Een van de meest interessante uitspraken op het gebied van cookies is die van het Gerechtshof Amsterdam van 5 december 2023 in de Criteo zaak. Criteo, een Frans technologiebedrijf dat gespecialiseerd is in gepersonaliseerde online advertenties, heeft daar onlangs haar tweede nederlaag geleden. Het hof bevestigde het vonnis van de rechtbank Amsterdam, waarin Criteo werd verboden om tracking cookies te plaatsen op de computer van een Nederlandse internetgebruiker zonder zijn toestemming. Dit betekent dat Criteo niet alleen moet zorgen voor duidelijke en volledige informatie over de cookies, maar ook zelf moet zorgen voor een effectieve mogelijkheid voor internetgebruikers om de toestemming te weigeren of in te trekken, ondanks dat zij niet het websitebeheer aanbiedt. Deze uitspraak heeft grote gevolgen voor de privacypraktijk, omdat het (wederom) laat zien dat de verantwoordelijkheden onder de AVG niet kunnen worden weggecontracteerd.
Wat zijn tracking cookies en waarom zijn ze omstreden?
Eerst kort iets over de achtergrond. Tracking cookies zijn kleine bestandjes die door websites of derde partijen op de computer of smartphone van een internetgebruiker worden geplaatst om informatie te verzamelen over zijn online gedrag, zoals welke websites hij bezoekt, welke producten hij bekijkt of koopt, en welke advertenties hij aanklikt. Deze informatie wordt vervolgens gebruikt om gepersonaliseerde advertenties te tonen aan de gebruiker op andere websites, die aansluiten bij zijn interesses of behoeften. Denk aan het bekende voorbeeld dat je overspoeld wordt met advertenties voor zonvakanties nadat je één keer hebt gekeken naar een vakantie op Mallorca.
Het gebruik van tracking cookies is omstreden, omdat het een inbreuk kan vormen op de privacy van internetgebruikers. Al sinds 2002 kent Europa de ePrivacy Richtlijn waarin regels omtrent cookies zijn opgenomen. Uit deze wetgeving stamt ook de welbekende ‘cookie pop-up’. Volgens de ePrivacy Richtlijn moeten gebruikers geïnformeerd worden over het gebruik van cookies en hun toestemming geven voordat cookies worden geplaatst, tenzij ze strikt noodzakelijk zijn voor de werking van de website.
Sinds 2018 kennen we echter ook de Algemene verordening gegevensbescherming (AVG), waarin strenge eisen worden gesteld aan de bescherming van persoonsgegevens. Een van die eisen is dat er een geldige rechtsgrond moet zijn voor het verwerken van persoonsgegevens. In het geval van tracking cookies is dat meestal toestemming van de betrokkene. Dat betekent dat de internetgebruiker voorafgaand aan het plaatsen van tracking cookies duidelijk en volledig moet worden geïnformeerd over wie er cookies plaatst, waarvoor ze worden gebruikt, hoe lang ze worden bewaard, en hoe hij ze kan verwijderen of weigeren. Bovendien moet hij een vrije, specifieke, geïnformeerde en ondubbelzinnige keuze kunnen maken om al dan niet akkoord te gaan met het plaatsen van tracking cookies. Deze keuze moet ook achteraf kunnen worden gewijzigd of ingetrokken.
Wat was er aan de hand in de Criteo zaak?
De Criteo zaak kwam aan het rollen nadat in de zomer van 2023 de Franse privacytoezichthouder, het CNIL, aan Criteo een boete van €40 miljoen had opgelegd wegens diverse privacy schendingen. Tijdens haar onderzoek heeft de CNIL verschillende inbreuken vastgesteld, met name het gebrek aan bewijs voor de toestemming van personen voor de verwerking van hun gegevens, informatie en transparantie en respect voor de rechten van personen.
Een oplettende internetgebruiker in Nederland constateerde vervolgens dat Criteo ook ná deze beslissing cookies op zijn apparaten bleef plaatsen, zonder dat hij daarvoor toestemming had gegeven. Hij had weliswaar op sommige websites toestemming gegeven voor het plaatsen van cookies door derde partijen, maar niet specifiek voor Criteo. Bovendien had hij in zijn browserinstellingen aangegeven dat hij geen cookies wilde ontvangen. Toch bleef Criteo hem volgen en gepersonaliseerde advertenties tonen op andere websites.
