Bij de rechter eisen dat je geen cookies meer op je computer geplaatst krijgt, het kan!

Photo by stevepb on Pixabay

4 grote internetondernemingen wordt geboden het plaatsen en/of uitlezen van ’tracking cookies’ zonder dat de gebruiker daarvoor toestemming heeft verleend te staken en gestaakt te houden. Aldus de rechtbank Amsterdam in een recent kort geding, dat wat mij betreft wel wat meer aandacht had mogen krijgen. Want ja, je kunt dus een cookieplaatsverbod afdwingen bij de rechter.

Toegegeven, het is wel een wat dure en tijdrovende operatie. Deze meneer trok ten strijde tegen Linkedin en Microsoft vanwege diverse tracking cookies die hij aantrof, inclusief cookies “na diens expliciete weigering die toestemming te verlenen”. Reactie Microsoft: dat kunnen wij niet want we weten niet wie u bent, maar zie de handleiding van uw browser.

Dank je de koekoek dacht die meneer, en stapte naar de kortgedingrechter. Een relatief makkelijk verhaal: cookies zijn informatie, en informatie opslaan op randapparaten via telecommunicatie mag alleen met toestemming (art. 11.7a Telecommunicatiewet). Behalve functionele, en dat is natuurlijk discussie genoeg.

De rechter ziet echter genoeg aanknopingspunten voor de stelling dat deze cookies niet voor functionele doeleinden worden geplaatst, maar (direct of indirect) voor advertentiedoeleinden. ALleen al het in kaart brengen van (individuele) bezoekers en hun surfgedrag kan wel degelijk al als tracking cookie worden aangemerkt, aldus de rechter.

Was er toestemming? Die moesten de ‘partners’ van MS en Linkedin natuurlijk netjes vragen volgens de contracten, dus het was geregeld. Maar nee:

De betrokken gedaagden blijven als verwerkingsverantwoordelijken echter (ook) zelf verantwoordelijk voor het bewerkstelligen van het verkrijgen van toestemming op rechtsgeldige en rechtmatige wijze voor het plaatsen en uitlezen van de tracking cookies en zij kunnen daar op grond van artikel 26 lid 3 AVG ook op worden aangesproken, ongeacht wat er in het contract met haar partners staat.
Je moet meer doen dan enkel instructies of standaardtools geven en zeggen dat het wel goed zat zo. De bedrijven wordt dan ook verboden om nog cookies te plaatsen – en wel op straffe van een dwangsom van 500 euro per cookie, gemaximeerd op 25.000 euro.

Ik voorzie wel wat executieproblemen bij dit vonnis: hoe moet Microsoft weten dat dit cookie gezet wordt bij deze eindgebruiker?

Arnoud

10 reacties

    1. Daar weet de rechter wel raad mee. Als je denkt dat je door betalen er van af bent en je gedrag niet aanpast, dan maakt de rechter in een volgende zaak die dwangsom gewoon tien keer zo hoog (en dat kan die desnoods nog een paar keer herhalen, en dan zit je zo aan 10 miljard, en dan gaan de aandeelhouders van Microsoft echt wel piepen.

  1. Ik voorzie wel wat executieproblemen bij dit vonnis: hoe moet Microsoft weten dat dit cookie gezet wordt bij deze eindgebruiker?

    Nou ja heel eenvoudig: Die “partners” zetten blijkbaar cookies zelfs als gebruikers geen toestemming geven. Microsoft moet dus eenvoudigweg die “partners” met de roede geven.

    “Pakketbezorger, uw chauffeur urineert..eh sorry ik bedoel laat geursporen achter, over mijn pakketjes heen voor het afleveren, kunt u zorgen dat dat stopt?” “Nee meneertje, sorry, wij weten toch niet wie u bent dus hoe kunnen we dan zorgen dat uw pakketjes niet onder de geursporen aankomen?”

    Nou ja heel simpel dus: Schop alle chauffeurs die zich niet aan de regels houden er uit.

