Criteo mag van rechter niet zonder toestemming trackingcookies plaatsen
Advertentiebedrijf Criteo mag niet zonder toestemming trackingcookies op de systemen van een man plaatsen omdat dit in strijd met de AVG is, zo heeft de rechtbank Amsterdam in een kort geding bepaald. Criteo plaatst trackingcookies om surfgedrag, interesses en andere gegevens van internetgebruikers te verzamelen en te analyseren voor commerciële doeleinden.
Via de trackingcookies toont Criteo gerichte advertenties. Dat gebeurt door het maken van gebruikersprofielen en het herkennen van gebruikers als zij websites bezoeken. Door gebruik te maken van het Real Time Bidding (RTB)-Systeem wordt een internetgebruiker binnen seconden herkend en krijgt een op hem afgestemde advertentie te zien. Trackingcookies spelen daarbij een essentiële rol.
In juni van dit jaar kreeg Criteo van de Franse privacytoezichthouder CNIL wegens gerichte advertenties een boete van veertig miljoen euro opgelegd. Een Nederlandse burger stuurde Criteo begin augustus een brief dat het advertentiebedrijf zonder toestemming trackingcookies bij hem plaatste en dat het hier per direct mee moest stoppen. Daarnaast moest Criteo stoppen met de onrechtmatige gegevensverwerking en alle verkregen gegevens van de man verwijderen.
Op basis van een deskundigenrapport van de Haagse Privacy Company blijkt dat Criteo inderdaad zonder toestemming trackingcookies plaatst. Volgens Criteo zijn haar partners verantwoordelijk voor het verkrijgen van toestemming. Daarnaast zou met het algemene verbod op het plaatsten van cookies, zoals de man eist, de business van Criteo op losse schroeven worden gezet.
De voorzieningenrechter is van oordeel dat Criteo zich voor het verkrijgen van toestemming niet kan verschuilen achter haar partners. "Criteo moet als verwerkingsverantwoordelijke in de zin van de AVG voor de verwerking van de persoonsgegevens die zij via de cookies verkrijgt een rechtsgeldige verwerkingsgrondslag hebben", merkt de rechter op. Door zonder toestemming van de man toch cookies te plaatsen heeft het advertentiebedrijf volgens de rechter niet voldaan aan haar wettelijke verplichtingen.
Wereld op zijn kop
Criteo voerde ook nog aan dat het de man twee mogelijkheden heeft geboden waarmee hij zelf kan voorkomen dat hij met trackingcookies gevolgd wordt, maar dat hij er zelf voor kiest deze opties, ongewenste cookies verwijderen door zijn browserinstellingen aan te passen of een “opt-out” instellen voor Criteo-cookies, niet te gebruiken.
Volgens de rechter is dit de wereld op zijn kop. "Niet [eiser] moet actie ondernemen, maar Criteo moet zorgen dat vooraf toestemming van [eiser] wordt verkregen voor de plaatsing van de cookies en het verwerken van zijn persoonsgegevens. Dit verweer wordt dus ook verworpen."
Spoedeisend belang
De rechter stelt ook vast dat Criteo niet van plan is om haar huidige werkwijze te veranderen. "Dat betekent dat het onrechtmatig handelen van Criteo jegens [eiser] niet vanzelf zal stoppen. Dat wordt ook bevestigd doordat [eiser] zelfs na de brief van zijn advocaat van 8 augustus 2023 nog 39 gevallen van schending van het wettelijk toestemmingsvereiste heeft aangetoond. Het gaat hier om een - naar voorlopig oordeel - flagrante schending van de wet."
In tegenstelling tot wat Criteo vindt is er dan ook wel degelijk sprake van een spoedeisend belang zoals de man zegt te hebben, aldus de rechter. Die stelt dat Criteo per direct moet stoppen met het plaatsen van trackingcookies op systemen van de man. Als het dit niet doet moet het een dwangsom van 250 euro per dag betalen, met een maximum van 25.000 euro.
Daarnaast moet het advertentiebedrijf de man binnen zeven dagen inzicht in zijn gegevens geven, anders krijgt het wederom een dwangsom van 250 euro per dag. Daarnaast legt de rechter Criteo ook nog drie andere dwangsommen op van ook elk 250 euro per dag voor het verstrekken van informatie over derde partijen en het verwijderen van gegevens van de man.
Reacties (20)
Dit is goed nieuws en er lijkt ook snel geoordeeld te zijn. Bravo.
Als je business afhankelijk is van ongeoorloofd tracking cooking te plaatsen, dan ben je eigenlijk wel droevig bezig als andere bedrijven wel toestemming vragen maar kunnen blijven bestaan omdat 90% van de gebruikers hersenloos op 'Accept' klikt.
Als je business afhankelijk is van ongeoorloofd tracking cooking te plaatsen, dan ben je eigenlijk wel droevig bezig als andere bedrijven wel toestemming vragen maar kunnen blijven bestaan omdat 90% van de gebruikers hersenloos op 'Accept' klikt.
23-10-2023, 13:00 door
EersteEnigeEchte M.J. - EEEMJ
Inderdaad goed nieuws. De Nederlandse rechter lijkt hier het oordeel van de Franse privacytoezichthouder CNIL te hebben gevolgd.
