Afgelopen juni legde de Franse privacy-autoriteit (CNIL) de Franse ad-techgigant Criteo een boete op van €40 miljoen voor het niet respecteren van de toestemming van gebruikers voor tracking. In december deed de rechtbank in Amsterdam ook een uitspraak tegen Criteo die later in hoger beroep werd bevestigd.
Deze zaken zijn belangrijk. Criteo is een grote advertentie-technologie multinational die de persoonlijke gegevens van miljoenen internetgebruikers beheert. Maar het belangrijkste is dat de redenering achter de beslissing afwijkt van het verleden en heel goed golven kan veroorzaken in verschillende industrieën, waaronder ad tech en web analytics,
Hier is waar de zaken over gaan en waarom ze nieuwe mogelijkheden zouden kunnen bieden om actie te ondernemen tegen illegale tracking.
- Waar gaan de zaken over?
- Wie moet zich bezighouden met toestemming?
- De "Criteo doctrine": een diepere blik
- Gezamenlijke beheerders
- De toewijzing van verantwoordelijkheden
- De effectieve bescherming van rechten
- Wat betekent dit voor web analytics?
- Laatste woorden
Waar gaan de zaken over?
Tot nu toe zijn er drie beslissingen tegen Criteo:
- twee privacy-NGO's (Privacy International en noyb) dienden een klacht in bij de Franse privacywaakhond (CNIL) waarin ze beweerden dat websites illegaal Criteo-cookies plaatsten. Over deze klacht werd in juni 2023 beslist en resulteerde in een boete van €40 miljoen voor het bedrijf.
- een Nederlandse burger bracht dezelfde zaak voor de rechtbank van Amsterdam, wat resulteerde in een bevel om te stoppen met het plaatsen van cookies en het verwijderen van de reeds verzamelde gegevens
- de beslissing van de rechtbank werd later in hoger beroep bevestigd.
Alle zaken draaien om het ongeautoriseerde gebruik van tracking cookies. Verschillende populaire websites gebruikten de cookies van Criteo voor advertentiedoeleinden. Dit gebeurde zonder toestemming, in strijd met de GDPR en de ePrivacy-richtlijn.
Dit lijken standaard cookiezaken: iemand realiseerde zich dat hij werd gevolgd zonder zijn toestemming, ondernam juridische stappen en won. Maar wat deze zaken speciaal maakt, is dat de websites - niet Criteo - de cookies plaatsten. Criteo werd verantwoordelijk gehouden voor cookies die door zijn klanten waren geschreven, en dit is een grote, grote zaak.
Wie moet zich bezighouden met toestemming?
Het is heel gebruikelijk dat aanbieders van adtech- en webanalysediensten het nalevingswerk "overdragen" aan hun klanten, dat wil zeggen aan de websites die de dienst gebruiken.
Stel bijvoorbeeld dat uw website Google Analytics gebruikt. Google Analytics maakt gebruik van tracking cookies, waarvoor volgens de EU-wetgeving toestemming nodig is. Dit is niet het probleem van Google: volgens de Servicevoorwaarden van Google Analytics is het aan u om Google Analytics op een conforme manier te implementeren (wat ook inhoudt dat u ervoor moet zorgen dat het alleen cookies schrijft nadat bezoekers ze hebben geaccepteerd). Als u dit verknoeit, overtreedt u de wet, niet Google.
Deze verdeling van verantwoordelijkheden is een van de redenen waarom het internet een beerput van illegale tracking is geworden. Adverteerders zoals Google en Meta voorzien het internet van krachtige en invasieve trackingtools, maar kunnen niet verantwoordelijk worden gehouden voor het misbruik ervan. Gebruikers en privacy-voorvechters kunnen dus alleen terugvechten tegen tracking door achter individuele websites aan te gaan, in een eindeloos en grotendeels zinloos spelletje whack-a-mole.
De beslissingen tegen Criteo openen nieuwe wegen voor juridische actie. De CNIL en de rechtbanken hebben luid en duidelijk gezegd dat Criteo - een reclamegigant met talloze partners - zijn handen niet in onschuld kan wassen voor de wettelijke verplichtingen die het gebruik van cookies met zich meebrengt. Criteo werd verantwoordelijk gehouden voor wat zijn klanten deden met zijn cookies, ook al deed Criteo zelf niets - of beter gezegd, omdat het niets deed tegen het voorspelbare misbruik van Criteo-cookies.
