De veroordeling van Criteo, tot drie keer toe, blijkt uit een vonnis van 24 april 2024 van de rechtbank Amsterdam, dat pas op 1 juli is gepubliceerd. Het betreft een zaak van een niet nader genoemde burger, bijgestaan door advocaten Martin Hemmer en Romy Smit van AKD. Criteo werd verdedigd door Remon van Saane en Jan Pot van Brinkhof. (In eerdere, verloren zaken was Christoph Jeloschek van Kennedy van der Laan nog de advocaat.)
Criteo is een van de grootste, zo niet de grootste Europese partij in verwerking van persoonsgegevens over online gedrag (surfen) om die vervolgens te gebruiken voor het direct tonen van gerichte reclame. Die wordt gegenereerd in veilingen, de real-time bidding. Dit mechanisme, en dus het verdienmodel van Criteo, staat zwaar onder druk als gevolg van steeds strengere toepassing van de AVG.
AKD werkte samen met expert in databescherming Floor Terra (op Twitter) van Privacy Company in Den Haag. Hij heeft vastgesteld dat Criteo-cookies op grote schaal zonder toestemming geplaatst worden. In feite moet Criteo garanderen dat haar klanten toestemming vragen om wetsovertreding te voorkomen.
Flink beboet in Frankrijk
In juni 2023 kreeg Criteo al een boete van 40 miljoen euro opgelegd door de Franse privacywaakhond CNIL voor dezelfde overtreding van de AVG: zonder toestemming cookies geplaatst voor de verwerking van persoonsgegevens. De overtreding trof volgens de CNIL 370 miljoen EU-burgers.
Criteo kon niet afdoende bewijzen dat in een periode tot 2020 steeds toestemming was verleend via de websites van de klanten van Criteo, zodra hun data de reclameveiling werden opgestuurd voor real-time bidding.
Bovendien: als burgers conform de AVG van Criteo eisten dat hun gegevens werden verwijderd, dan stopte Criteo met het serveren van persoonsgerichte reclame, maar verwijderde de profielen van gebruikers niet.
Gerechtshof Amsterdam bevestigt
De CNIL merkt wel op dat Criteo, nadat de toezichthouder in januari 2020 haar onderzoek hield, de voorwaarden heeft aangepast met de verplichting voor haar klanten om die toestemming te vragen vóór de plaatsing van cookies (conform artikel 7 AVG).
Maar de CNIL heeft niet meer onderzocht in de praktijk of Criteo ook controleerde of klanten zich aan die eis hielden. Dat is in de Nederlandse zaken wel gedaan: Floor Terra stelt vast dat Criteo illegaal opereert door zich er niet van de vergewissen dat websites die haar cookies plant, hiervoor afdoende toestemming hebben. Criteo antwoordde dat het de verantwoordelijkheid van de klanten van Criteo is om via de websites toestemming te verkrijgen.
Daarop volgde een kort geding, met op 18 oktober 2023 de uitspraak dat Criteo met de praktijk moet stoppen, met een dwangsom van 250 euro per dag, tot een maximum van 25.000 euro. Criteo ging in beroep. Het gerechtshof van Amsterdam bekrachtigde het vonnis op 5 december 2023.
Criteo opperde dat gebruikers in hun browsers cookies kunnen weigeren. Dat is, stelt het hof, niet van belang want dat is een ‘opt-out’. De Telecommunicatiewet en de AVG eisen uitdrukkelijke, geïnformeerde toestemming, een opt-in.
Weliswaar mag Criteo het vragen om toestemming overlaten aan de klanten waarvan de websites worden bezocht, maar Criteo en deze klanten zijn gezamenlijk ‘verwerkingsverantwoordelijken’, dus Criteo kan worden aangesproken op het plaatsen van cookies zonder toestemming.
Dwangsom te laag
Criteo verdient veel meer met haar cookie-systeem dan de maximum dwangsom van 25.000 euro in het kort geding, dus heeft die afgetikt. Wellicht mooi voor de procederende burger. Echter, Criteo gaat door met de verboden praktijk. Dus diende er een nieuwe zaak, met de eis voor een vergoeding van 5.000 euro per dag, tot een maximum van 150.000 euro.
In deze zaak bracht Criteo hetzelfde argument in: de klanten met websites zijn verantwoordelijk. Dat zijn er veel: ruim 14.000 met samen 450.000 websites. Criteo zegt geen invloed te kunnen uitoefenen, anders dan partners contractueel te verplichten om geldige toestemming te vragen, en ze aanmanen als dat dat niet gebeurt.
Criteo kan bovendien de apparaten van de procederende burger niet herkennen, dus dit maakt naleving van het gebod ten aanzien van een individu (zoals de klager in kort geding) feitelijk onmogelijk. “Criteo moet dan zorgen dat honderdduizenden websites alleen na geldige toestemming cookies plaatsen op apparaten waarmee de websites worden bezocht”, aldus de advocaten van Brinkhof.
En ook: “Criteo kan alleen garanderen dat nooit cookies op de apparaten van [eiser] worden geplaatst zonder zijn toestemming door wereldwijd te stoppen met gebruik van cookies.” Dat laatste is interessant en weinig van de miljarden internetgebruikers zullen er bezwaar tegen koesteren.
De eiser is van mening dat het probleem wel degelijk eenvoudig opgelost kan worden als Criteo werkelijk actief geautomatiseerde audits uitvoert. Het ontbreken van toestemming zal dan immers goeddeels worden voorkomen. Louter reactief actie ondernemen vindt de rechtbank Amsterdam onvoldoende.