Alleen vind ik de door de Nederlandse rechter opgelegde dwangsommen erg laag, nu het gaat om een bedrijf dat in Frankrijk kennelijk een boete van 40 miljoen euro kan ophoesten. Dan is een maximum van 125.000 euro als het bedrijf alle vijf in Nederland opgelegde dwangsommen volledig verbeurt, natuurlijk niet echt "dwingend", maar meer een soort signaal.
Ook vraag ik me af of de AP voor zichzelf als toezichthouder nog een rol ziet als het gaat om de activiteiten van Criteo in Nederland.
M.J.
Alleen vind ik de door de Nederlandse rechter opgelegde dwangsommen erg laag, nu het gaat om een bedrijf dat in Frankrijk kennelijk een boete van 40 miljoen euro kan ophoesten. Dan is een maximum van 125.000 euro als het bedrijf alle vijf in Nederland opgelegde dwangsommen volledig verbeurt, natuurlijk niet echt "dwingend", maar meer een soort signaal.
Ook vraag ik me af of de AP voor zichzelf als toezichthouder nog een rol ziet als het gaat om de activiteiten van Criteo in Nederland.
M.J.
Door EersteEnigeEchte M.J. - EEEMJ:
Alleen vind ik de door de Nederlandse rechter opgelegde dwangsommen erg laag, nu het gaat om een bedrijf dat in Frankrijk kennelijk een boete van 40 miljoen euro kan ophoesten. Dan is een maximum van 125.000 euro als het bedrijf alle vijf in Nederland opgelegde dwangsommen volledig verbeurt, natuurlijk niet echt "dwingend", maar meer een soort signaal.
Het gaat hier om dwangsommen in een individueel geval. Jij kunt als je door Criteo gevolgd wordt ook naar de (kort geding) rechter stappen en dan is er een goede kans dat jij ook een vonnis krijgt met dwangsommen van €250/dag. Als duizenden mensen dat doen dan wordt het heel pijnlijk voor Criteo.Alleen vind ik de door de Nederlandse rechter opgelegde dwangsommen erg laag, nu het gaat om een bedrijf dat in Frankrijk kennelijk een boete van 40 miljoen euro kan ophoesten. Dan is een maximum van 125.000 euro als het bedrijf alle vijf in Nederland opgelegde dwangsommen volledig verbeurt, natuurlijk niet echt "dwingend", maar meer een soort signaal.
Door EersteEnigeEchte M.J. - EEEMJ: Alleen vind ik de door de Nederlandse rechter opgelegde dwangsommen erg laag, nu het gaat om een bedrijf dat in Frankrijk kennelijk een boete van 40 miljoen euro kan ophoesten. Dan is een maximum van 125.000 euro als het bedrijf alle vijf in Nederland opgelegde dwangsommen volledig verbeurt, natuurlijk niet echt "dwingend", maar meer een soort signaal.
M.J.
En wat als ik ook win en 125000 krijg van dat bedrijf?M.J.
En als mijn buurman dat krijgt?
Ik denk dat het bedrag nogal hoog is eigenlijk.
Want het is nu nog voor 1 persoon.
Wat nou als het er 100, 1000 of 100000 zijn?
Zelfs als het bedrijf miljarden winst maakt, zullen ze dit alsnog wel gaan voelen.
23-10-2023, 14:21 door
Briolet
Daarnaast zou met het algemene verbod op het plaatsten van cookies, zoals de man eist, de business van Criteo op losse schroeven worden gezet.
Dat is natuurlijk een non-argument. Ook het verbod op de productie van canabis zet hele business modellen op losse schroeven en toch zal een rechter de productie daarom niet zelf gaan legaliseren.
23-10-2023, 14:29 door
Reinder
Door Briolet:
Dat is natuurlijk een non-argument. Ook het verbod op de productie van canabis zet hele business modellen op losse schroeven en toch zal een rechter de productie daarom niet zelf gaan legaliseren.
Daarnaast zou met het algemene verbod op het plaatsten van cookies, zoals de man eist, de business van Criteo op losse schroeven worden gezet.
Dat is natuurlijk een non-argument. Ook het verbod op de productie van canabis zet hele business modellen op losse schroeven en toch zal een rechter de productie daarom niet zelf gaan legaliseren.
Idd. Stel je voor dat inbrekers zich op het soort argumenten zouden beroepen die Criteo nu gebruikt heeft. Dan krijg je een soort Monty Python sketch.
"De inbreker voerde ook nog aan dat de man twee mogelijkheden om te voorkomen dat hij het slachtoffer werd van inbraak niet heeft gebruikt. Zo had de man voor betere sloten kunnen zorgen, en ook een bordje in de tuin kunnen plaatsen met "gelieve hier niet in te breken". Voorts stelt de inbreker dat het verbod op inbreken zijn businessmodel verstoort"
Door EersteEnigeEchte M.J. - EEEMJ:
Ook vraag ik me af of de AP voor zichzelf als toezichthouder nog een rol ziet als het gaat om de activiteiten van Criteo in Nederland.
M.J.
Ook vraag ik me af of de AP voor zichzelf als toezichthouder nog een rol ziet als het gaat om de activiteiten van Criteo in Nederland.
M.J.
Beperkt. Voor 11.7a Tw zijn de AP en ACM samen bevoegd. Voor de websites waarop Criteo mensen volgt kan de AP als leidende toezichthouder handhaven op overtredingen in een context waar de website-houders en Criteo gezamenlijke verwerkingsverantwoordelijken zijn. Maar als de AP direct op Criteo wil handhaven zou dat in theorie ook kunnen als er bijvoorbeeld spoedeisend belang is, maar dat is meer een uitzondering dan dat je daarop zou moeten rekenen.
