Dit is goed nieuws en er lijkt ook snel geoordeeld te zijn. Bravo.

Als je business afhankelijk is van ongeoorloofd tracking cooking te plaatsen, dan ben je eigenlijk wel droevig bezig als andere bedrijven wel toestemming vragen maar kunnen blijven bestaan omdat 90% van de gebruikers hersenloos op 'Accept' klikt.

Inderdaad goed nieuws. De Nederlandse rechter lijkt hier het oordeel van de Franse privacytoezichthouder CNIL te hebben gevolgd.

Alleen vind ik de door de Nederlandse rechter opgelegde dwangsommen erg laag, nu het gaat om een bedrijf dat in Frankrijk kennelijk een boete van 40 miljoen euro kan ophoesten. Dan is een maximum van 125.000 euro als het bedrijf alle vijf in Nederland opgelegde dwangsommen volledig verbeurt, natuurlijk niet echt "dwingend", maar meer een soort signaal.

Ook vraag ik me af of de AP voor zichzelf als toezichthouder nog een rol ziet als het gaat om de activiteiten van Criteo in Nederland.

M.J.

Het gaat hier om dwangsommen in een individueel geval. Jij kunt als je door Criteo gevolgd wordt ook naar de (kort geding) rechter stappen en dan is er een goede kans dat jij ook een vonnis krijgt met dwangsommen van €250/dag. Als duizenden mensen dat doen dan wordt het heel pijnlijk voor Criteo.

En wat als ik ook win en 125000 krijg van dat bedrijf?
En als mijn buurman dat krijgt?

Ik denk dat het bedrag nogal hoog is eigenlijk.
Want het is nu nog voor 1 persoon.
Wat nou als het er 100, 1000 of 100000 zijn?

Zelfs als het bedrijf miljarden winst maakt, zullen ze dit alsnog wel gaan voelen.

Dat is natuurlijk een non-argument. Ook het verbod op de productie van canabis zet hele business modellen op losse schroeven en toch zal een rechter de productie daarom niet zelf gaan legaliseren.

Idd. Stel je voor dat inbrekers zich op het soort argumenten zouden beroepen die Criteo nu gebruikt heeft. Dan krijg je een soort Monty Python sketch.

"De inbreker voerde ook nog aan dat de man twee mogelijkheden om te voorkomen dat hij het slachtoffer werd van inbraak niet heeft gebruikt. Zo had de man voor betere sloten kunnen zorgen, en ook een bordje in de tuin kunnen plaatsen met "gelieve hier niet in te breken". Voorts stelt de inbreker dat het verbod op inbreken zijn businessmodel verstoort"

Beperkt. Voor 11.7a Tw zijn de AP en ACM samen bevoegd. Voor de websites waarop Criteo mensen volgt kan de AP als leidende toezichthouder handhaven op overtredingen in een context waar de website-houders en Criteo gezamenlijke verwerkingsverantwoordelijken zijn. Maar als de AP direct op Criteo wil handhaven zou dat in theorie ook kunnen als er bijvoorbeeld spoedeisend belang is, maar dat is meer een uitzondering dan dat je daarop zou moeten rekenen.

Alleen gaat het hier over cookies die niet van een Criteo-website komen, maar een derde. Die derde moet een cookiebanner plaatsen en om toestemming vragen. Blijkbaar vindt de rechter dat niet. Is dit dan een precedent dat ook geldt voor alle andere cookies die worden geplaatst? De website-eigenaar is dus niet verantwoordelijk voor een cookiebanner?

Dat de man een rechtzaak moet aanspannen om zijn gelijk te halen, geeft wel aan dat zowel de franse als de nederlandse toezichthouders compleet falen.
Zo'n bedrijf had al lang failliet moeten zijn door dwangsommen en boetes.

Het gaat om een gezamenlijke verantwoordelijkheid. Het is dus niet genoeg om te vertrouwen dat die websites correct om toestemming vragen. Dat moet ook actief worden gecontroleerd.