Het is nog te vroeg om te zeggen of deze redenering op Europees niveauaan kracht zal winnen. Maar er zijn redenen om optimistisch te zijn: de CNIL is een gerespecteerde autoriteit die vaak invloedrijke voorbeelden stelt voor andere regelgevende instanties. Bovendien zijn privacyvoorvechters (zoals degenen die betrokken zijn bij de CNIL-zaak) zich terdege bewust van het potentieel van de beslissingen tegen Criteo en zullen ze zeker proberen dit potentieel te benutten in toekomstige rechtszaken.
Kortom: de zaken zullen niet noodzakelijkerwijs uitmonden in een invloedrijk precedent op EU-niveau, maar er is een zeer reële kans dat ze dat wel doen - en privacyvoorvechters een krachtig juridisch instrument in handen geven tegen tracking.
De "Criteo doctrine": een diepere blik
In een notendop is dit waarom de grondgedachte achter de Criteo-zaken belangrijk is. Maar wat is deze redenering precies en hoe past deze in de GDPR?
Om een lang verhaal kort te maken, de "Criteo doctrine" - om het zo maar te zeggen - zegt dat gezamenlijke verwerkingsverantwoordelijken nalevingsverplichtingen moeten toewijzen op een manier die de privacyrechten effectief beschermt. Dat is een hoop om te verteren, dus laten we het uitsplitsen.
Gezamenlijke beheerders
Het begrip gezamenlijk beheer in strikte termen uitleggen zou een blog op zich vergen. In een notendop is gezamenlijk beheer de situatie waarin twee of meer entiteiten samen gegevens verwerken en ze allemaal inspraak krijgen in wat er met de gegevens gebeurt. Dus als twee bedrijven gezamenlijk verantwoordelijk zijn voor de verwerking, beslissen ze allebei welke gegevens worden verzameld, waarom ze worden verzameld, hoe ze worden verwerkt, enzovoort.
Dit was het type relatie dat Criteo had met zijn klanten. In feite heeft het bedrijf nooit iets anders beweerd.
De toewijzing van verantwoordelijkheden
Gezamenlijk beheer levert een probleem op: gezamenlijke beheerders hebben allemaal verplichtingen onder de GDPR, maar wie moet precies aan welke verplichtingen voldoen? Met andere woorden, hoe worden de nalevingsverplichtingen verdeeld tussen de gezamenlijke verantwoordelijken?
De oplossing van de GDPR is dat gezamenlijke verantwoordelijken voor de verwerking deze verantwoordelijkheden naar eigen inzicht kunnen verdelen, zolang ze deze verdeling maar verduidelijken in een juridisch contract, een zogenaamde overeenkomst van gezamenlijk beheer.
In de praktijk kijken advocaten en regelgevers, wanneer er een juridische kwestie ontstaat met gezamenlijke verantwoordelijken, naar de overeenkomst voor gezamenlijk beheer om te weten wie wat moet doen - bedrijf A is bijvoorbeeld alleen verantwoordelijk voor het beheer van toestemming, terwijl bedrijf B alleen verantwoordelijk is voor het beheer van de database en het melden van datalekken.
Dit systeem heeft duidelijke voordelen. Verantwoordelijken voor gegevensverwerking kunnen op een effectieve manier compliance-taken toewijzen, omdat ze precies weten hoe elke partij bijdraagt aan de verwerking van de gegevens. Bijvoorbeeld: als bedrijf B de database beheert, is het logisch dat het verantwoordelijk is voor het melden van datalekken. Evenzo, als bedrijf A direct contact heeft met de betrokkene (dat wil zeggen, de mensen van wie de gegevens worden verwerkt), terwijl bedrijf B dat niet heeft, dan is het logisch dat bedrijf A toestemming verzamelt en beheert.
Het nadeel van dit toewijzingssysteem is dat het kan mislukken. En in het geval van online tracking faalt het systematisch.
De effectieve bescherming van rechten
Talloze websites misbruiken cookies of pixels om je te volgen zonder je toestemming. Dit is illegaal, maar je kunt geen actie ondernemen tegen providers zoals Google of Meta, omdat zij het aan de klant overlaten om de wet op gegevensbescherming na te leven. Je kunt ook geen actie ondernemen tegen elke website die je volgt - dat zijn er gewoon te veel!
