Op 13 mei jl. presenteerde het College bescherming persoonsgegevens ("Cbp") zijn rapport van definitieve bevindingen naar aanleiding van een onderzoek bij het advertentiebemiddelingsbedrijf YD Display Advertising Benelux B.V. ("YD"). Uit het onderzoek bleek dat YD zonder toestemming tracking cookies plaatst om het surfgedrag van websitegebruikers te volgen. Hiermee overtreedt YD zowel de Telecommunicatiewet als de Wet bescherming persoonsgegevens. In deze Alert bespreken we de hoofdlijnen van het rapport. Het is de eerste keer dat het Cbp een onderzoek verricht naar het onrechtmatige gebruik van cookies. U kunt het rapport en andere relevante bijbehorende stukken hier raadplegen.

1. Gebruik van tracking cookies

YD helpt adverteerders en websites bij het plaatsen van gepersonaliseerde online advertenties, zgn.online behavourial targeting via 'tracking' cookies. Tracking cookies zijn cookies waarmee het online-gedrag van websitegebruikers gevolgd kan worden. YD kan zo onder meer bijhouden of iemand een bepaalde advertentie, bijvoorbeeld voor een bepaald product, heeft bekeken. Vervolgens toont YD de dagen daarna op andere websites die de gebruiker bezoekt, advertenties over het eerder bekeken product. Dit wordt retargeting genoemd. Daarnaast biedt YD bedrijven de mogelijkheid dat zij cookies plaatsen in de browsers van de websitegebruikers. YD vraagt voor het plaatsen van de cookies geen toestemming aan de gebruikers.

2. Telecommunicatiewet en Wet bescherming persoonsgegevens van toepassing

Op grond van artikel 11.7a van de Telecommunicatiewet ("Tw") moet YD voor het plaatsen of uitlezen van tracking cookies toestemming vragen aan de websitegebruikers. Daarbij moet de websitegebruiker op een dusdanige wijze worden geïnformeerd dat voor hem duidelijk is hoe en door wie zijn gegevens worden verwerkt.

Juist bij online behavourial targeting waarvoor de tracking cookies worden gebruikt, worden mensen geprofileerd aan de hand van de websites die ze bezoeken en kan sprake zijn van een aanzienlijke inbreuk op de privacy van de gebruikers. Met dit gegeven in het achterhoofd heeft de wetgever er ook voor gekozen om in art. 11.7a eerste lid Tw het rechtsvermoeden op te nemen dat het gebruik van tracking cookies in beginsel als een gegevensverwerking onder de Wet bescherming persoonsgegevens ("Wbp") wordt aangemerkt. Dat betekent dat een partij die tracking cookies plaatst zich ook aan alle regels van de Wbp moet houden.

Dit betekent dat YD:

  1. op grond van de Telecommunicatiewet geïnformeerde toestemming van de websitegebruikers moet hebben voor het plaatsen en uitlezen van de tracking cookies;
  2. indien YD niet kan weerleggen dat er via de tracking cookies persoonsgegevens worden verwerkt, YD ook een grondslag moet hebben voor het verwerken van persoonsgegevens ex artikel 8 Wbp, zoals de ondubbelzinnige toestemming van de websitegebruiker (art. 8 sub a Wbp) of een gerechtvaardigd belang voor YD om de gegevens te verwerken dat zwaarder weegt dan de privacy van de websitegebruikers (art. 8 sub f Wbp).

De geïnformeerde toestemming uit de Telecommunicatiewet is niet nodig als er sprake is van zogenaamde functionele cookies. Dit zijn cookies die nodig zijn om de door de gebruiker gevraagde dienst uit te voeren, zoals een winkelwagentje op een website. Daarnaast is er een wetsvoorstel aanhangig om cookies waarmee geen of een geringe inbreuk op de privacy van de gebruikers wordt gemaakt, vrij te stellen van het toestemmingsvereiste. Het gaat dan bijvoorbeeld om affiliate cookies: cookies waarmee kan worden bijgehouden welke advertentie op een website leidt tot een aankoop, zodat degene die de advertentie laat zien hiervoor betaald kan worden. Tracking cookies vallen echter zowel onder de huidige wetgeving, als onder het nieuwe wetsvoorstel, niet onder de toestemmingsuitzondering.

