Tracking cookies en andere vormen van tracking liggen onder het vergrootglas. Deze week nog, omdat Sjoera Nas ontdekte dat de NRC lezers van haar nieuwsbrieven volgde via tracking pixels, zonder dat hiervoor toestemming gevraagd werd. Op 18 oktober deed de Rechtbank Amsterdam een uitspraak met mogelijk verstrekkende gevolgen. Gedaagde in dit geding was Criteo, een wereldwijd technologiebedrijf in de media- en entertainmentbranche, met hoofdkantoor in Parijs en genoteerd aan de Amerikaanse beurs Nasdaq. Het bedrijf houdt zich onder andere bezig met real time advertentie-veilingen, een sector die weinig mensen kennen. Het is een obscure "markt" met een beperkt aantal bedrijven van ruim 14 miljard dollar waarin advertentieruimte specifiek aan jou (op basis van het profiel dat een bedrijf van jou en honderden miljoenen andere mensen heeft) real time wordt geveild terwijl je een website bezoekt. Een markt waarin het dus cruciaal is om jouw gedrag op websites te volgen. Platforms als Google, Twitter en Facebook zijn vanwege hun afhankelijkheid van reclame-inkomsten grote spelers in deze markt. De Rechtbank legt in de uitspraak goed uit hoe dit werkt:
Criteo plaatst, via websites van derden, zogeheten tracking cookies (waaronder in ieder geval de zogenaamde "uid" cookie) op computers en/of andere mobiele apparaten. Tracking cookies bevatten een uniek ID, een willekeurige lijst van karakters, die wordt toegewezen aan de browser van een bepaalde websitebezoeker. Bij iedere website die een link heeft met Criteo en die met die browser wordt bezocht, wordt dezelfde tracking cookie uitgelezen. Doel is om surfgedrag, interesses en/of andere gegevens van internetgebruikers te verzamelen en te analyseren voor commerciële doeleinden. Criteo gebruikt de tracking cookies voor ‘targeted advertising’, het afstemmen van advertenties op individuele gebruikers. Dat gebeurt door het opstellen van gebruikersprofielen en het herkennen van gebruikers als zij het internet bezoeken. Binnen een fractie van een seconde wordt dankzij het Real Time Bidding (RTB)-Systeem een internetgebruiker herkend en een op de betreffende gebruiker afgestemde advertentie getoond. Tracking cookies spelen daarbij een essentiële rol.
De uitspraak is vernietigend voor Criteo. De Rechtbank bepaalt onder andere:
De voorzieningenrechter gebiedt Criteo het onrechtmatig handelen per ommegaande te (doen) staken en gestaakt te (doen) houden door niet langer, al dan niet via third-party websites, tracking cookies op de computer en/of apparaten van [eiser] te (doen) plaatsen alvorens [eiser] rechtsgeldige toestemming heeft gegeven voor het plaatsen van deze tracking cookies, op straffe van een dwangsom van € 250,00 per dag of dagdeel danwel - naar keuze van [eiser] - per overtreding, tot een maximum van € 25.000,00.
De Autoriteit Persoonsgegevens houdt toezicht op verwerking van persoonsgegevens, ook door tracking. Ze beschrijven ook de juridische eisen aan het gebruik van tracking cookies. Recent kreeg de Autoriteit Persoonsgegevens nog extra middelen voor aanvullend toezicht. Vlak daarvoor werd al uitgebreid geschreven over de juridische grondslagen voor het gebruik van cookies en de onwenselijkheid van tracking cookies bij overheidswebsites:
Los van de wettelijke eisen, vinden wij het van belang dat burgers websites van de overheid onbespied door derde partijen kunnen bezoeken. Wij vinden het daarom wenselijk dat er geen third-party cookies of andere tracking gebruikt wordt op overheidswebsites, ongeacht het verkrijgen van toestemming. Maar dat ook breder geen informatie door derde partijen verkregen kan worden die herleidbaar is tot een persoon bij het bezoeken van een overheidswebsite. Wij zullen daarom in kaart brengen waar third-party cookies en scripts gebruikt worden, en welke. Op basis daarvan willen we onderzoeken of we deze kunnen vervangen door (open source) alternatieven, die door de overheid zelf gehost worden, waardoor die informatie niet naar derden gaat.