Alleen gaat het hier over cookies die niet van een Criteo-website komen, maar een derde. Die derde moet een cookiebanner plaatsen en om toestemming vragen. Blijkbaar vindt de rechter dat niet. Is dit dan een precedent dat ook geldt voor alle andere cookies die worden geplaatst? De website-eigenaar is dus niet verantwoordelijk voor een cookiebanner?
Dat de man een rechtzaak moet aanspannen om zijn gelijk te halen, geeft wel aan dat zowel de franse als de nederlandse toezichthouders compleet falen.
Zo'n bedrijf had al lang failliet moeten zijn door dwangsommen en boetes.
Zo'n bedrijf had al lang failliet moeten zijn door dwangsommen en boetes.
Door Anoniem: Alleen gaat het hier over cookies die niet van een Criteo-website komen, maar een derde. Die derde moet een cookiebanner plaatsen en om toestemming vragen. Blijkbaar vindt de rechter dat niet. Is dit dan een precedent dat ook geldt voor alle andere cookies die worden geplaatst? De website-eigenaar is dus niet verantwoordelijk voor een cookiebanner?
Het gaat om een gezamenlijke verantwoordelijkheid. Het is dus niet genoeg om te vertrouwen dat die websites correct om toestemming vragen. Dat moet ook actief worden gecontroleerd.
23-10-2023, 15:46 door
Reinder
Door Anoniem: En wat als ik ook win en 125000 krijg van dat bedrijf?
En als mijn buurman dat krijgt?
Ik denk dat het bedrag nogal hoog is eigenlijk.
Want het is nu nog voor 1 persoon.
Wat nou als het er 100, 1000 of 100000 zijn?
Zelfs als het bedrijf miljarden winst maakt, zullen ze dit alsnog wel gaan voelen.
En als mijn buurman dat krijgt?
Ik denk dat het bedrag nogal hoog is eigenlijk.
Want het is nu nog voor 1 persoon.
Wat nou als het er 100, 1000 of 100000 zijn?
Zelfs als het bedrijf miljarden winst maakt, zullen ze dit alsnog wel gaan voelen.
Volgens mij worden die dwangsommen niet uitgekeerd aan de eiser. Het is een dwangsom, geen schadevergoeding.
Die dwangsom is simpelweg een middel om een bedrijf te dwingen het vonnis na te leven.
Door Anoniem: Alleen gaat het hier over cookies die niet van een Criteo-website komen, maar een derde. Die derde moet een cookiebanner plaatsen en om toestemming vragen. Blijkbaar vindt de rechter dat niet. Is dit dan een precedent dat ook geldt voor alle andere cookies die worden geplaatst? De website-eigenaar is dus niet verantwoordelijk voor een cookiebanner?
Als ik het vonnis https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2023:6530 lees bij punt 2.10, lijkt het er op dat Criteo zich niets aantrekt van het door de gebruiker in een cookie dialoog aangegeven verzoek om geen advertentie-cookies te plaatsen.Door Anoniem:
En als mijn buurman dat krijgt?
Ik denk dat het bedrag nogal hoog is eigenlijk.
Want het is nu nog voor 1 persoon.
Wat nou als het er 100, 1000 of 100000 zijn?
Zelfs als het bedrijf miljarden winst maakt, zullen ze dit alsnog wel gaan voelen.
Door EersteEnigeEchte M.J. - EEEMJ: Alleen vind ik de door de Nederlandse rechter opgelegde dwangsommen erg laag, nu het gaat om een bedrijf dat in Frankrijk kennelijk een boete van 40 miljoen euro kan ophoesten. Dan is een maximum van 125.000 euro als het bedrijf alle vijf in Nederland opgelegde dwangsommen volledig verbeurt, natuurlijk niet echt "dwingend", maar meer een soort signaal.
M.J.
En wat als ik ook win en 125000 krijg van dat bedrijf?M.J.
En als mijn buurman dat krijgt?
Ik denk dat het bedrag nogal hoog is eigenlijk.
Want het is nu nog voor 1 persoon.
Wat nou als het er 100, 1000 of 100000 zijn?
Zelfs als het bedrijf miljarden winst maakt, zullen ze dit alsnog wel gaan voelen.
Als, als... Dat gebeurt niet. Er is maar één rechtszaak aangespannen. Dat weet de rechter ook.
Bovendien is het de bedoeling van dwangsommen dat ze NIET geïnd worden omdat het bedrijf gevolg geeft aan de opdracht van de rechter. De dwangsom is dus bedoeld als stok achter de deur. Dan moet die stok wel groot genoeg zijn.
Als Criteo één of meer opgelegde dwangsom(men) verbeurt, gaan die bedragen overigens wel naar de wederpartij in de rechtszaak, dus in dit geval naar de man die het kort geding aanspande.
23-10-2023, 16:44 door
Reinder
Door Anoniem:
Door Anoniem: Alleen gaat het hier over cookies die niet van een Criteo-website komen, maar een derde. Die derde moet een cookiebanner plaatsen en om toestemming vragen. Blijkbaar vindt de rechter dat niet. Is dit dan een precedent dat ook geldt voor alle andere cookies die worden geplaatst? De website-eigenaar is dus niet verantwoordelijk voor een cookiebanner?
