Tracking cookies liggen onder vuur. Zonder expliciete toestemming mogen ze niet geplaatst worden, maar naleving is in de praktijk niet altijd makkelijk. Zeker niet als het gaat om third-party tracking cookies. Een recente uitspraak in een kort geding toont aan dat cookie-aanbieders als Microsoft en LinkedIn hun verantwoordelijkheid moeten nemen.
In het kort: wat zijn tracking cookies?
Een cookie is een klein tekst bestandje dat op je device wordt opgeslagen als je een website bezoekt. Met behulp van cookies kunnen verschillende websitebezoekers van elkaar onderscheiden worden. Daarnaast ‘onthoudt’ de cookie het websitebezoek, waardoor bij een volgend bezoek bijvoorbeeld niet opnieuw ingelogd hoeft te worden.
Een tracking cookie volgt je surfgedrag over verschillende websites heen. Deze cookies maken het voor bedrijven mogelijk om het internetgedrag van mensen door de tijd heen te volgen. Dit maakt het ook mogelijk om een profiel van mensen op te stellen. Met tracking cookies worden meestal persoonsgegevens verwerkt.
Via een website kunnen ook zogenaamde third-party cookies geplaatst worden. Deze cookies komen van een ander domein dan de website die op dat moment bezocht wordt en zijn vaak bedoeld om gerichte advertenties te kunnen tonen aan bezoekers.
De casus: third-party cookies geplaatst zonder toestemming
Een Nederlandse man heeft onlangs een zaak aangespannen tegen onder meer Microsoft, LinkedIn en Xandr. Deze cookie-aanbieders zouden via websites van derden tracking cookies op zijn device hebben opgeslagen, zonder zijn toestemming. Daarvoor heeft hij een onafhankelijke partij ingeschakeld om een analyse te laten uitvoeren van de persoonsgegevens die op zijn device worden verzameld door de cookie-aanbieders in kwestie.
In het rapport staat dat 27 van de 30 bezochte websites (zoals bijvoorbeeld kieskeurig.nl) cookies hebben geplaatst en/of uitgelezen zonder toestemming van de man en 24 van die sites dit ook deden na diens expliciete weigering die toestemming te verlenen.
De man wil dat hier een einde aan wordt gemaakt en spant een kort geding aan tegen cookie-aanbieders als LinkedIn en Xandr, die allemaal onderdeel uitmaken van de Microsoft groep.
Wat zegt de wet over tracking cookies?
Volgens de Telecommunicatiewet mogen cookies waarbij persoonsgegevens worden verwerkt, pas geplaatst mogen worden nadat er toestemming voor is verleend.
Ook de AVG is helder.
Voor de verwerking van persoonsgegevens door middel van cookies moet er een rechtsgeldige verwerkingsgrondslag bestaan. Dit is in de meeste gevallen de grondslag toestemming.
Oftewel, zonder toestemming mogen er geen cookies geplaatst worden.
Wat is de verdediging van Microsoft?
Microsoft groep verwijst onder meer naar het feit dat de derde partijen zelf verantwoordelijk zijn voor het op de juiste manier van toestemming vragen voor het plaatsen van cookies via hun website. Microsoft ziet zichzelf als verwerker en niet als verwerkingsverantwoordelijke in die hoedanigheid.
Daarnaast stelt de cookie-aanbieder dat er geen gebruik wordt gemaakt van cookie(gegevens) voor advertentiedoeleinden zonder expliciete toestemming van de persoon in kwestie.
Hoe reageert de rechtbank hierop?
De rechtbank meent dat cookie-aanbieders wel degelijk als verwerkingsverantwoordelijke kunnen worden aangemerkt. Net als de betreffende websitehouders.
De cookie-aanbieders hebben de tracking cookies namelijk ontwikkeld en kunnen deze al dan niet beschikbaar stellen aan de websitebeheerders, met wie zij afspraken maken over onder meer de privacyregels.
Met betrekking tot het verkrijgen van expliciete toestemming, spreekt het onderzoek van de man en van Microsoft zelf dit tegen. Microsoft heeft na eigen onderzoek geconstateerd dat een groot aantal van de door de man bezochte websites inderdaad tracking cookies plaatst zonder toestemming.
Ook stelt de rechtbank dat de verwerking niet pas plaatsvindt als persoonsgegevens vanuit een cookie worden uitgelezen. Het vastleggen ervan in een cookie is onvoldoende. De verwerking vindt al plaats, zodra de geplaatste tracking cookie gevuld wordt met allerlei persoonsgegevens.
Extra aandachtspunt van rechtbank: cookie-aanbieders kunnen meer moeite doen
Microsoft beroept zich erop al het noodzakelijke te hebben gedaan om plaatsing van tracking cookies (ook via websites van derden) zonder toestemming te voorkomen.
Daarin gaat de rechtbank niet mee.
De rechtbank stelt dat cookie-aanbieders hun contractspartners tools ter beschikking kunnen stellen, die het onmogelijk maken om tracking cookies zonder toestemming te plaatsen.
Uitkomst: verbod plaatsen tracking cookies
De rechtbank verbiedt het Microsoft en consorten om nog langer tracking cookies zonder toestemming (al dan niet via derde partijen) te plaatsen op de devices van de man die deze rechtszaak heeft aangespannen.
Doen de cookie-aanbieders in kwestie dit wel?
Dan ontvangen zij een dwangsom van € 500,- per overtreding van dit gebod, tot een maximum van in totaal € 25.000,-.
Google faseert third-party cookies uit
Vanwege de complexiteit van het vragen van expliciete toestemming voor het plaatsen van cookies via derde partijen en de toegenomen aandacht rondom privacy(wetgeving), heeft Google besloten te starten met het uitfaseren van third-party cookies. Chrome zal in de nabije toekomst geen third-party cookies meer ondersteunen.
Grote kans dat ook andere techbedrijven zullen volgen. Zeker nu er steeds vaker rechtszaken gevoerd en gewonnen worden tegen het gebruik van third-party cookies.
Blijf op de hoogte!
Zeker weten dat u niks mist? Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.