Er waren nog wat juridische schermutselingen, maar het vonnis van dit tweede kort geding van april 2024 culmineert in een dwangsom van 500 euro per dag met een maximum van 150.000 euro. Dat maximum is dus na 300 dagen bereikt en niet in 30 dagen, conform de eis.
Stiekeme stroman ingezet?
Het is opvallend dat een privépersoon voor deze maatschappelijke kwestie een duur advocatenkantoor als AKD inschakelt. “Het is niet zo dat wij de persoon in kwestie standaardtarieven laten betalen”, zegt Hemmer.
De reden? “Wij zijn actief met verschillende acties en voor verschillende cliënten tegen bedrijven die zich schuldig maken aan grootschalige privacyschendingen.” Bijvoorbeeld Amazon, waartegen een massaclaim loopt met AKD als advocaat van de Stichting Data Bescherming Nederland, die ook Twitter en Adobe proberen aan te pakken. Dat zijn langdurige procedures, net als onderzoek door de AP.”
Criteo vermoedt dat AKD en en/of andere instantie voor kort gedingen een stroman inzetten om uitspraken te ontlokken die gebruikt kunnen worden voor de massaclaims. Dat blijkt uit het vonnis van een kort geding voor de rechtbank Zeeland-West Brabant van 6 juni 2024, eind juni gepubliceerd. Een burger klaagde Criteo aan vanwege cookieplaatsing zonder toestemming. De voorzieningenrechter in Breda wees die eis echter af, anders dan in Amsterdam.
Ook de tegeneis van Brinkhof Advocaten namens Criteo werd afgewezen, maar die eis op zich is interessant, want behelst de eventuele stroman. Er is sprake van ‘onrechtmatig handelen’ omdat de klager niet voor zichzelf optreedt, maar dat een derde partij de beslissingen neemt in deze zaak. Dus eist Criteo “afschriften te verstrekken van de overeenkomst(en) die zij [de klager/eiser] met derden heeft gesloten aangaande het dragen van de kosten van deze procedure en/of ter afdekking van het aansprakelijkheidsrisico”.
Dat zou ook in het kort geding in Amsterdam het geval zijn, wat AKD uiteraard afwijst.
Wel samenhang met massaclaims
Heeft deze uitspraak dan gevolgen voor de massaclaimzaken die lopen? Hemmer: “Dat is zeker mogelijk. De uitspraken in kort geding zijn een steun in de rug voor de massaclaims omdat ze de onrechtmatigheid en verantwoordelijkheid van het Adtech-bedrijf bevestigen en duidelijk maken dat veel Adtech-bedrijven eenvoudige maatregelen die ze kunnen nemen om zich ervan te vergewissen dat toestemming is verkregen achterwege laten.”
De massaclaim-zaken over cookies gaan verder dan de kortgedingen, over de vraag of het hele systeem van reclamecookies uit het raam moet. Immers, kunnen gebruikers geldige, op voldoende informatie gebaseerde toestemming geven voor zoveel verwerking van hun gegevens in het hele real-time-bidding-systeem? Nee, zegt de Belgische autoriteit voor gegevensbescherming. Het gevolg is dat alle tracking cookies ten behoeve reclameveilingen onrechtmatig zijn.
Criteo moet monitoren
Criteo zegt de monitoring van toestemmingen gezien de omvang van de operatie moeilijk te kunnen doen, maar AKD bestrijdt dit. Criteo kent al haar partners met hun websites en kan, zoals Floor Terra aantoonde, al die websites geautomatiseerd onderzoeken. Hemmer: “Dan kan Criteo de Criteo-cookies op die websites tijdelijk technisch blokkeren tot ze het probleem opgelost hebben.”
Floor Terra van Privacy Company in Den Haag, een van de best onderlegde experts in dataprivacy in Nederland, vindt de belangrijkste uitkomst van de drie rechtszaken dat steeds weer Criteo medeverantwoordelijk wordt gehouden voor plaatsing zonder toestemming: “Ze zijn dus aansprakelijk voor overtredingen in de hele keten. Daarmee kun je in één keer de verkeerde praktijken bij een grote hoeveelheid overtredingen van websites laten beoordelen in een rechtszaak. Terwijl je die websites anders afzonderlijk zou moeten aanpakken.”
Wel ziet Terra dat strijd resteert over de controle vooraf en achteraf door Criteo van het al dan niet tijdig en juist vragen van toestemming. “Juridisch is de verdeling van verantwoordelijkheid zonneklaar. De impact van die vonnissen is enorm.”
Dus blijft de vraag: wat let Criteo om controle uit te oefenen bij klanten of ze de wet naleven? Terra: “Ik wil dat niet voor Criteo zeggen, maar wel in zijn algemeenheid. Het kost moeite en geld. Als intermediair met cookies spreek je je klanten aan en die gaan wellicht naar een concurrent die niet in de schijnwerper staat.”
Terra kan niet zo een-twee-drie de boosdoeners opnoemen van zijn lijst met websites die geen toestemming vroegen: “Ik scan 10.000 websites waarvan er vele geen toestemming verkrijgen en toch Criteo’s tracking cookies plaatsen. Welke bedrijven dat zijn is aan verandering onderhevig. Uit het vonnis blijkt ook dat Criteo aan de slag gaat met de websites die wij noemen met een betere toestemmingsvraag, of opzegging van het contract bij aanhoudende ovrtreding.”
*) Photo by Bernie Almanzar on Unsplash