AVG

Tracking cookies kunnen nuttig zijn

Organisaties plaatsen tracking cookies om het surfgedrag van bezoekers van hun websites te kunnen volgen. Van de hierdoor verzamelde gegevens wordt een profiel van de betreffende persoon opgesteld. Dat heet profiling. Via profiling verzamelen organisaties een schat aan informatie over voorkeuren en persoonlijke interesses. Het profiel wordt gebruikt om de bezoeker advertenties op maat voor te schotelen.

Toestemming is vereist

Profiling is in beginsel verboden door de AVG. Tracking cookies mogen pas worden geplaatst nadat de bezoeker van de website daarvoor expliciet toestemming heeft gegeven. Desondanks gaan organisaties flexibel om met de eisen voor het plaatsen van tracking cookies. Het komt regelmatig voor dat een bezoeker van een website wordt verleid om op de ‘alle cookies accepteren’ knop te klikken, dan wel ontdekt dat alle categorieën cookies al zijn aangevinkt of door verder te scrollen hij impliciet akkoord gaat met het plaatsen van tracking cookies. De bezoeker van de website moet ‘vrij’ zijn toestemming te kunnen geven. Deze overduidelijke schending van de AVG heeft –tot voor kort– geen aanleiding gegeven tot noemenswaardige handhaving door de bevoegde autoriteiten.

Actieve handhaving in 2024

De overheid heeft aangekondigd vanaf volgend jaar budget vrij te maken voor aanvullend toezicht op cookies en online tracking door de Autoriteit Persoonsgegevens. Ook de rechter haalt de teugels op het gebruik van tracking cookies aan.

De rechtbank Amsterdam in kort geding verbood recent (onder oplegging van een dwangsom) een technologiebedrijf tracking cookies te plaatsen op de computer van een websitebezoeker zonder diens toestemming, omdat dit in strijd is met de grondrechten en de AVG.  Het technologiebedrijf moet volgens de rechtbank waarborgen dat toestemming van de websitebezoeker wordt verkregen vóórdat de tracking cookies worden geplaatst en de persoonsgegevens worden verwerkt. Het feit dat de websitebezoeker ongewenste cookies zelf kan verwijderen of een opt-out voor cookies kan instellen, is hierbij niet van belang. De rechtbank gaat ook voorbij aan het argument van het technologiebedrijf dat het plaatsen van tracking cookies de kern is van haar business model en dat dit belang prefaleert boven de belangen van de websitebezoeker.

Tips voor het gebruik van cookies

Indien je tracking cookies gebruikt, let er dan op dat je:

• geldige toestemming verkrijgt van de websitebezoeker vóórdat je de tracking cookies plaatst;
• de verkregen toestemming administreert zodat je altijd kan aantonen dat toestemming is verkregen;
• ervoor zorgt dat de websitebezoeker een gegeven toestemming even zo gemakkelijk weer kan intrekken;
• de plaatsing van tracking cookies daadwerkelijk stopzet wanneer de websitebezoeker de gegeven toestemming intrekt.

Vragen?

Onze Privacy Desk helpt je om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van je klanten te waarborgen. Heb je vragen over de manier waarop jouw organisatie de verplichtingen van de AVG heeft geregeld? Neemt dan contact op met Anne-Mieke Dumoulin-Siemens.

Meer weten over privacyrecht?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. Je moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit de branche.

HvJ EU 5 december 2023: ECLI:EU:C:2023:950 (Deutsche Wohnen) | ECLI:EU:C:2023:949 (Nacionalinis visuomenės sveikatos centras)

Boete alleen bij verwijtbaar gedrag

Wanneer jouw organisatie als verwerkingsverantwoordelijke persoonsgegevens verwerkt en daarmee de regels van de AVG schendt, kan de AP een administratieve boete opleggen. Het Europees Hof van Justitie (Hof) heeft in een recente uitspraak duidelijk gemaakt onder welke voorwaarden de AP een dergelijke boete kan opleggen. Dat kan alleen als sprake is van verwijtbaar gedrag. Dat wil zeggen wanneer jouw organisatie de overtreding opzettelijk of uit nalatigheid heeft begaan. Dat is het geval, aldus het Hof, wanneer jouw organisatie niet onwetend kon zijn van het inbreukmakende karakter van zijn gedrag, ongeacht of zij zich al dan niet bewust was van de inbreuk.

Het gaat om verwijtbaar gedrag van:

1. de rechtspersoon

Het niet noodzakelijk dat de inbreuk door het bestuur is gepleegd. Evenmin is het noodzakelijk dat het bestuur van de inbreuk op de hoogte was. Integendeel, jouw organisatie is aansprakelijk voor zowel inbreuken die zijn gepleegd door het bestuur, als voor inbreuken gepleegd door ‘gewone’ werknemers die handelen in het kader van de bedrijfsactiviteiten van jouw organisatie en namens jouw organisatie.

2. de door jou ingeschakelde verwerker

Bovendien kan de AP jouw organisatie een geldboete opleggen voor handelingen verricht door een verwerker, voor zover deze handelingen aan jouw organisatie kunnen worden toegerekend.

Samenvattend – waar moet je op letten?

De geldboete kan dus –kort gezegd– worden opgelegd als jouw organisatie behoorde te weten dat de betreffende handeling inbreuk maakt op de regels van de AVG. Dat is al snel het geval, omdat je in het algemeen geacht wordt de regels van de wet te kennen.

Jouw organisatie is verantwoordelijk voor handelingen die een verwerker in jouw opdracht uitvoert. Je dient het onderwerp, de duur, de aard en het doel van de verwerking in een verwerkersovereenkomst af te spreken. Dat is een eis van de AVG (artikel 28). Gezien de uitspraak van het Hof is het belangrijk om de opdracht aan de verwerker nauwkeurig te omschrijven. Daarmee leg je de reikwijdte van jouw verantwoordelijkheid voor het handelen van de verwerker vast. De verwerker is zelf verantwoordelijk voor handelingen die buiten de opdrachtomschrijving vallen.

Vragen?

Onze Privacy Desk helpt je om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van je klanten te waarborgen. Heb je vragen over de manier waarop jouw organisatie de verplichtingen van de AVG heeft geregeld? Neemt dan contact op met Anne-Mieke Dumoulin-Siemens.

Meer weten over privacyrecht?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. Je moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit de branche.