Volgens mij worden die dwangsommen niet uitgekeerd aan de eiser. Het is een dwangsom, geen schadevergoeding.
Die dwangsom is simpelweg een middel om een bedrijf te dwingen het vonnis na te leven.

Als ik het vonnis https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2023:6530 lees bij punt 2.10, lijkt het er op dat Criteo zich niets aantrekt van het door de gebruiker in een cookie dialoog aangegeven verzoek om geen advertentie-cookies te plaatsen.

Als, als... Dat gebeurt niet. Er is maar één rechtszaak aangespannen. Dat weet de rechter ook.
Bovendien is het de bedoeling van dwangsommen dat ze NIET geïnd worden omdat het bedrijf gevolg geeft aan de opdracht van de rechter. De dwangsom is dus bedoeld als stok achter de deur. Dan moet die stok wel groot genoeg zijn.

Als Criteo één of meer opgelegde dwangsom(men) verbeurt, gaan die bedragen overigens wel naar de wederpartij in de rechtszaak, dus in dit geval naar de man die het kort geding aanspande.

Daar lijkt het inderdaad op. In dat geval handelt dat bedrijf willens en wetens tegen de wet en moet dat stoppen. Binnen de EU zouden we eens wat krachtiger op moeten treden in dit soort gevallen. Als een bedrijf een fout maakt dan kan dat gebeuren, maar op het moment dat ze willens en wetens doorgaan met het overtreden van de wet, dan is het een soort criminele organisatie; de hoogste managers en bestuur moeten dan gewoon vervolgd worden. Als een paar van die c-suites achter tralies zitten stoppen andere bedrijven vanzelf. Het is nu allemaal veel te vrijblijvend; een dwangsom hier of daar zet duidelijk geen zoden aan de dijk. Daadwerk veroordeeld krijgen is waarschijnlijk niet eens nodig; een paar beslagleggingen, wat reisverboden, paar daagjes huis van bewaring is voldoende denk ik.

"Beperkt". Een typisch ontwijkend antwoord, dat van de AP zelf afkomstig had kunnen zijn (en wellicht is). Waarom ziet de AP voor zichzelf niet gewoon een rol om "effectief" te handhaven?
Wat is er gebeurd met de PLICHT van de AP om in Nederland een hoog beschermingsniveau te realiseren op het gebied van privacy? Gemakshalve vergeten? Laat een burger zelf maar procederen bij de civiele rechter? Lang niet alle burgers kunnen dat of hebben daar het geld voor (advocaat). Die burgers worden door de AP op deze manier volledig in de steek gelaten.

Internetreclamebureaux hebben helemaal geen verstand van reclame maken. Ze nemen niet enkel de bezoeker in de maling, maar ook de adverteerder.

Er staat €25.000, wat de boete gewoon tot een lachertje maakt. Nederlandse straffen zijn gewoon ridicuul.

Anoniem noemde het artikel van de Telecommunicatiewet waar cookies onder vallen. Die wet zelf noemt de toezichthouders: AP is de toezichthouder op artikelen 11.3a en 11.5b en ACM houdt toezicht op de rest. ACM is dus de toezichthouder op artikel 11.7a, de "cookiewet". Maar 11.7a bouwt voort op de AVG en refereert er ook aan. Dan ligt het voor de hand dat ACM een beroep op AP kan doen voor expertise op dat onderwerp.

Dat de verantwoordelijkheid van AP op dit punt beperkt is komt omdat de wet ACM heeft aangewezen als verantwoordelijke. En die wet is niet geschreven door ACM of AP (al kunnen ze wel adviezen uitbrengen erover), wetsvoorstellen worden door de regering of de tweede kamer ingediend, en altijd door de tweede en eerste kamer aangenomen. AP (en ACM ook) kan binnen zijn bevoegdheden beleid uitstippelen over hoe ze het aanpakken, maar als AP taken zou gaan uitvoeren die de wetgever bij ACM heeft gelegd zouden ze zelf de wet overtreden.

