Criteo mag van rechter geen trackingcookies zonder toestemming plaatsen
Advertentiebedrijf Criteo mag nog altijd niet zonder toestemming trackingcookies op de systemen van een man plaatsen, zo heeft de rechtbank Rotterdam laatst geoordeeld. Het is de derde keer op rij dat het bedrijf in een gang naar de rechter aan het kortste eind trekt. Criteo plaatst trackingcookies om surfgedrag, interesses en andere gegevens van internetgebruikers te verzamelen en te analyseren voor commerciële doeleinden.
Via de trackingcookies toont Criteo gerichte advertenties. Dat gebeurt door het maken van gebruikersprofielen en het herkennen van gebruikers als zij websites bezoeken. Door gebruik te maken van het Real Time Bidding (RTB)-Systeem wordt een internetgebruiker binnen seconden herkend en krijgt een op hem afgestemde advertentie te zien. Trackingcookies spelen daarbij een essentiële rol.
In 2023 kreeg Criteo van de Franse privacytoezichthouder CNIL wegens gerichte advertenties een boete van veertig miljoen euro opgelegd. Een Nederlandse burger stuurde Criteo een paar maanden later een brief dat het advertentiebedrijf zonder toestemming trackingcookies bij hem plaatste en dat het hier per direct mee moest stoppen. Daarnaast moest Criteo stoppen met de onrechtmatige gegevensverwerking en alle verkregen gegevens van de man verwijderen.
Op basis van een deskundigenrapport van de Haagse Privacy Company bleek dat Criteo inderdaad zonder toestemming trackingcookies plaatst. Volgens Criteo zijn haar partners verantwoordelijk voor het verkrijgen van toestemming. Daarnaast zou met het algemene verbod op het plaatsten van cookies, zoals de man eist, de business van Criteo op losse schroeven worden gezet.
De voorzieningenrechter van de rechtbank Amsterdam oordeelde eind 2023 dat Criteo zich voor het verkrijgen van toestemming niet kan verschuilen achter haar partners. "Criteo moet als verwerkingsverantwoordelijke in de zin van de AVG voor de verwerking van de persoonsgegevens die zij via de cookies verkrijgt een rechtsgeldige verwerkingsgrondslag hebben", merkte de rechter op. Door zonder toestemming van de man toch cookies te plaatsen heeft het advertentiebedrijf volgens de rechter niet voldaan aan haar wettelijke verplichtingen.
De rechter stelde dat Criteo per direct moest stoppen met het plaatsen van trackingcookies op systemen van de man. Als het dit niet doet moest het een dwangsom van 250 euro per dag betalen, met een maximum van 25.000 euro. Daarnaast moest het advertentiebedrijf de man binnen zeven dagen inzicht in zijn gegevens geven, anders zou het wederom een dwangsom van 250 euro per dag krijgen.
Hoger beroep
Criteo ging zonder succes tegen het vonnis in beroep. Het gerechtshof Amsterdam gebood Criteo eind 2023 om het onrechtmatig handelen, door het zonder toestemming plaatsen van trackingcookies op systemen van de man, per direct te stoppen. Anders moest het een dwangsom van 250 euro per dag betalen, met een maximum van 25.000 euro. Ook werd Criteo veroordeeld tot het betalen van de proceskosten.Vervolgens besloot de rechtbank Amsterdam in april 2024 de dwangsom voor Criteo te verhogen naar 500 euro per dag met een maximum van 50.000. Criteo stapte vervolgens naar de rechtbank Rotterdam, waar het vorderde om het door het gerechtshof Amsterdam opgelegde verbod op te heffen en de man die het bedrijf had aangeklaagd te veroordelen tot het betalen van de proceskosten.
Nieuw vonnis
De rechtbank Rotterdam oordeelt echter, net als de andere rechters, dat Criteo onrechtmatig heeft gehandeld door zonder toestemming trackingcookies op het systeem van de man te plaatsen. De rechter verbiedt het Criteo opnieuw om zonder toestemming trackingcookies op systemen van de man te plaatsen. Daarnaast moet Criteo de proceskosten van 2340 euro betalen. Vorderingen van het advertentiebedrijf worden door de rechter afgewezen.Dat zou helemaal ideaal zijn, dat soort bedrijven kunnen niet snel genoeg failliet gaan.
Laat beter zulke bedrijven standaard een controle gaan en ook regelmatig opnieuw controleren. Voldoen zij niet dan, mogen zij ook niet actief zijn.
Laat beter zulke bedrijven standaard een controle gaan en ook regelmatig opnieuw controleren. Voldoen zij niet dan, mogen zij ook niet actief zijn.
Wat dacht je van celstraf voor de eigenaren? Eens kijken hoe snel ze dan stoppen met dit soort privacy-invasieve methoden en het negeren van wetgeving. En dan de klager ook nog de proceskosten willen laten betalen. Het geeft echt aan wat voor verstoord wereldbeeld die lui hebben, en waarom ik 0.0 medelijden heb met cookie- en scriptblokkers. Hoe eerder deze lui failliet zijn, hoe beter.
Misschien zijn dit retorische vragen, omdat het er echt op lijkt dat - ook hier weer - economisch voordeel belangrijker is dan de individuele privacy. Ofwel, kopen, kopen, kopen mensen, met de btw spek je daarmee ook gelijk de staatskas.
De AP is er dus voor spek en bonen, voor de bühne. De staat is daarmee (zoals een heler zijn gestolen spullen probeert te verkopen) dus mede verantwoordelijk en medeplichtig voor het voort laten duren van het overtreden van de wet!
Laat beter zulke bedrijven standaard een controle gaan en ook regelmatig opnieuw controleren. Voldoen zij niet dan, mogen zij ook niet actief zijn.
Wat dacht je van celstraf voor de eigenaren? Eens kijken hoe snel ze dan stoppen met dit soort privacy-invasieve methoden en het negeren van wetgeving. En dan de klager ook nog de proceskosten willen laten betalen. Het geeft echt aan wat voor verstoord wereldbeeld die lui hebben, en waarom ik 0.0 medelijden heb met cookie- en scriptblokkers. Hoe eerder deze lui failliet zijn, hoe beter.
In principe bestraft de AvG het bedrijf (en dus indirect de medewerkers) financieel voor (opzettelijk) ingaan tegen de AvG. De Zwitserse privacywetgeving bestraft het verantwoordelijke C-level/beslissers door persoonlijke boetes, strafbladen of zelfs celstraffen. NIS2 lijkt een beetje hierop waarbij de bestuurders ook persoonlijk verantwoordelijk zijn. Wellicht dat straks een datalek bij een beheerder van critische infrastructuur via de NIS2 omweg prersoonlijk verhaald kan worden. Dit zijn wel twee verschillende autoriteiten, dus snel zal het niet gaan.
Allen een mooi jaar met geen datalekken bij de eigen organisatie of levensfeer gewenst.
Dat zou helemaal ideaal zijn, dat soort bedrijven kunnen niet snel genoeg failliet gaan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?