Articles

TMT Alert - Cbp verricht eerste onderzoek naar het zonder toestemming gebruiken van tracking cookies

TMT Alert - Cbp verricht eerste onderzoek naar het zonder toestemming gebruiken van tracking cookies

TMT Alert - Cbp verricht eerste onderzoek naar het zonder toestemming gebruiken van tracking cookies

20.05.2014 NL law

TMT ALERT

Cbp verricht eerste onderzoek naar het
zonder toestemming gebruiken van tracking cookies

Op 13 mei jl. presenteerde het College bescherming persoonsgegevens ("Cbp") zijn rapport van definitieve bevindingen naar aanleiding van een onderzoek bij het advertentiebemiddelingsbedrijf YD Display Advertising Benelux B.V. ("YD"). Uit het onderzoek bleek dat YD zonder toestemming tracking cookies plaatst om het surfgedrag van websitegebruikers te volgen. Hiermee overtreedt YD zowel de Telecommunicatiewet als de Wet bescherming persoonsgegevens. In deze Alert bespreken we de hoofdlijnen van het rapport. Het is de eerste keer dat het Cbp een onderzoek verricht naar het onrechtmatige gebruik van cookies. U kunt het rapport en andere relevante bijbehorende stukken hier raadplegen.

1. Gebruik van tracking cookies

YD helpt adverteerders en websites bij het plaatsen van gepersonaliseerde online advertenties, zgn. online behavourial targeting via 'tracking' cookies. Tracking cookies zijn cookies waarmee het online-gedrag van websitegebruikers gevolgd kan worden. YD kan zo onder meer bijhouden of iemand een bepaalde advertentie, bijvoorbeeld voor een bepaald product, heeft bekeken. Vervolgens toont YD de dagen daarna op andere websites die de gebruiker bezoekt, advertenties over het eerder bekeken product. Dit wordt retargeting genoemd. Daarnaast biedt YD bedrijven de mogelijkheid dat zij cookies plaatsen in de browsers van de websitegebruikers. YD vraagt voor het plaatsen van de cookies geen toestemming aan de gebruikers.

2. Telecommunicatiewet en Wet bescherming persoonsgegevens van toepassing

Op grond van artikel 11.7a van de Telecommunicatiewet ("Tw") moet YD voor het plaatsen of uitlezen van tracking cookies toestemming vragen aan de websitegebruikers. Daarbij moet de websitegebruiker op een dusdanige wijze worden geïnformeerd dat voor hem duidelijk is hoe en door wie zijn gegevens worden verwerkt.

Juist bij online behavourial targeting waarvoor de tracking cookies worden gebruikt, worden mensen geprofileerd aan de hand van de websites die ze bezoeken en kan sprake zijn van een aanzienlijke inbreuk op de privacy van de gebruikers. Met dit gegeven in het achterhoofd heeft de wetgever er ook voor gekozen om in art. 11.7a eerste lid Tw het rechtsvermoeden op te nemen dat het gebruik van tracking cookies in beginsel als een gegevensverwerking onder de Wet bescherming persoonsgegevens ("Wbp") wordt aangemerkt. Dat betekent dat een partij die tracking cookies plaatst zich ook aan alle regels van de Wbp moet houden.

Dit betekent dat YD:

 

  1. op grond van de Telecommunicatiewet geïnformeerde toestemming van de websitegebruikers moet hebben voor het plaatsen en uitlezen van de tracking cookies;
  2. indien YD niet kan weerleggen dat er via de tracking cookies persoonsgegevens worden verwerkt, YD ook een grondslag moet hebben voor het verwerken van persoonsgegevens ex artikel 8 Wbp, zoals de ondubbelzinnige toestemming van de websitegebruiker (art. 8 sub a Wbp) of een gerechtvaardigd belang voor YD om de gegevens te verwerken dat zwaarder weegt dan de privacy van de websitegebruikers (art. 8 sub f Wbp).

De geïnformeerde toestemming uit de Telecommunicatiewet is niet nodig als er sprake is van zogenaamde functionele cookies. Dit zijn cookies die nodig zijn om de door de gebruiker gevraagde dienst uit te voeren, zoals een winkelwagentje op een website. Daarnaast is er een wetsvoorstel aanhangig om cookies waarmee geen of een geringe inbreuk op de privacy van de gebruikers wordt gemaakt, vrij te stellen van het toestemmingsvereiste. Het gaat dan bijvoorbeeld om affiliate cookies: cookies waarmee kan worden bijgehouden welke advertentie op een website leidt tot een aankoop, zodat degene die de advertentie laat zien hiervoor betaald kan worden. Tracking cookies vallen echter zowel onder de huidige wetgeving, als onder het nieuwe wetsvoorstel, niet onder de toestemmingsuitzondering.

 

3. Aan toestemmingsvereiste is niet voldaan: rechtmatige grondslag ontbreekt.

Persoonsgegevens?

YD stelt zich allereerst op het standpunt dat YD geen persoonsgegevens verwerkt via de tracking cookies. Volgens YD zijn de gegevens die worden verkregen niet herleidbaar tot een individu. Het Cbp maakt hier echter korte metten mee: de gegevens zijn op zichzelf of samen met informatie van anderen, redelijkerwijs tot een individu te herleiden. Van belang is daarbij dat het Cbp opmerkt dat identificatie ook mogelijk is als surfgedrag gekoppeld kan worden aan een uniek nummer (zoals een IP-adres), zonder dat de naam van de persoon wordt achterhaald.