De "Criteo doctrine" biedt een bescherming tegen dit falen. Het erkent dat de GDPR bedrijven toestaat om verantwoordelijkheden toe te wijzen zoals ze willen, maar stelt ook dat de toewijzing van verantwoordelijkheden de rechten van gegevens effectief moet beschermen.
Gezamenlijke verantwoordelijken kunnen dus verantwoordelijkheden toewijzen hoe ze willen, maar de consequentie van deze discretionaire bevoegdheid is dat ze een toewijzing moeten vinden die de privacyrechten beschermt - of op zijn minst niet spectaculair en systematisch faalt. Dit is waar toezichthouders een grens trekken en beide beheerders verantwoordelijk houden voor overtredingen, ongeacht wat er in hun papieren staat.
Wat betekent dit voor web analytics?
De "Criteo-doctrine" heeft veel belangrijke gevolgen, waarvan sommige moeilijk te voorzien zijn. Als het gaat om reclame en web analytics in het bijzonder, betekent de doctrine dat aanbieders zich veel meer zorgen moeten maken over de manier waarop hun tools in de praktijk worden gebruikt en stappen moeten ondernemen om misbruik tegen te gaan.
Dit is wat de toezichthouders eisten van Criteo: het bedrijf werd opgedragen om stappen te ondernemen om ervoor te zorgen dat er geldige toestemming werd verzameld, in plaats van de roze belofte van de klant zomaar aan te nemen. Met andere woorden, Criteo moest zijn partners beter controleren dan ze al deden (wat geen vreselijk hoge lat is).
Auditing compliance klinkt ingewikkeld en dat is het meestal ook. Maar als het gaat om het gebruik van cookies, zouden geautomatiseerde controles van de providers veel cookie-overtredingen kunnen elimineren. Natuurlijk zullen geautomatiseerde controles niet alle gevallen van niet-naleving opsporen, maar ze zouden toch een goed begin zijn en laten zien dat providers hun verantwoordelijkheden serieus nemen.
Naast een betere controle zouden providers ook de toestemming van gebruikers moeten documenteren. Dit is moeilijker dan het klinkt: het documenteren van toestemming kan behoorlijk ingewikkeld zijn, vooral als de gegevensstromen al in werking zijn en enorme hoeveelheden persoonlijke gegevens verwerken.
Maar de algemene betekenis achter Criteo is belangrijker dan de specifieke verplichtingen die worden opgelegd. Minder privacy-vriendelijke aanbieders zoals Google Analytics en Meta zouden stappen moeten ondernemen om ervoor te zorgen dat hun diensten niet systematisch worden misbruikt (zoals nu het geval is). Als ze dat niet doen, kunnen voorvechters van de privacy van consumenten hen ter verantwoording roepen door rechtstreeks tegen hen op te treden in plaats van gedwongen te worden een spelletje te spelen tegen het hele internet.
Laatste woorden
Het is goed om nogmaals te benadrukken dat de "Criteo-doctrine" tot nu toe door twee regelgevende instanties is bevestigd: de CNIL en de Nederlandse rechtbanken. Het valt nog te bezien of de doctrine aanslaat.
Ook moet worden opgemerkt dat de doctrine niet zonder nadelen is. Het bijhouden en documenteren van toestemming is geen gemakkelijke taak voor een verwerkingsverantwoordelijke, vooral niet als de systemen die de gegevens verwerken al in gebruik zijn. De doctrine zou de nalevingslast voor veel bedrijven vergroten, ook voor bedrijven die op een goede en niet-invasieve manier met gegevens omgaan.
Wij geloven dat de voordelen zwaarder wegen dan de nadelen. Door de naleving uit te besteden aan individuele klanten, kunnen veel privacy-invasieve diensten zichzelf afschermen achter hun ToS of overeenkomsten van gezamenlijk beheer. De "Criteo doctrine" kan net het middel zijn dat we nodig hebben om hen verantwoordelijk te houden in onze strijd voor een beter internet.
Wij van Simple Analytics houden niet van tracking. Wij geloven dat het onethisch en invasief is en het internet slechter maakt. Daarom hebben we Simple Analytics gemaakt: een 100% trackingvrije webanalysedienst die geen enkel stukje persoonlijke gegevens verzamelt! Als dit je aanspreekt, probeer ons dan gerust uit!