Als ik het vonnis https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2023:6530 lees bij punt 2.10, lijkt het er op dat Criteo zich niets aantrekt van het door de gebruiker in een cookie dialoog aangegeven verzoek om geen advertentie-cookies te plaatsen.Daar lijkt het inderdaad op. In dat geval handelt dat bedrijf willens en wetens tegen de wet en moet dat stoppen. Binnen de EU zouden we eens wat krachtiger op moeten treden in dit soort gevallen. Als een bedrijf een fout maakt dan kan dat gebeuren, maar op het moment dat ze willens en wetens doorgaan met het overtreden van de wet, dan is het een soort criminele organisatie; de hoogste managers en bestuur moeten dan gewoon vervolgd worden. Als een paar van die c-suites achter tralies zitten stoppen andere bedrijven vanzelf. Het is nu allemaal veel te vrijblijvend; een dwangsom hier of daar zet duidelijk geen zoden aan de dijk. Daadwerk veroordeeld krijgen is waarschijnlijk niet eens nodig; een paar beslagleggingen, wat reisverboden, paar daagjes huis van bewaring is voldoende denk ik.
Door Anoniem:
Beperkt. Voor 11.7a Tw zijn de AP en ACM samen bevoegd. Voor de websites waarop Criteo mensen volgt kan de AP als leidende toezichthouder handhaven op overtredingen in een context waar de website-houders en Criteo gezamenlijke verwerkingsverantwoordelijken zijn. Maar als de AP direct op Criteo wil handhaven zou dat in theorie ook kunnen als er bijvoorbeeld spoedeisend belang is, maar dat is meer een uitzondering dan dat je daarop zou moeten rekenen.
Door EersteEnigeEchte M.J. - EEEMJ:
Ook vraag ik me af of de AP voor zichzelf als toezichthouder nog een rol ziet als het gaat om de activiteiten van Criteo in Nederland.
M.J.
Ook vraag ik me af of de AP voor zichzelf als toezichthouder nog een rol ziet als het gaat om de activiteiten van Criteo in Nederland.
M.J.
Beperkt. Voor 11.7a Tw zijn de AP en ACM samen bevoegd. Voor de websites waarop Criteo mensen volgt kan de AP als leidende toezichthouder handhaven op overtredingen in een context waar de website-houders en Criteo gezamenlijke verwerkingsverantwoordelijken zijn. Maar als de AP direct op Criteo wil handhaven zou dat in theorie ook kunnen als er bijvoorbeeld spoedeisend belang is, maar dat is meer een uitzondering dan dat je daarop zou moeten rekenen.
"Beperkt". Een typisch ontwijkend antwoord, dat van de AP zelf afkomstig had kunnen zijn (en wellicht is). Waarom ziet de AP voor zichzelf niet gewoon een rol om "effectief" te handhaven?
Wat is er gebeurd met de PLICHT van de AP om in Nederland een hoog beschermingsniveau te realiseren op het gebied van privacy? Gemakshalve vergeten? Laat een burger zelf maar procederen bij de civiele rechter? Lang niet alle burgers kunnen dat of hebben daar het geld voor (advocaat). Die burgers worden door de AP op deze manier volledig in de steek gelaten.
Internetreclamebureaux hebben helemaal geen verstand van reclame maken. Ze nemen niet enkel de bezoeker in de maling, maar ook de adverteerder.
Door EersteEnigeEchte M.J. - EEEMJ: Inderdaad goed nieuws. De Nederlandse rechter lijkt hier het oordeel van de Franse privacytoezichthouder CNIL te hebben gevolgd.
Alleen vind ik de door de Nederlandse rechter opgelegde dwangsommen erg laag, nu het gaat om een bedrijf dat in Frankrijk kennelijk een boete van 40 miljoen euro kan ophoesten. Dan is een maximum van 125.000 euro als het bedrijf alle vijf in Nederland opgelegde dwangsommen volledig verbeurt, natuurlijk niet echt "dwingend", maar meer een soort signaal.
Ook vraag ik me af of de AP voor zichzelf als toezichthouder nog een rol ziet als het gaat om de activiteiten van Criteo in Nederland.
M.J.
Er staat €25.000, wat de boete gewoon tot een lachertje maakt. Nederlandse straffen zijn gewoon ridicuul.Alleen vind ik de door de Nederlandse rechter opgelegde dwangsommen erg laag, nu het gaat om een bedrijf dat in Frankrijk kennelijk een boete van 40 miljoen euro kan ophoesten. Dan is een maximum van 125.000 euro als het bedrijf alle vijf in Nederland opgelegde dwangsommen volledig verbeurt, natuurlijk niet echt "dwingend", maar meer een soort signaal.
Ook vraag ik me af of de AP voor zichzelf als toezichthouder nog een rol ziet als het gaat om de activiteiten van Criteo in Nederland.
M.J.
Door Anoniem:
"Beperkt". Een typisch ontwijkend antwoord, dat van de AP zelf afkomstig had kunnen zijn (en wellicht is). Waarom ziet de AP voor zichzelf niet gewoon een rol om "effectief" te handhaven?