Toestemming?

YD meent dat zij op grond van de Telecommunicatiewet geen toestemming hoeft te vragen voor het plaatsen en uitlezen van de cookies. De cookies zouden grotendeels functioneel zijn of weinig inbreuk maken op de privacy van de betrokkenen. Daarnaast biedt YD een opt-outmogelijkheid aan: als mensen daar geen gebruik van maken kan daaruit volgens YD hun toestemming worden afgeleid. Het Cbp geeft echter aan dat uit het bieden van een opt-outmogelijkheid geen (ondubbelzinnige) toestemming van de websitegebruiker kan worden afgeleid nu de gebruiker een actieve toestemmingshandeling moet verrichten.
YD meent daarnaast dat als er al sprake is van de verwerking van persoonsgegevens, YD geen toestemming hoeft te vragen omdat dat zij een gerechtvaardigd bedrijfsbelang heeft om de persoonsgegevens te verwerken, dat zwaarder weegt dan het privacybelang van de websitegebruikers.

Een beroep op het gerechtvaardigd belang is volgens het Cbp echter niet mogelijk. Allereerst moet YD sowieso al toestemming vragen voor het gebruik van de cookies op grond van de Telecommucatiewet. Ten tweede geldt dat YD alleen een beroep kan doen op het gerechtvaardigd belang als YD voldoet aan de overige wettelijke eisen voor geldige "cookie toestemming" op grond van de Telecommunicatiewet, hetgeen niet het geval is nu niet om toestemming voor het plaatsen en lezen van de cookies wordt gevraagd. Tot slot geldt dat een belangenafweging ook in het nadeel van YD zou uitvallen: het is voor websitegebruikers vaak niet duidelijk dat hun gegevens via cookies worden verwerkt en zij kunnen daardoor verrast worden door advertenties die hen achtervolgen op het web. Gebruikers moeten vrij kunnen surfen op het internet, zonder hierbij gevolgd te worden.

4. Conclusie

YD handelt in strijd met zowel de Telecommunicatiewet als met de Wet bescherming persoonsgegevens nu geen toestemming wordt gevraagd voor het plaatsen en lezen van de tracking cookies en evenmin voor het verwerken van persoonsgegevens via deze cookies.

Het Cbp is nog niet tot daadwerkelijke handhaving van de regels overgegaan. Er zal nu eerst een hoorzitting met YD plaatsvinden en daarna zal het Cbp zich beraadslagen over eventuele maatregelen.

Het Cbp geeft met dit rapport een duidelijk signaal af aangaande het onrechtmatig plaatsen van cookies. Het is bij het gebruik van cookies van belang te realiseren dat naast de cookiebepaling van de Telecommunicatiewet ook de privacyregels van toepassing zijn. Daarbij geldt dat het verwerken van de persoonsgegevens niet op grond van het gerechtvaardigd belang kan plaatsvinden als de regels van de Telecommunicatiewet niet zijn nageleefd.

Related news

07.08.2018 NL law
Legislative proposal to protect trade secrets: update

Short Reads - On 5 July 2016, the EU Trade Secrets Directive came into effect (Directive 2016/943/EU). The directive intends to harmonise rules regarding the protection of undisclosed know-how and business information (trade secrets) across all EU member states. As the directive is not directly applicable in the member states, each member state must enact national implementing legislation.

Read more

12.07.2018 NL law
Algemene verordening gegevensbescherming van toepassing

Short Reads - Vanaf 25 mei 2018 zijn de Algemene verordening gegevensbescherming (Verordening (EU) 2016/679) (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (Uitvoeringswet) van toepassing in Nederland. De AVG en de Uitvoeringswet vervangen de richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens (Richtlijn 95/46/EG) en de Wet bescherming persoonsgegevens (Wbp).

Read more

07.08.2018 NL law
General Data Protection Regulation comes into effect

Short Reads - On 25 May 2018, the European Union's General Data Protection Regulation (GDPR) came into effect. The GDPR replaces the EU's prior directive governing the processing and transfer of personal data, which was in place since 1995. As a regulation, the GDPR is directly applicable in all 28 EU member states and thus removes the need for national implementing legislation. However, the GDPR allows member states discretion in certain areas, as a result of which national legislation may still be implemented. In the Netherlands, the GDPR Implementation Act came into effect on 25 May 2018.

Read more

12.07.2018 NL law
Voortgang wetsvoorstel Wet bescherming bedrijfsgeheimen

Short Reads - Op 5 juli 2016 is de Richtlijn bedrijfsgeheimen (2016/943/EU) in werking getreden. De richtlijn heeft tot doel de regels inzake bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) in de EU lidstaten te harmoniseren. De richtlijn moest voor 9 juni 2018 geïmplementeerd zijn in de Nederlandse wet- en regelgeving. Nederland heeft deze termijn niet gehaald.

Read more

Our website uses cookies: third party analytics cookies to best adapt our website to your needs & cookies to enable social media functionalities. For more information on the use of cookies, please check our Privacy and Cookie Policy. Please note that you can change your cookie opt-ins at any time via your browser settings.

Privacy – en cookieverklaring