Tracking cookies plaatsen? Twee keer toestemming vragen!

18 juli 2014, 11:00

Advertentiebemiddelaar YD Display Advertising Benelux B.V. maakte gebruik van tracking cookies en kreeg hierdoor het College bescherming persoonsgegevens op haar dak. Blijkbaar is er nu tweemaal toestemming vereist voor het gebruik van tracking cookies. In april bracht het College Bescherming Persoonsgegevens een rapport uit met hierin haar bevindingen over de zaak tegen YD Display Advertising Benelux B.V.. Ik vat het rapport voor je samen, met tot slot nog twee tips voor het gebruik van tracking cookies.

Het rapport van het CBP is geschreven in een zaak tegen advertentiebemiddelaar YD Display Advertising Benelux B.V., maar het rapport is verplichte kost voor alle online adverteerders.

In een – voor online adverteerders pijnlijk – rapport van definitieve bevindingen van 29 april 2014 concludeert het College Bescherming Persoonsgegevens (CBP) dat er tweemaal toestemming nodig is van surfers voor het gebruik van tracking cookies. De eerste toestemming voor het plaatsen en uitlezen van de tracking cookies (op grond van de Telecommunicatiewet), de tweede toestemming voor de verwerking van persoonsgegevens die gepaard gaat met het gebruik van tracking cookies (op grond van de Wet bescherming persoonsgegevens).

De conclusie van het CBP is simpel: YD Display Advertising handelt in strijd met de Telecommunicatiewet omdat geen toestemming is gevraagd voor het gebruik van de tracking cookies én de Wet bescherming persoonsgegevens omdat geen ondubbelzinnige toestemming is verkregen voor de verwerking van persoonsgegevens in het kader van de online behavioural targeting. Door dit laatste heeft het bedrijf geen grondslag voor de verwerking van persoonsgegevens en handelt het dus in strijd met de Wet bescherming persoonsgegevens.

De advertentiebemiddelaar kan in een hoorzitting haar kant van het verhaal nog eens naar voren brengen. Daarna zal het CBP zich uitspreken over eventuele maatregelen.

Samenvatting van het rapport

1. Voldoet deze adverteerder aan de cookieregels? Nee.

Het CBP stelt vast dat YD Display Advertising tracking cookies gebruikt. Op grond van de cookieregels moet de adverteerder daarvoor de voorafgaande toestemming van de surfer hebben gekregen en dat is niet het geval, aldus het CBP.

2. Verwerkt YD Display Advertising persoonsgegevens? Ja.

YD Display Advertising zegt dat zij geen persoonsgegevens verwerkt in het kader van de online behavioural targeting omdat de cookies geen persoonsgegevens bevatten zoals NAW-gegevens of e-mailadressen. Ook zegt YD Display Advertising dat alle gegevens die zij van een persoon heeft niet terug te leiden zijn tot een individu.

Het CBP is het daar niet mee eens en concludeert dat YD Display Advertising tracking cookies gebruikt en dat het gebruik hiervan gepaard gaat met verwerking van persoonsgegevens. Volgens het CBP zijn (tracking) cookies bedoeld om per surfer gegevens over het bezoek aan verschillende websites door de tijd te verzamelen, om vervolgens een interesseprofiel op te stellen dat het mogelijk maakt online gepersonaliseerde advertenties aan die surfer te tonen. Het feit dat de cookies geen naw-gegevens of e-mailadressen bevatten, maakt niet dat de tracking cookies geen persoonsgegevens zijn, aldus het CBP.

Ook de stelling dat de gegevens niet te herleiden zijn tot een individu, weerlegt het CBP. Een persoonsgegeven is volgens de wet “elk gegeven betreffende een geïdentificeerde of identificeerbare persoon”. Het CBP geeft aan dat het surfgedrag, de daaruit afgeleide interesses, het IP-adres en de aan de surfer getoonde advertenties, gegevens betreffende natuurlijke personen zijn.

Vervolgens gaat het CBP in op de identificeerbaarheid. Het CBP vindt dat wanneer het surfgedrag kan worden gekoppeld aan een uniek nummer, zoals bij het gebruik van cookies, er gewoonlijk sprake is van een geïndividualiseerd persoon. Daardoor kunnen die surfgegevens worden gezien als persoonsgegevens.

Over het IP-adres zegt het CBP dat het IP-adres voor een Internet Service Provider (ISP) een persoonsgegeven is. De vraag of voor YD Display Advertising het IP-adres zonder evenredige inspanning te herleiden is tot een identificeerbare natuurlijke persoon of de surfer, wordt niet gesteld en is dus ook niet beantwoord.

Vervolgens stelt het CBP dat gegevens worden verwerkt voor het kunnen targetten van gepersonaliseerde advertenties. Zulke gegevensverwerking is puur voor om specifieke personen te identificeren. Het CBP vindt dat YD Display Advertising de middelen heeft om surfers te identificeren. Welke middelen dit zijn wordt in het rapport niet verteld.

Het CBP concludeert in het rapport dus dat YD Display Advertising persoonsgegevens verwerkt voor de online behavioural targeting. Deze verwerking moet voldoen aan eisen van de Wet bescherming persoonsgegevens en dat is volgens het college niet het geval.