Op dit specifieke punt is die verantwoordelijkheid bij ACM belegd. Waarom zou je AP gaan aanspreken op iets wat ACM moet doen? Vind je dat ze het ieder afzonderlijk moeten aanpakken, langs elkaar heen moeten gaan werken en zo hun capaciteit moeten verspillen? Dat vind je vast niet.

Nee, laat de burger de klacht indienen bij de toezichthouder die erover gaat, en niet bij een toezichthouder die er niet over gaat.

Dat AP veel te weinig oppakt is overigens duidelijk, ook al is net dit punt daar geen voorbeeld van. Ik vind het niet zo duidelijk dat je daar AP zelf de schuld van moet geven. AP moet namelijk ongeveer drie keer zo groot zijn dan het is om het werk aan te kunnen. Het is de regering die ze geld toebedeelt in de rijksbegroting op Prinsjesdag. AP vraagt om meer geld en krijgt het er steeds maar mondjesmaat bij. Wil AP goed gaan functioneren dan moet er een regering komen die AP niet afknijpt maar laat groeien. Dan zou natuurlijk alsnog kunnen blijken dat AP slecht functioneert, want slecht functionerende organisaties komen voor, maar als een organisatie maar een derde van het budget heeft dat nodig is om goed te kunnen functioneren dan weet je zeker dat het alleen al om die reden nu niet lukt en ook niet kan lukken. Dat moet dus eerst verbeteren.

(1) @Anoniem op 23-10-2023 om 22:39 uur. Een dwangsom is iets anders dan een straf. Het gaat om de vraag of de dwangsom effectief is als dwangmiddel. In dit geval hoopt de rechter misschien dat het feit dat er überhaupt een dwangsom wordt opgelegd, een disciplinerende werking zal hebben op Criteo. Of dat zo is, vraag ik me wel af, omdat Criteo kennelijk doorging met het illegaal plaatsen van tracking-cookies na een eerdere boete van 40 miljoen euro door de Franse toezichthouder CNIL.

(2)

Op zichzelf gezien is deze redenering duidelijk. Eigenlijk zeg je dat de Nederlandse wetgever als het gaat om cookies, de verantwoordelijkheid voor toezicht en handhaving via wetgeving (de Telecommunicatiewet) heeft overgeheveld van de AP naar de ACM. Toch valt daar mijns inziens wel iets tegenin te brengen (zie verderop).


Er zijn twee manieren om dit schijnbare probleem te zien voor wat het is: een schijnbaar probleem, gecreëerd door bureaucraten die geen verantwoordelijkheid willen nemen. Ten eerste lijkt het me dat het de bedoeling van de Telecommunicatiewet is om burgers op een specifiek punt te beschermen, namelijk tegen ongewenste tracking-cookies, en niet om een bevoegdheid van de AP af te nemen. Waarom zou een bevoegdheid voor ACM impliceren dat de AP een bevoegdheid verliest? Uiteraard is samenwerking tussen twee bevoegde instanties zeer wenselijk. Dat gebeurt op allerlei gebieden, ook als het om handhaving gaat. Denk bijvoorbeeld aan politiecorpsen en/of inlichtingendiensten die met elkaar samenwerken. Of aan allerlei samenwerkingsverbanden in de jeugdzorg.

De AVG is zelf, als het om grensoverschrijdende privacy-aantastingen gaat, zo geformuleerd dat als de toezichthouder in het ene land niet de leiding wil nemen, dan dus de toezichthouder in het andere land de bevoegdheid heeft om op te treden. Die logica zou ook binnen Nederland moeten gelden, bijvoorbeeld als het gaat om ACM en AP. Dat is de enige manier om de verantwoordelijkheid voor effectieve handhaving niet te verdoezelen en niet tussen de wal en het schip te gooien.

Ten tweede is er het feit dat als de ACM verzuimt op dat punt effectief te handhaven, dan heeft Nederland nog steeds op grond van artikel 8 EVRM de internationaalrechtelijke plicht om in de verdragsstaat Nederland een hoog beschermingsniveau van privacy te realiseren. Als de Nederlandse wetgever beoogd zou hebben om die internationaalrechtelijke plicht te ontduiken door de bevoegdheid tot handhaving te beleggen bij een instantie (de ACM) die daar niet in is geïnteresseeerd en zijn taak (ondanks een veel groter budget dan dat van de AP) verzuimt, dan handelt Nederland willens en wetens in strijd met een internationaal verdrag.