Anoniem noemde het artikel van de Telecommunicatiewet waar cookies onder vallen. Die wet zelf noemt de toezichthouders: AP is de toezichthouder op artikelen 11.3a en 11.5b en ACM houdt toezicht op de rest. ACM is dus de toezichthouder op artikel 11.7a, de "cookiewet". Maar 11.7a bouwt voort op de AVG en refereert er ook aan. Dan ligt het voor de hand dat ACM een beroep op AP kan doen voor expertise op dat onderwerp.Door Anoniem: Beperkt. Voor 11.7a Tw zijn de AP en ACM samen bevoegd. [...]
"Beperkt". Een typisch ontwijkend antwoord, dat van de AP zelf afkomstig had kunnen zijn (en wellicht is). Waarom ziet de AP voor zichzelf niet gewoon een rol om "effectief" te handhaven?
Dat de verantwoordelijkheid van AP op dit punt beperkt is komt omdat de wet ACM heeft aangewezen als verantwoordelijke. En die wet is niet geschreven door ACM of AP (al kunnen ze wel adviezen uitbrengen erover), wetsvoorstellen worden door de regering of de tweede kamer ingediend, en altijd door de tweede en eerste kamer aangenomen. AP (en ACM ook) kan binnen zijn bevoegdheden beleid uitstippelen over hoe ze het aanpakken, maar als AP taken zou gaan uitvoeren die de wetgever bij ACM heeft gelegd zouden ze zelf de wet overtreden.
Wat is er gebeurd met de PLICHT van de AP om in Nederland een hoog beschermingsniveau te realiseren op het gebied van privacy? Gemakshalve vergeten?
Op dit specifieke punt is die verantwoordelijkheid bij ACM belegd. Waarom zou je AP gaan aanspreken op iets wat ACM moet doen? Vind je dat ze het ieder afzonderlijk moeten aanpakken, langs elkaar heen moeten gaan werken en zo hun capaciteit moeten verspillen? Dat vind je vast niet. Laat een burger zelf maar procederen bij de civiele rechter? Lang niet alle burgers kunnen dat of hebben daar het geld voor (advocaat). Die burgers worden door de AP op deze manier volledig in de steek gelaten.
Nee, laat de burger de klacht indienen bij de toezichthouder die erover gaat, en niet bij een toezichthouder die er niet over gaat.Dat AP veel te weinig oppakt is overigens duidelijk, ook al is net dit punt daar geen voorbeeld van. Ik vind het niet zo duidelijk dat je daar AP zelf de schuld van moet geven. AP moet namelijk ongeveer drie keer zo groot zijn dan het is om het werk aan te kunnen. Het is de regering die ze geld toebedeelt in de rijksbegroting op Prinsjesdag. AP vraagt om meer geld en krijgt het er steeds maar mondjesmaat bij. Wil AP goed gaan functioneren dan moet er een regering komen die AP niet afknijpt maar laat groeien. Dan zou natuurlijk alsnog kunnen blijken dat AP slecht functioneert, want slecht functionerende organisaties komen voor, maar als een organisatie maar een derde van het budget heeft dat nodig is om goed te kunnen functioneren dan weet je zeker dat het alleen al om die reden nu niet lukt en ook niet kan lukken. Dat moet dus eerst verbeteren.
24-10-2023, 10:24 door
EersteEnigeEchte M.J. - EEEMJ
(1) @Anoniem op 23-10-2023 om 22:39 uur. Een dwangsom is iets anders dan een straf. Het gaat om de vraag of de dwangsom effectief is als dwangmiddel. In dit geval hoopt de rechter misschien dat het feit dat er überhaupt een dwangsom wordt opgelegd, een disciplinerende werking zal hebben op Criteo. Of dat zo is, vraag ik me wel af, omdat Criteo kennelijk doorging met het illegaal plaatsen van tracking-cookies na een eerdere boete van 40 miljoen euro door de Franse toezichthouder CNIL.
(2)
Op zichzelf gezien is deze redenering duidelijk. Eigenlijk zeg je dat de Nederlandse wetgever als het gaat om cookies, de verantwoordelijkheid voor toezicht en handhaving via wetgeving (de Telecommunicatiewet) heeft overgeheveld van de AP naar de ACM. Toch valt daar mijns inziens wel iets tegenin te brengen (zie verderop).
Er zijn twee manieren om dit schijnbare probleem te zien voor wat het is: een schijnbaar probleem, gecreëerd door bureaucraten die geen verantwoordelijkheid willen nemen. Ten eerste lijkt het me dat het de bedoeling van de Telecommunicatiewet is om burgers op een specifiek punt te beschermen, namelijk tegen ongewenste tracking-cookies, en niet om een bevoegdheid van de AP af te nemen. Waarom zou een bevoegdheid voor ACM impliceren dat de AP een bevoegdheid verliest? Uiteraard is samenwerking tussen twee bevoegde instanties zeer wenselijk. Dat gebeurt op allerlei gebieden, ook als het om handhaving gaat. Denk bijvoorbeeld aan politiecorpsen en/of inlichtingendiensten die met elkaar samenwerken. Of aan allerlei samenwerkingsverbanden in de jeugdzorg.
De AVG is zelf, als het om grensoverschrijdende privacy-aantastingen gaat, zo geformuleerd dat als de toezichthouder in het ene land niet de leiding wil nemen, dan dus de toezichthouder in het andere land de bevoegdheid heeft om op te treden. Die logica zou ook binnen Nederland moeten gelden, bijvoorbeeld als het gaat om ACM en AP. Dat is de enige manier om de verantwoordelijkheid voor effectieve handhaving niet te verdoezelen en niet tussen de wal en het schip te gooien.