3. Mag de adverteerder deze persoonsgegevens verwerken? Ja, maar…

Volgens het CBP is er bij het plaatsen en uitlezen van de tracking cookies sprake van verwerking van persoonsgegevens. Daarom moet de adverteerder ook ondubbelzinnige toestemming hebben voor verwerking ervan. Het CBP ziet niet hoe de gegevensverwerking voor YD Digital Advertising een gerechtvaardigd belang kon hebben, omdat de gegevensverwerking gedeeltelijk betrekking heeft op het surfgedrag, wat van gevoelige aard is. Ook zeggen de url’s die verzameld worden iets over de inhoud van de communicatie en raken daarmee in de knoop de telecommunicatievrijheden én de grondrechten.

Daarnaast is de gegevensverwerking grotendeels onzichtbaar voor de surfers. Door de minimale transparantie kunnen surfers verrast raken door advertenties die hen op het web volgen. Dit terwijl het juist zo belangrijk is voor de online communicatievrijheid om te kunnen surfen zonder gevolgd te worden.

Tot slot speelt het feit dat YD Digital Advertising anderen in staat stelt om advertentiecookies te plaatsen een rol. Hierdoor worden surfers en hun surfgedrag bij een groot aantal partijen bekend gemaakt. Dit raakt niet alleen in de knoop met de online communicatievrijheid maar maakt ook een inbreuk op de persoonlijke levenssfeer van de surfers.

Bij zo’n soort inbreuk kan volgens het CBP geen sprake zijn van een gerechtvaardigd bedrijfsbelang dat boven het privacybelang van de surfers gaat. Kortom, de ondubbelzinnige toestemming van de surfer is vereist.

Twee tips bij het gebruiken van tracking cookies

1. Vraag vooraf toestemming bij tracking cookies

Iedere adverteerder, publisher of intermediair die op een eigen website dan wel op een website van een ander tracking cookies plaatst of uitleest, moet de voorafgaande (impliciete) toestemming van de surfer hebben (of in ieder geval kunnen aantonen). Als je geen toestemming kunt krijgen van de surfer omdat er geen rechtstreeks contact is, zijn afspraken nodig met de publisher en/of adverteerder om de toestemming te verkrijgen. Als je tracking cookies gebruikt, zorg dat je de toestemming van de surfer kan aantonen.

2. Vraag of je persoonsgegevens mag verwerken

Als de tracking cookies worden gebruikt voor online behavioural targeting moet er tegelijkertijd toestemming zijn voor de verwerking van persoonsgegevens. Iedereen die aan online behavioural targeting doet, zal een adequaat informatie- en toestemmingsmechanisme moeten uitrollen. Wellicht kan de toestemming voor het cookiegebruik tegelijk met de toestemming voor de verwerking van persoonsgegevens worden gevraagd, bijvoorbeeld via de banner op de website.

Kijk in het vervolg dus goed uit wanneer je gebruikmaakt van tracking cookies: liever te vaak toestemming vragen dan te weinig!

Nicole Wolters Ruckert is advocaat bij Kennedy Van der Laan, een Amsterdams advocatenkantoor dat opereert in een internationale omgeving. Wolters Ruckert is gespecialiseerd in privacy-vraagstukken. Sinds de introductie in 2012 volgt zij de ontwikkelingen rondom de cookiewet op de voet en adviseert zij haar cliënten uit de IT-, advertentie- en telecommunicatiesector hierover.

Categorie
Tags

1 Reactie

    Freek Vos

    Het CBP creëert met deze visie een geheel nieuw probleem. Volgens de Wet Bescherminging Persoongegevens heb ik recht van inzage in de opgeslagen gegevens. Dus ik zou, ook na het verlenen van toestemming voor het opslaan, bij YD Digital Advertising kunnen navragen welke gegevens van mij opgeslagen zijn.

    Maar hoe kan ik dat, als alle tracking gegevens geanonimiseerd zijn, en de enige referentie een uniek (maar random gegenereerd) ID uit een cookie is?

    De doorsnee gebruiker weet niet eens hoe hij dit ID zou kunnen achterhalen. En al weet ie dat, hoe weet YD Digital Advertising dan dat het daadwerkelijk om de gegevens van de aanvrager gaat? Iedereen zou een profiel kunnen claimen, zolang je maar het ID uit het cookie weet. Dus YD zou minimaal een database van aanvragen moeten bijhouden, om bij te houden wie informatie over welk ID heeft opgevraagd, ook om te voorkomen dat meerdere mensen de informatie uit hetzelfde ID gaan opvragen.

    Dat wordt helemaal leuk bij gedeelde computers…

    En ook voor het opslaan van de gegevens van de aanvragen heb je officieel ook weer toestemming nodig.

    Eigenlijk zou de enige waterdichte methode zijn om de bezoeker telkens als hij een browser opent, te vragen of hij wil inloggen, zodat je zeker weet dat het opgebouwde profiel van één uniek persoon is. En dat is natuurlijk de omgekeerde wereld: meer informatie dan nodig opslaan, en niet langer geanonimiseerd, om maar aan de wet te voldoen.


    4 augustus 2014 om 12:05

Marketingfacts. Elke dag vers. Mis niks!