3. Aan toestemmingsvereiste is niet voldaan: rechtmatige grondslag ontbreekt.

Persoonsgegevens?

YD stelt zich allereerst op het standpunt dat YD geen persoonsgegevens verwerkt via de tracking cookies. Volgens YD zijn de gegevens die worden verkregen niet herleidbaar tot een individu. Het Cbp maakt hier echter korte metten mee: de gegevens zijn op zichzelf of samen met informatie van anderen, redelijkerwijs tot een individu te herleiden. Van belang is daarbij dat het Cbp opmerkt dat identificatie ook mogelijk is als surfgedrag gekoppeld kan worden aan een uniek nummer (zoals een IP-adres), zonder dat de naam van de persoon wordt achterhaald.

Toestemming?

YD meent dat zij op grond van de Telecommunicatiewet geen toestemming hoeft te vragen voor het plaatsen en uitlezen van de cookies. De cookies zouden grotendeels functioneel zijn of weinig inbreuk maken op de privacy van de betrokkenen. Daarnaast biedt YD een opt-outmogelijkheid aan: als mensen daar geen gebruik van maken kan daaruit volgens YD hun toestemming worden afgeleid. Het Cbp geeft echter aan dat uit het bieden van een opt-outmogelijkheid geen (ondubbelzinnige) toestemming van de websitegebruiker kan worden afgeleid nu de gebruiker een actieve toestemmingshandeling moet verrichten.
YD meent daarnaast dat als er al sprake is van de verwerking van persoonsgegevens, YD geen toestemming hoeft te vragen omdat dat zij een gerechtvaardigd bedrijfsbelang heeft om de persoonsgegevens te verwerken, dat zwaarder weegt dan het privacybelang van de websitegebruikers.

Een beroep op het gerechtvaardigd belang is volgens het Cbp echter niet mogelijk. Allereerst moet YD sowieso al toestemming vragen voor het gebruik van de cookies op grond van de Telecommucatiewet. Ten tweede geldt dat YD alleen een beroep kan doen op het gerechtvaardigd belang als YD voldoet aan de overige wettelijke eisen voor geldige "cookie toestemming" op grond van de Telecommunicatiewet, hetgeen niet het geval is nu niet om toestemming voor het plaatsen en lezen van de cookies wordt gevraagd. Tot slot geldt dat een belangenafweging ook in het nadeel van YD zou uitvallen: het is voor websitegebruikers vaak niet duidelijk dat hun gegevens via cookies worden verwerkt en zij kunnen daardoor verrast worden door advertenties die hen achtervolgen op het web. Gebruikers moeten vrij kunnen surfen op het internet, zonder hierbij gevolgd te worden.

4. Conclusie

YD handelt in strijd met zowel de Telecommunicatiewet als met de Wet bescherming persoonsgegevens nu geen toestemming wordt gevraagd voor het plaatsen en lezen van de tracking cookies en evenmin voor het verwerken van persoonsgegevens via deze cookies.

Het Cbp is nog niet tot daadwerkelijke handhaving van de regels overgegaan. Er zal nu eerst een hoorzitting met YD plaatsvinden en daarna zal het Cbp zich beraadslagen over eventuele maatregelen.

Het Cbp geeft met dit rapport een duidelijk signaal af aangaande het onrechtmatig plaatsen van cookies. Het is bij het gebruik van cookies van belang te realiseren dat naast de cookiebepaling van de Telecommunicatiewet ook de privacyregels van toepassing zijn. Daarbij geldt dat het verwerken van de persoonsgegevens niet op grond van het gerechtvaardigd belang kan plaatsvinden als de regels van de Telecommunicatiewet niet zijn nageleefd.