De internetgebruiker stapte naar de rechter in Nederland en eiste dat Criteo zou stoppen met het plaatsen van tracking cookies op zijn computer zonder zijn toestemming. Hij beriep zich daarbij op zijn recht op privacy en gegevensbescherming onder de AVG en de ePrivacy Richtlijn. Criteo verweerde zich door te stellen dat zij niet verantwoordelijk was voor het verkrijgen van toestemming, maar dat dit de taak was van haar partners, oftewel de websites die gebruik maakten van haar advertentiediensten. Dat stond immers ook zo in de overeenkomst die Criteo met haar partners had gesloten. Criteo stelde verder dat zij alleen tracking cookies plaatste als zij een signaal kreeg van haar partners dat er toestemming was verleend door de internetgebruiker. Criteo beweerde dat zij niet wist wie haar partners waren, omdat zij met duizenden websites samenwerkte, en dat zij niet op zo’n grote schaal kon controleren of zij de toestemming op een juiste manier vroegen en registreerden.
Het oordeel van de rechter
De voorzieningenrechter in eerste aanleg stelde de internetgebruiker in het gelijk en legde Criteo een verbod op om tracking cookies te plaatsen op zijn computer zonder zijn toestemming. De rechter oordeelde dat Criteo medeverantwoordelijk was voor het verzamelen en verwerken van persoonsgegevens via tracking cookies, samen met haar partners. Dat betekende dat Criteo óók zelf moest voldoen aan de eisen van de AVG en de ePrivacy Richtlijn, en dus moest kunnen aantonen dat er geldige toestemming was verkregen voor het plaatsen van tracking cookies. De rechter vond dat Criteo daar niet in was geslaagd. De rechter verwierp het argument van Criteo dat zij niet wist wie haar partners waren en dat zij niet kon controleren of zij de toestemming op een juiste manier vroegen en registreerden. De rechter vond dat Criteo zelf moest waarborgen dat er vooraf toestemming werd verkregen, en niet mocht vertrouwen op contractuele afspraken en ingrijpen na een klacht.
Criteo ging in hoger beroep tegen het vonnis van de rechter, maar het Gerechtshof Amsterdam bekrachtigde het vonnis. Het hof was het eens met het oordeel dat Criteo medeverantwoordelijk was onder de AVG. Het hof vond ook dat Criteo niet had aangetoond dat er geldige toestemming was verkregen voor het plaatsen van tracking cookies. Het hof benadrukte dat de toestemming specifiek, geïnformeerd en ondubbelzinnig moest zijn, en dat dit niet het geval was als de internetgebruiker alleen akkoord ging met een algemene cookieverklaring of een lijst van derde partijen zonder verdere uitleg. Dat het verbod voor Criteo onmogelijk uit te voeren is, wordt verworpen.
Het hof vond kort gezegd dat Criteo de mogelijkheid heeft om haar partners te controleren en te selecteren op basis van hun naleving van de toestemmingsregels, en dat zij haar diensten dus alleen aan die partijen kon en kan aanbieden. Ook de belangenafweging viel in het voordeel van de internetgebruiker uit. De commerciële belangen van Criteo, die in staat moet worden geacht haar bedrijfsvoering zo in te richten dat zij aan de AVG voldoet, wegen namelijk minder zwaar dan het privacybelang.
Wat betekent deze uitspraak voor de praktijk?
Het bedrijfsmodel van Criteo zal naar verwachting flink moeten worden aangepast. Deze uitspraak is daarmee een belangrijke waarschuwing voor bedrijven die gebruik maken van tracking cookies voor gepersonaliseerde online advertenties. De uitspraak maakt duidelijk dat deze bedrijven moeten kunnen aantonen dat er geldige toestemming is verkregen voor het plaatsen van tracking cookies, en dat zij dit niet kunnen afschuiven op hun partners of klanten. De uitspraak maakt ook duidelijk dat de toestemming specifiek, geïnformeerd en ondubbelzinnig moet zijn, en dat dit niet het geval is als de internetgebruiker alleen akkoord gaat met een algemene cookieverklaring of een lijst van derde partijen zonder verdere uitleg.
Heeft u vragen over cookies of privacy? Neem dan contact op met onze privacy advocaten via vanwijk@dayonelegal.nl