Ten tweede is er het feit dat als de ACM verzuimt op dat punt effectief te handhaven, dan heeft Nederland nog steeds op grond van artikel 8 EVRM de internationaalrechtelijke plicht om in de verdragsstaat Nederland een hoog beschermingsniveau van privacy te realiseren. Als de Nederlandse wetgever beoogd zou hebben om die internationaalrechtelijke plicht te ontduiken door de bevoegdheid tot handhaving te beleggen bij een instantie (de ACM) die daar niet in is geïnteresseeerd en zijn taak (ondanks een veel groter budget dan dat van de AP) verzuimt, dan handelt Nederland willens en wetens in strijd met een internationaal verdrag.
Er geldt (of gold?) een doorgeleidingsplicht voor overheidsinstanties. Als een burger hierover een klacht bij de AP indient, dan zou de AP die burger op zijn minst netjes moeten attenderen dat ACM volgens de AP de bevoegde instantie is. Maar uitgaande van de logica die ik hierboven heb beschreven, zouden zowel de AP als de ACM zichzelf moeten transformeren tot instanties die gericht zijn op het nemen van verantwoordelijkheid en niet langer op het afschuiven van verantwoordelijkheid waardoor burgers van het kastje naar de muur worden gestuurd. Ik besef dat dit bij de AP en ACM een enorme cultuurverandering vereist.
Daar ben ik het mee eens, behalve dat dit punt daar geen voorbeeld van zou zijn. Ook dit punt is daar een voorbeeld van om de door mij eerder genoemde redenen.
Daar ben ik het mee eens. Maar wel met dien verstande dat ik zelf in de praktijk al heb kunnen constateren dat de AP in bepaalde casussen de beperkte middelen waarover zij op dat moment wèl beschikte, helaas ook niet aanwendde voor een betere bescherming van privacy, en zelfs niet voor het zichtbaar maken van een privacy-probleem ("Wij erkennen de aantasting en willen wel handhaven, maar hebben daar niet genoeg middelen voor"), maar juist voor het verdoezelen en afwimpelen van door burgers ingediende klachten. Zelfs als de AP zaken op een presenteerblaadje kreeg aangereikt, deed de AP haar best die zaken onder het vloerkleed te vegen met behulp van oneigenlijke redeneringen. Vervolgens werd dat door disfunctionerende rechters afgedekt, zodat de AP haar handen in onschuld kon wassen.
Vaak gooien verschillende overheidsinstanties in samenwerking met elkaar burgers voor de bus, en laten de verantwoordelijkheid daarvoor in een zwart gat verdwijnen door naar elkaar te verwijzen. Er is een vergaande attitude- en cultuurverandering nodig. Gaat dat gebeuren? Ik weet het niet. Corrupte regimes kunnen het soms eeuwenlang volhouden. Het lijkt of deze problematiek wel op het netvlies staat van een politicus als Pieter Omtzigt (NSC). Maar of die genoeg invloed krijgt, en lang genoeg om dit werkelijk aan te pakken, valt nog te bezien.
Bovendien lijkt Omtzigt zelf het bestaan en de relevantie van bepaalde vormen van corrumpering niet openlijk te willen benoemen. Mogelijk is dat politiek ook verstandig: het expliciet benoemen van bepaalde zaken kan je veel steun kosten van mensen (kiezers, ambtenaren, machtige lobbies) die graag vasthouden aan optimistische illusies, en het kan aan politieke vijanden mogelijkheden geven om je aan te vallen. De vraag is dan wel of Omtzigt althans binnenskamers bereid is die vormen van corrumpering te onderkennen en om strategieën te bedenken om daar paal en perk aan te stellen.
M.J.
(2)
Door Anoniem op 24-10-2023 om 5:46 uur:
Dat de verantwoordelijkheid van AP op dit punt beperkt is komt omdat de wet ACM heeft aangewezen als verantwoordelijke. En die wet is niet geschreven door ACM of AP (al kunnen ze wel adviezen uitbrengen erover), wetsvoorstellen worden door de regering of de tweede kamer ingediend, en altijd door de tweede en eerste kamer aangenomen. AP (en ACM ook) kan binnen zijn bevoegdheden beleid uitstippelen over hoe ze het aanpakken, maar als AP taken zou gaan uitvoeren die de wetgever bij ACM heeft gelegd zouden ze zelf de wet overtreden.
Door Anoniem:
"Beperkt". Een typisch ontwijkend antwoord, dat van de AP zelf afkomstig had kunnen zijn (en wellicht is). Waarom ziet de AP voor zichzelf niet gewoon een rol om "effectief" te handhaven?
Anoniem noemde het artikel van de Telecommunicatiewet waar cookies onder vallen. Die wet zelf noemt de toezichthouders: AP is de toezichthouder op artikelen 11.3a en 11.5b en ACM houdt toezicht op de rest. ACM is dus de toezichthouder op artikel 11.7a, de "cookiewet". Maar 11.7a bouwt voort op de AVG en refereert er ook aan. Dan ligt het voor de hand dat ACM een beroep op AP kan doen voor expertise op dat onderwerp.Door Anoniem: Beperkt. Voor 11.7a Tw zijn de AP en ACM samen bevoegd. [...]