Dit onderzoek is gestart, zowel naar huidig gebruik van tracking door de overheid als naar de mogelijke alternatieven. In verkiezingstijd is het ook interessant om te weten of de websites van politieke partijen het mogelijk maken om ons te volgen. Ik wende mij daarom tot Floor Terra, die ook het onderzoek deed dat de basis vormde voor de uitspraak van de Rechtbank Amsterdam. Ik vroeg hem of iets soortgelijks mogelijk zou zijn voor de websites van politieke partijen. Dat bleek het geval en hij was bereid dat te onderzoeken en mij de ruwe gegevens te geven. De conclusies in deze blog zijn daarmee geheel voor mijn rekening.
In de meting op 23 oktober 2023, bijna twee weken nadat de AP de politieke partijen gewaarschuwd had, werden de publieke websites bezocht van alle partijen die meedoen aan de verkiezingen op 22 november 2023. Daarbij werd vastgelegd welke cookies worden geplaatst. Van al deze cookies selecteerde ik die cookies van tracking partijen waarvan in ieder geval zeker is dat ze leiden tot tracking. Waar dat niet zeker is, tel ik ze niet mee. Daarom telde ik de cookies mee van prfct.co, adnxs.com, facebook.com, google.com (inclusief youtube.com), twitter.com (X), doubleclick.net en myfonts.net.
Zeventien partijen die meedoen aan de verkiezingen plaatsen één of meer tracking cookies van deze partijen. Het gaat om 50 Plus, BBB, BVNL, CDA, Christenunie, D66, De Groenen, FvD, Ja21, Lef, NL PlAN, Nieuw Sociaal Contract, Samen voor Nederland, SGP, SP, Splinter Politiek en de Libertaire Partij. Google is daarvan de meest populaire; twaalf partijen maken gebruik van Google en/of Youtube. Doubleclick is tweede met vijf partijen. 50Plus, BBB en FvD voeren de lijst aan. Zij maken elk gebruik van drie van de tracking partijen. De Groenen, Ja 21, NL PLAN, Nieuw Sociaal Contract, SGP en de Libertaire Partij gebruiken er elk twee. De overige gebruiken één tracking partij.
De conclusie is duidelijk. Zeventien partijen dragen bij aan profilering en online tracking. In de eerder genoemde (derde) brief van de AP aan politieke partijen gaf de AP aan dat dit zelfs met toestemming wat hen betreft niet mag.
De AP is van oordeel dat er in het kader van verkiezingscampagnes geen, direct of indirect, gebruik kan worden gemaakt van trackingsoftware zoals tracking cookies en tracking pixels.
De real time bidding markt kan door tracking de politieke interesse van mensen in een profiel opnemen en deze gevoelige gegevens verkopen. Bijvoorbeeld om gericht te adverteren. Of dit gebeurt is niet zeker, maar wel waarschijnlijk. Deze advertentiemarkt is zo weinig transparant en zo ontoegankelijk voor onderzoek dat echte zekerheid niet is te geven. IPSOS beschreef eerder waarom politieke voorkeuren belangrijk zijn in marketing. De kans dat gerichte reclame ontstaat, bijvoorbeeld door politieke partijen zelf, is reëel.
Bij het plaatsen van tracking cookies door politieke partijen is Google veruit de favoriet. Twaalf politieke partijen laten digitaal aan Google weten dat een bezoeker hun website bezoekt. Van de drie partijen die elk drie trackingpartijen cookies laten plaatsen is BBB de enige die de bezoekgegevens niet aan Google doorgeeft.
Dit onderzoek richtte zich op websites, maar politieke partijen sturen ook digitale nieuwsbrieven. Ook daarin kun je mensen tracken, zoals de krant uit het begin van deze blog. Mijn oproep aan politieke partijen is: check of je dat doet. Want ook dat valt eenvoudig te onderzoeken.
Tot slot
Naar aanleiding van deze blog schreef Floor Terra zelf een blog over wat je moet doen als je als website eigenaar wil stoppen met het zonder toestemming plaatsen van tracking cookies.
Of je het nu bewust hebt gedaan of niet, als websitehouder ben je gezamenlijk verwerkingsverantwoordelijke voor het verzamelen en verstrekken van de persoonsgegevens aan de tracking partijen die op de website staan. Het verwijderen van de tracking pixel, like-buttons, of andere functionaliteit om het lekken te stoppen is niet genoeg. Persoonsgegevens die onrechtmatig verzameld zijn moeten ook worden verwijderd.
Dat verwijderen is niet gemakkelijk, maar de blog geeft daarvoor wel een handig stappenplan, inclusief voorbeeldbericht aan de partij wiens cookie geplaatst is.