  2. “Ik voorzie wel wat executieproblemen bij dit vonnis: hoe moet Microsoft weten dat dit cookie gezet wordt bij deze eindgebruiker?”

    Deze wet geld voor alle eindgebruikers dus deze persoon hoeft alleen maar aan te tonen bijvoorbeeld met een getuige deskundige dat hij de cookies weigert maar ze er steeds cookies bij hem worden geplaatst om de dwangsom op te kunnen eisen. Hij hoeft volgens mij geen IP adres of andere identificatie te geven omdat er geen uitzondering op een regeling gemaakt hoeft te worden en er bij niemand illegaal cookies geplaatst mogen worden.

  3. De grap is, het is per cookie. Zou diegene die de zaak gevoerd heeft niet 1 site kunnen vinden die de boel overtreedt, en dan een filmpje maken waarin hij 50 keer de cookies verwijdert, 50 keer weigert, en toch 50 keer een nieuwe cookie krijgt?

    Arnoud zal vast zeggen dat dat de giegeltoets niet haalt 😉

    1. Zie 5.6: Eiser “stelt immers dat gedaagden onrechtmatig jegens hem handelen door het aantasten van zijn privacy rechten. Als dat het geval is, moet daaraan zo snel mogelijk een eind worden gemaakt. In dat verband kan niet van [eiser] worden gevergd de uitkomst van een bodemprocedure af te wachten.” Bij inbreuk op fundamentele rechten mag je eigenlijk altijd een kort geding starten.

  4. Ik wacht nog altijd op de wet, welke ‘coookies’ plaatsen verbiedt en enkel toestaat dat elk ‘cookie’ individueel goedgekeurd moet worden (‘opt-in’). Dit moet technisch mogelijk zijn, want nagenoeg alle organisaties plaatsen toch ‘cookies’ waarvoor je moet ‘opt-out’-en: – zeg 8 voor de eigen organisatie en – een zéééér groot aantal van 3de partijen (partners geheten, waaronder hoeveel eigen dochters?).

    Dus effectief de ‘opt-out’ functie vermoordend. Doet denken aan Amerikaanse rechtszaken waarbij multinationals bij grote (niet-)commerciële belangen duizenden processtukken aanbieden, welke een rechter bij leven niet kan beoordelen! Wat als voordeel heeft dat bij overlijden van de rechter de hele rechtszaak overnieuw moet.

    Zou een standaard verbod op ‘cookies’ niet een grondrecht moeten zijn? Of is het net als obesitas … ook al weten wij dat vaak de oorzaak ligt in: overmatig (snoep)eten van een schadelijke hoeveelheid niet nodige, onnuttige voedings- alsook kleurstoffen en andere eetlust bevorderende middelen … dat het de burger haar/zijn eigen schuld, want hij hoeft geen ‘cookies’ te snoepen!

    Winn Schwartau (mei 2023) waarschuwt er al voor dat de grote multinationale organisaties een eigen bedrijfsmodel (‘ethiek‘?) op na houden, gericht op het het modificeren van (het denken en de realiteitservaring van) de mens voor het eigen gewin (geldelijk en/of politiek). Manilupatie begint in het kleine.

  5. Ik voorzie wel wat executieproblemen bij dit vonnis: hoe moet Microsoft weten dat dit cookie gezet wordt bij deze eindgebruiker?

    Dat lijkt me tamelijk lastig; 33n cookie dat specifiek deze gebruiker herkent kwalificeert met als doel specifieke cookie-voorkeuren te bewerkstelligen kwalificeert vast niet als louter functioneel maar als tracking.

    Deze uitspraak is natuurlijk specifiek voor deze gebruiker, maar het principe is universeel en zou voor iedereen moeten gelden. Is er geen toezichthouder die op basis van dit vonnis en een heel klein onderzoekje het geheel kan reproduceren en een boete op kan leggen? Of moet iedereen een individueel kort geding aanspannen om tot dezelfde uitkomst te komen?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.