"Beperkt". Een typisch ontwijkend antwoord, dat van de AP zelf afkomstig had kunnen zijn (en wellicht is). Waarom ziet de AP voor zichzelf niet gewoon een rol om "effectief" te handhaven?
Dat de verantwoordelijkheid van AP op dit punt beperkt is komt omdat de wet ACM heeft aangewezen als verantwoordelijke. En die wet is niet geschreven door ACM of AP (al kunnen ze wel adviezen uitbrengen erover), wetsvoorstellen worden door de regering of de tweede kamer ingediend, en altijd door de tweede en eerste kamer aangenomen. AP (en ACM ook) kan binnen zijn bevoegdheden beleid uitstippelen over hoe ze het aanpakken, maar als AP taken zou gaan uitvoeren die de wetgever bij ACM heeft gelegd zouden ze zelf de wet overtreden.
Op zichzelf gezien is deze redenering duidelijk. Eigenlijk zeg je dat de Nederlandse wetgever als het gaat om cookies, de verantwoordelijkheid voor toezicht en handhaving via wetgeving (de Telecommunicatiewet) heeft overgeheveld van de AP naar de ACM. Toch valt daar mijns inziens wel iets tegenin te brengen (zie verderop).
Wat is er gebeurd met de PLICHT van de AP om in Nederland een hoog beschermingsniveau te realiseren op het gebied van privacy? Gemakshalve vergeten?
Op dit specifieke punt is die verantwoordelijkheid bij ACM belegd. Waarom zou je AP gaan aanspreken op iets wat ACM moet doen? Vind je dat ze het ieder afzonderlijk moeten aanpakken, langs elkaar heen moeten gaan werken en zo hun capaciteit moeten verspillen? Dat vind je vast niet.Er zijn twee manieren om dit schijnbare probleem te zien voor wat het is: een schijnbaar probleem, gecreëerd door bureaucraten die geen verantwoordelijkheid willen nemen. Ten eerste lijkt het me dat het de bedoeling van de Telecommunicatiewet is om burgers op een specifiek punt te beschermen, namelijk tegen ongewenste tracking-cookies, en niet om een bevoegdheid van de AP af te nemen. Waarom zou een bevoegdheid voor ACM impliceren dat de AP een bevoegdheid verliest? Uiteraard is samenwerking tussen twee bevoegde instanties zeer wenselijk. Dat gebeurt op allerlei gebieden, ook als het om handhaving gaat. Denk bijvoorbeeld aan politiecorpsen en/of inlichtingendiensten die met elkaar samenwerken. Of aan allerlei samenwerkingsverbanden in de jeugdzorg.
De AVG is zelf, als het om grensoverschrijdende privacy-aantastingen gaat, zo geformuleerd dat als de toezichthouder in het ene land niet de leiding wil nemen, dan dus de toezichthouder in het andere land de bevoegdheid heeft om op te treden. Die logica zou ook binnen Nederland moeten gelden, bijvoorbeeld als het gaat om ACM en AP. Dat is de enige manier om de verantwoordelijkheid voor effectieve handhaving niet te verdoezelen en niet tussen de wal en het schip te gooien.
Ten tweede is er het feit dat als de ACM verzuimt op dat punt effectief te handhaven, dan heeft Nederland nog steeds op grond van artikel 8 EVRM de internationaalrechtelijke plicht om in de verdragsstaat Nederland een hoog beschermingsniveau van privacy te realiseren. Als de Nederlandse wetgever beoogd zou hebben om die internationaalrechtelijke plicht te ontduiken door de bevoegdheid tot handhaving te beleggen bij een instantie (de ACM) die daar niet in is geïnteresseeerd en zijn taak (ondanks een veel groter budget dan dat van de AP) verzuimt, dan handelt Nederland willens en wetens in strijd met een internationaal verdrag.
Laat een burger zelf maar procederen bij de civiele rechter? Lang niet alle burgers kunnen dat of hebben daar het geld voor (advocaat). Die burgers worden door de AP op deze manier volledig in de steek gelaten.
Nee, laat de burger de klacht indienen bij de toezichthouder die erover gaat, en niet bij een toezichthouder die er niet over gaat.Er geldt (of gold?) een doorgeleidingsplicht voor overheidsinstanties. Als een burger hierover een klacht bij de AP indient, dan zou de AP die burger op zijn minst netjes moeten attenderen dat ACM volgens de AP de bevoegde instantie is. Maar uitgaande van de logica die ik hierboven heb beschreven, zouden zowel de AP als de ACM zichzelf moeten transformeren tot instanties die gericht zijn op het nemen van verantwoordelijkheid en niet langer op het afschuiven van verantwoordelijkheid waardoor burgers van het kastje naar de muur worden gestuurd. Ik besef dat dit bij de AP en ACM een enorme cultuurverandering vereist.
Dat AP veel te weinig oppakt is overigens duidelijk, ook al is net dit punt daar geen voorbeeld van. Ik vind het niet zo duidelijk dat je daar AP zelf de schuld van moet geven. AP moet namelijk ongeveer drie keer zo groot zijn dan het is om het werk aan te kunnen. Het is de regering die ze geld toebedeelt in de rijksbegroting op Prinsjesdag. AP vraagt om meer geld en krijgt het er steeds maar mondjesmaat bij. Wil AP goed gaan functioneren dan moet er een regering komen die AP niet afknijpt maar laat groeien.
