Bedrijven mogen alleen cookies plaatsen als websitebezoeker toestemming heeft gegeven

Veel bedrijven willen ‘cookies’ plaatsen op apparatuur van mensen die websites bezoeken. Daarmee kunnen zij profielen van websitebezoekers opstellen. Bezoekers moeten daarvoor wel toestemming geven, zo maakt de voorzieningenrechter weer eens duidelijk.

Een Nederlandse man neemt het op tegen techgiganten Microsoft en LinkedIn. Zij plaatsen zogenoemde tracking cookies op zijn laptop en andere apparaten, en dat wil hij niet. Cookies zijn bestandjes die worden opgeslagen op browsers van apparatuur van gebruikers om bepaalde gegevens over hen te verzamelen. Tracking cookies maken het mogelijk om profielen van mensen op te stellen (profiling), onder andere door na te gaan welke websites zij bezoeken. In feite verzamelen deze online platforms via deze cookies persoonsgegevens, stelt de man, zonder dat hij daarvoor toestemming heeft gegeven. Dat is in strijd met de privacyregels. Hij heeft de platforms gesommeerd om niet langer cookies op zijn computer en andere apparaten te plaatsen, maar zonder succes. Daarom begint hij een kort geding bij de rechtbank Amsterdam.

Verwerkingsverantwoordelijk

Ook de techgiganten erkennen dat voor het plaatsen en lezen van tracking cookies voorafgaande toestemming van een betrokkene nodig is. Dit staat in de Telecommunicatiewet. De rechtbank stelt vast dat deze internetbedrijven door hun handelwijze persoonsgegevens verwerken, ook al ontkennen zij dat. Toch zijn niet alle partijen die door de man zijn gedaagd ook ‘verwerkingsverantwoordelijk’. Bijvoorbeeld de Nederlandse vennootschappen van LinkedIn en Microsoft zijn dit niet. Zij spelen geen rol bij het aanbieden van analytische en advertentiediensten en dus ook niet bij het plaatsen en uitlezen van tracking cookies. Zij hebben dus niet onrechtmatig gehandeld.

Zonder toestemming

Anders is het met de ‘hoofdkantoren’, LinkedIn in Ierland en Microsoft in de VS. Zij worden wel aangemerkt als verwerkingsverantwoordelijken en moeten aantonen dat zij toestemming van de man hebben gekregen om cookies te plaatsen – en dat kunnen zij niet. Uit de technische analyses van LinkedIn en Microsoft zelf blijkt dat 19 van de 52 door de man bezochte websites tracking cookies hebben geplaatst (via de techgiganten) zonder voorafgaande toestemming, of zelfs nadat de toestemming expliciet is geweigerd. Dat zijn, aldus de voorzieningenrechter, geen verwaarloosbare aantallen. Daarmee hebben deze twee bedrijven niet voldaan aan hun wettelijke verplichtingen.

Dwangsom

De voorzieningenrechter concludeert dat de hoofdkantoren – dus niet de Nederlandse vennootschappen – van Microsoft en LinkedIn door plaatsing of uitlezing van de (tracking) cookies zonder toestemming van de man onrechtmatig hebben gehandeld. Dit is in strijd met de Telecommunicatiewet en de Algemene verordening gegevensbescherming (AVG). Zij mogen zonder zijn toestemming geen tracking cookies meer plaatsen en uitlezen op zijn apparatuur. Doen zij dit wel, dan verbeuren zij een dwangsom van € 500 per overtreding, of € 1.000 voor iedere dag waarop een van deze bedrijven in gebreke blijft. Dit alles tot een maximum van € 25.000.

ECLI:NL:RBAMS:2024:3331

Bron:Rechtbank Amsterdam | jurisprudentie | ECLI:NL:RBAMS:2024:3331 C/13/747731 / KG ZA 24-199 | 06-06-2024