzoeken werd gereageerd, en het intrekken van toestemming niet werd nageleefd. Dit resulteert in een boete van € 40 miljoen.
Na de uitgevaardigde boete in Frankrijk, heeft een Nederlandse burger bij de Nederlandse rechter datzelfde bedrijf voor de rechter gedaagd. Ook de rechter oordeelde dat het plaatsen van tracking cookies zonder het vragen om toestemming niet mag. Daarnaast dient de onderneming inzage te geven in de persoonsgegevens die de onderneming verwerkt van deze Nederlandse burger en die gegevens te verwijderen. Geeft de onderneming hier geen gehoor aan, moet zij een dwangsom betalen van 250 euro per dag tot maximaal € 25.000. Deze uitspraak kan veel gevolgen hebben voor bedrijven die gebruik maken van tracking cookies, omdat het verkrijgen van toestemming hiervan onder een vergrootglas ligt. Daarnaast kan men zich niet ‘verschuilen’ wanneer zij voor het gebruik van deze cookies ene ander (marketing)bedrijf inschakelt: de onderneming zelf blijft verantwoordelijk voor het correct vragen en vastleggen van toestemming.
Dit betekent voor bedrijven die zelf of via een andere partij gebruik maken van gerichte advertenties of targeted advertising, dat zij goed moeten controleren of zij op de juiste wijze omgaan met (tracking) cookies. Dit houdt ook in dat als een andere partij tracking cookies plaatst voor een andere onderneming, je daar zelf verantwoordelijk voor blijft en de rechtsgeldige toestemming moet aantonen. De Nederlandse AP krijgt meer slagkracht om dergelijke overtredingen aan te pakken, waarbij zij hier dus ook meer op zal controleren en het risico op het geven van boetes hoger wordt. De uitspraak van de Nederlandse rechter laat ook zien dat naast de boete van de toezichthouder, de burger actiever wordt en zelf naar de rechter stapt om dergelijke praktijken te beëindigen. Bedrijven die tracking cookies gebruiken (of daarvoor een ander bedrijf inschakelen) doen er goed aan om het volgende na te gaan:
Controleer of toestemming wordt verkregen voor het plaatsen van cookies als dat nodig is;
Controleer of de toestemming aantoonbaar is verkregen;
Controleer of betrokkenen deze toestemming in kunnen trekken wanneer ze willen en dat er gestopt wordt met het plaatsen van de cookies.