Daar ben ik het mee eens, behalve dat dit punt daar geen voorbeeld van zou zijn. Ook dit punt is daar een voorbeeld van om de door mij eerder genoemde redenen.
Dan zou natuurlijk alsnog kunnen blijken dat AP slecht functioneert, want slecht functionerende organisaties komen voor, maar als een organisatie maar een derde van het budget heeft dat nodig is om goed te kunnen functioneren dan weet je zeker dat het alleen al om die reden nu niet lukt en ook niet kan lukken. Dat moet dus eerst verbeteren.
Daar ben ik het mee eens. Maar wel met dien verstande dat ik zelf in de praktijk al heb kunnen constateren dat de AP in bepaalde casussen de beperkte middelen waarover zij op dat moment wèl beschikte, helaas ook niet aanwendde voor een betere bescherming van privacy, en zelfs niet voor het zichtbaar maken van een privacy-probleem ("Wij erkennen de aantasting en willen wel handhaven, maar hebben daar niet genoeg middelen voor"), maar juist voor het verdoezelen en afwimpelen van door burgers ingediende klachten. Zelfs als de AP zaken op een presenteerblaadje kreeg aangereikt, deed de AP haar best die zaken onder het vloerkleed te vegen met behulp van oneigenlijke redeneringen. Vervolgens werd dat door disfunctionerende rechters afgedekt, zodat de AP haar handen in onschuld kon wassen.
Vaak gooien verschillende overheidsinstanties in samenwerking met elkaar burgers voor de bus, en laten de verantwoordelijkheid daarvoor in een zwart gat verdwijnen door naar elkaar te verwijzen. Er is een vergaande attitude- en cultuurverandering nodig. Gaat dat gebeuren? Ik weet het niet. Corrupte regimes kunnen het soms eeuwenlang volhouden. Het lijkt of deze problematiek wel op het netvlies staat van een politicus als Pieter Omtzigt (NSC). Maar of die genoeg invloed krijgt, en lang genoeg om dit werkelijk aan te pakken, valt nog te bezien.
Bovendien lijkt Omtzigt zelf het bestaan en de relevantie van bepaalde vormen van corrumpering niet openlijk te willen benoemen. Mogelijk is dat politiek ook verstandig: het expliciet benoemen van bepaalde zaken kan je veel steun kosten van mensen (kiezers, ambtenaren, machtige lobbies) die graag vasthouden aan optimistische illusies, en het kan aan politieke vijanden mogelijkheden geven om je aan te vallen. De vraag is dan wel of Omtzigt althans binnenskamers bereid is die vormen van corrumpering te onderkennen en om strategieën te bedenken om daar paal en perk aan te stellen.
M.J.
Door Anoniem:
Dat AP veel te weinig oppakt is overigens duidelijk, ook al is net dit punt daar geen voorbeeld van. Ik vind het niet zo duidelijk dat je daar AP zelf de schuld van moet geven. AP moet namelijk ongeveer drie keer zo groot zijn dan het is om het werk aan te kunnen. Het is de regering die ze geld toebedeelt in de rijksbegroting op Prinsjesdag. AP vraagt om meer geld en krijgt het er steeds maar mondjesmaat bij. Wil AP goed gaan functioneren dan moet er een regering komen die AP niet afknijpt maar laat groeien. Dan zou natuurlijk alsnog kunnen blijken dat AP slecht functioneert, want slecht functionerende organisaties komen voor, maar als een organisatie maar een derde van het budget heeft dat nodig is om goed te kunnen functioneren dan weet je zeker dat het alleen al om die reden nu niet lukt en ook niet kan lukken. Dat moet dus eerst verbeteren.
Oorspronkelijke anoniem hier. Bedankt voor de uitleg, maar ik ben het er niet geheel mee eens.Dat AP veel te weinig oppakt is overigens duidelijk, ook al is net dit punt daar geen voorbeeld van. Ik vind het niet zo duidelijk dat je daar AP zelf de schuld van moet geven. AP moet namelijk ongeveer drie keer zo groot zijn dan het is om het werk aan te kunnen. Het is de regering die ze geld toebedeelt in de rijksbegroting op Prinsjesdag. AP vraagt om meer geld en krijgt het er steeds maar mondjesmaat bij. Wil AP goed gaan functioneren dan moet er een regering komen die AP niet afknijpt maar laat groeien. Dan zou natuurlijk alsnog kunnen blijken dat AP slecht functioneert, want slecht functionerende organisaties komen voor, maar als een organisatie maar een derde van het budget heeft dat nodig is om goed te kunnen functioneren dan weet je zeker dat het alleen al om die reden nu niet lukt en ook niet kan lukken. Dat moet dus eerst verbeteren.
Ook als de AP geen leidende toezichthouder is zoals bij Criteo het geval is kan de AP handhaven op de websites waar onrechtmatige tracking plaatsvind, of onderzoeken naar dergelijke websites te bundelen en in internationale samenwerking efficiënter op te pakken. Ook kan de AP samen met de ACM handhaven op 11.7a Tw-overtredingen. Maar de AP kan ook handhaven op wat volgens mij glasheldere normen zijn en een voorbeeld stellen bij andere verwerkingsverantwoordelijken.
Dat de AP meer budget nodig heeft bestaat volgens mij geen twijfel over. Maar dat de AP in het verleden meer handhaving heft laten zien met minder dan het huidige budget moet ook niet vergeten worden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
