Heeft u ooit opgemerkt dat u na het bekijken van een vakantievlucht of de laatste gadgets op een website, op een andere site plotseling een advertentie voor datzelfde product ziet? Dit is geen magie, maar het resultaat van de activiteiten van bedrijven zoals Criteo, die uw online gedrag volgen om gerichte advertenties aan te bieden.
Vorige week oordeelde de voorzieningenrechter van de Rechtbank Amsterdam dat de manier waarop Criteo toestemming van betrokkene zoekt niet aan de eisen van de Algemene Verordening Gegevensbescherming (AVG) en de Telecommunicatiewet (Tw) voldoet.
Als een prominente speler in de advertentiewereld verzamelt Criteo gegevens via tracking cookies, die via websites van derden worden geplaatst. Deze informatie bepaalt welke advertenties voor gebruikers relevant kunnen zijn. Door middel van real-time biedingen koopt Criteo advertentieruimte op andere websites om specifieke advertenties aan te bieden. Deze werkwijze roept vragen op over de naleving van de e-privacy en gegevensbeschermingswetgeving. Is er wel rechtmatige toestemming gegeven door de gebruikers?
CNIL, de Franse toezichthouder, dacht van niet. Op basis van klachten van stichting ‘None of Your Business’ (‘NOYB’) heeft CNIL op 15 juni 2023 een boete van 40 miljoen Euro opgelegd aan Criteo. Volgens CNIL kon Criteo niet aantonen dat ze de juiste toestemming van internetgebruikers had verkregen voor het plaatsen van cookies. Bovendien heeft Criteo naar het oordeel van CNIL niet voldaan aan verschillende verplichtingen van de AVG, waaronder de informatieplicht en de rechten op inzage en gegevenswissing.
In vervolg op deze Franse boetebeschikking heeft een Nederlandse particulier, hierna te noemen “X”, een vordering tegen Criteo aanhangig gemaakt in kort geding. De vordering zag op staking van de volgens X onrechtmatige gedragingen van Criteo, inzage (waaronder de verstrekking van een lijst van de derden die gegevens van X hadden ontvangen), gegevenswissing, en het informeren van de derde-ontvangers zodat die ook tot wissing zouden kunnen overgaan.
Voor de plaatsing van de cookies is, in ieder geval op grond de e-Privacywetgeving, toestemming nodig. Criteo maakt daarom afspraken met de exploitanten van de websites via welke de cookies worden geplaatst, op basis waarvan deze exploitanten gehouden zijn om de toestemming te vragen. In de praktijk worden deze afspraken niet altijd nageleefd.
In het kort geding betoogde Criteo dat niet van haar kan worden gevergd dat zij bij al haar klanten individueel controleert of die de verplichting nakomen, maar dat zij wel direct optreedt als zij bekend wordt met een inbreuk. Daarnaast wees Criteo erop dat eiser zelf ongewenste cookies ook kan verwijderen en/of een opt-out kan instellen voor de cookies van Criteo in zijn browser.
X had op dit verweer van Criteo geanticipeerd. Hij betoogde dat Criteo actief moet controleren of haar klanten zich aan de contractuele verplichtingen houden. X had een deskundigenrapport overgelegd, waarin uiteen wordt gezet dat dit geautomatiseerd kan plaatsvinden, en dus niet onmogelijk of onevenredig bezwarend is.
De Voorzieningenrechter maakt korte metten met de verweren van Criteo. Het door Criteo gehanteerde: ‘piepjessysteem’ voldoet volgens hem niet. Criteo heeft daarnaast onvoldoende gemotiveerd weersproken dat zij naleving geautomatiseerd zou kunnen controleren. Het betoog dat X zelf cookies kan verwijderen is ”de wereld op zijn kop”. Niet X moet actie ondernemen, maar Criteo moet zorgen dat vooraf toestemming wordt verkregen voor de plaatsing van de cookies en het verwerken van persoonsgegevens. Alle vorderingen worden daarom toegewezen.
Over de uitspraak valt veel te zeggen. In dit blog licht ik er graag twee puntjes uit.
Het eerste wat opvalt is dat Criteo in het kort geding géén verweer heeft gevoerd tegen de stelling, dat zij in het kader van haar activiteiten persoonsgegevens verwerkt. Uit de boetebeschikking blijkt dat zij hierover met CNIL wel discussie heeft gevoerd. Het is niet volledig vanzelfsprekend dat de activiteiten van Criteo zien op persoonsgegevens. Criteo plaatst immers cookies op devices en koppelt hieraan profielen. Zij weet echter niet van wie deze devices zijn en op welke natuurlijke personen de profielen daadwerkelijk zien. Er is dus een ruime uitleg van het begrip ‘persoonsgegevens’ nodig om te oordelen dat Criteo persoonsgegevens verwerkt.
CNIL oordeelde in de boetebeschikking dat Criteo wél persoonsgegevens verwerkt, omdat zij in bepaalde hypothetische gevallen mogelijk aanvullende gegevens verzamelt, aan de hand waarvan zij natuurlijke personen kan identificeren. Wellicht hebben de advocaten van Criteo in het Nederlandse kort geding gedacht dat een discussie hierover iets van een achterhoedegevecht zou hebben. Bij een discussie hierover zouden zij ook zijn geconfronteerd met het bewijsvermoeden van artikel 11.7a lid 4 Tw. Desondanks zou interessant zijn als dit aspect in een eventueel beroep tegen de boetebeschikking nog nadere aandacht zou krijgen.
Criteo zou overigens ook los van toepasselijkheid van de AVG, het verbod van artikel 11.7a Tw overtreden door het plaatsen en uitlezen van de cookies. X zou echter geen gebruik hebben kunnen maken van de rechten die hem onder de AVG toekomen, zoals het recht op inzage en het recht op gegevenswissing.
De kern van de uitspraak ziet natuurlijk op de vraag in hoeverre een verwerkingsverantwoordelijke gehouden is om te controleren of een samenwerkingspartner die heeft toegezegd voor haar bepaalde verplichtingen uit de AVG na te leven, zoals in dit geval de verplichting om toestemming te vragen, daadwerkelijk haar verplichtingen nakomt.
De uitspraak maakt duidelijk dat een verwerkingsverantwoordelijke zich niet kan beperken tot het contractueel vastleggen van verplichtingen, maar actief toezicht moet houden op de naleving daarvan door haar partners. Dit betekent dat het simpelweg afschuiven van verantwoordelijkheden op partners niet voldoende is. Er moet daadwerkelijk actie worden ondernomen om te zorgen dat deze verantwoordelijkheden ook worden nageleefd.
De vraag is wat op dit vlak van de verwerkingsverantwoordelijke kan worden gevergd. In casu had de eiser middels een deskundigenrapport onderbouwd dat Criteo de naleving relatief eenvoudig kan controleren, en volgens de uitspraak was dit door Criteo ook niet gemotiveerd weerlegd.
De uitspraak benadrukt het belang van actief toezicht door verwerkingsverantwoordelijken op de naleving van de AVG door haar partners. Het is niet voldoende om verantwoordelijkheden enkel contractueel vast te leggen. Er moet daadwerkelijk actie worden ondernomen om te zorgen dat deze verantwoordelijkheden ook worden nageleefd. Contracteren is dus zilver, maar controleren is goud!
Dit artikel is oorspronkelijk verschenen op PONT | Data & Privacy
Advocaat & Partner