Er geldt (of gold?) een doorgeleidingsplicht voor overheidsinstanties. Als een burger hierover een klacht bij de AP indient, dan zou de AP die burger op zijn minst netjes moeten attenderen dat ACM volgens de AP de bevoegde instantie is. Maar uitgaande van de logica die ik hierboven heb beschreven, zouden zowel de AP als de ACM zichzelf moeten transformeren tot instanties die gericht zijn op het nemen van verantwoordelijkheid en niet langer op het afschuiven van verantwoordelijkheid waardoor burgers van het kastje naar de muur worden gestuurd. Ik besef dat dit bij de AP en ACM een enorme cultuurverandering vereist.


Daar ben ik het mee eens, behalve dat dit punt daar geen voorbeeld van zou zijn. Ook dit punt is daar een voorbeeld van om de door mij eerder genoemde redenen.


Daar ben ik het mee eens. Maar wel met dien verstande dat ik zelf in de praktijk al heb kunnen constateren dat de AP in bepaalde casussen de beperkte middelen waarover zij op dat moment wèl beschikte, helaas ook niet aanwendde voor een betere bescherming van privacy, en zelfs niet voor het zichtbaar maken van een privacy-probleem ("Wij erkennen de aantasting en willen wel handhaven, maar hebben daar niet genoeg middelen voor"), maar juist voor het verdoezelen en afwimpelen van door burgers ingediende klachten. Zelfs als de AP zaken op een presenteerblaadje kreeg aangereikt, deed de AP haar best die zaken onder het vloerkleed te vegen met behulp van oneigenlijke redeneringen. Vervolgens werd dat door disfunctionerende rechters afgedekt, zodat de AP haar handen in onschuld kon wassen.

Vaak gooien verschillende overheidsinstanties in samenwerking met elkaar burgers voor de bus, en laten de verantwoordelijkheid daarvoor in een zwart gat verdwijnen door naar elkaar te verwijzen. Er is een vergaande attitude- en cultuurverandering nodig. Gaat dat gebeuren? Ik weet het niet. Corrupte regimes kunnen het soms eeuwenlang volhouden. Het lijkt of deze problematiek wel op het netvlies staat van een politicus als Pieter Omtzigt (NSC). Maar of die genoeg invloed krijgt, en lang genoeg om dit werkelijk aan te pakken, valt nog te bezien.

Bovendien lijkt Omtzigt zelf het bestaan en de relevantie van bepaalde vormen van corrumpering niet openlijk te willen benoemen. Mogelijk is dat politiek ook verstandig: het expliciet benoemen van bepaalde zaken kan je veel steun kosten van mensen (kiezers, ambtenaren, machtige lobbies) die graag vasthouden aan optimistische illusies, en het kan aan politieke vijanden mogelijkheden geven om je aan te vallen. De vraag is dan wel of Omtzigt althans binnenskamers bereid is die vormen van corrumpering te onderkennen en om strategieën te bedenken om daar paal en perk aan te stellen.

M.J.

Oorspronkelijke anoniem hier. Bedankt voor de uitleg, maar ik ben het er niet geheel mee eens.
Ook als de AP geen leidende toezichthouder is zoals bij Criteo het geval is kan de AP handhaven op de websites waar onrechtmatige tracking plaatsvind, of onderzoeken naar dergelijke websites te bundelen en in internationale samenwerking efficiënter op te pakken. Ook kan de AP samen met de ACM handhaven op 11.7a Tw-overtredingen. Maar de AP kan ook handhaven op wat volgens mij glasheldere normen zijn en een voorbeeld stellen bij andere verwerkingsverantwoordelijken.
Dat de AP meer budget nodig heeft bestaat volgens mij geen twijfel over. Maar dat de AP in het verleden meer handhaving heft laten zien met minder dan het huidige budget moet ook niet vergeten worden.