CBP pakt bedrijf aan om plaatsen volgbestandjes

Adverteerder zou wet schenden met plaatsen vantracking cookies.

Advertentiebedrijf YD Display Advertising schendt de privacywetgeving door het surf- en klikgedrag van websitebezoekers zonder hun toestemming te volgen en vast te leggen. Dat blijkt uit onderzoek dat het College Bescherming Persoonsgegevens (CBP) vandaag publiceert. Als YD hier niet mee stopt zal het CBP uiteindelijk een boete van mogelijke enkele honderdduizenden euro’s opleggen.

Het is de eerste keer dat een advertentiebedrijf door de privacywaakhond is onderzocht vanwege het plaatsen van zogenoemde tracking cookies. YD is een bedrijf dat bemiddelt tussen websites en adverteerders bij het plaatsen van advertenties. YD belooft adverteerders dat het specifieke doelgroepen op internet – bijvoorbeeld kapitaalkrachtige mannen boven de vijftig die geïnteresseerd zijn in luxe producten – gepersonaliseerde advertenties kan voorschotelen. Daarvoor heeft YD van miljoenen Nederlandse en Europese internetgebruikers profielen opgesteld over hun surf- en klikgedrag. Het bedrijf noemt zichzelf de Europese marktleider op dit gebied.

YD verzamelt de gedragsgegevens door via duizenden websites, die daarvoor betaald krijgen, tracking cookies op computers en smartphones van bezoekers achter te laten. Uit recent onderzoek is gebleken dat bijna eenderde van alle Nederlandse websites dit soort ‘volgbestandjes’ plaatst.

De Wet bescherming persoonsgegevens bepaalt dat sitebezoekers eerst uitgebreid geïnformeerd moeten worden over de persoonlijke informatie die deze tekstbestandjes verzamelen. Bezoekers moeten toestemming geven als ze inderdaad gevolgd willen worden. „In de praktijk worden de tracking cookies van YD al geplaatst wanneer de sites worden geladen. Dus voordat iemand ook maar ergens toestemming voor heeft gegeven”, zegt Wilbert Tomesen, vicevoorzitter van het CBP.

Volgens de privacywaakhond zijn de gegevens die YD verzamelt herleidbaar tot individuen, doordat YD onder meer het ip-adres van websitebezoekers opslaat. Dat is het unieke adres van hun computer of smartphone op het internet. Ook laten sitebezoekers allerlei persoonlijke informatie achter als ze iets kopen via een van de advertenties die hun worden voorgeschoteld, bijvoorbeeld naam en adres. Zo kan hun identiteit aan het surfgedrag worden gekoppeld dat via de cookies is verzameld.

Omdat YD zelf tracking cookies plaatst en ook andere advertentienetwerken in staat stelt om via websites waar YD zaken mee doet dergelijke volgbestandjes achter te laten, „worden de gebruikers en hun surfgedrag bij een groot aantal partijen bekend”, zo staat in het CBP-rapport.

Het CBP hoopt dat door het onderzoek naar dit specifieke bedrijf ook andere advertentiebedrijven stoppen met het ongevraagd plaatsen van tracking cookies. Dit kan flinke gevolgen hebben voor het verdienmodel van advertentiebedrijven en commerciële websites. Veel sites trekken massa’s bezoekers door content, bijvoorbeeld nieuwsberichten, gratis aan te bieden. De bezoekers ‘betalen’ met hun surf- en klikgedrag dat wordt verzameld via de tracking cookies die via die websites op hun computer worden geplaatst.

De advertentiebranche stelt dat het CBP verder gaat dan de Nederlandse wet voorschrijft. Het CBP ontkent dat. „De eis van toestemming kan inderdaad financiële gevolgen hebben voor bedrijven, maar het gaat hier om een principiële kwestie. Ook minister Kamp (Economische Zaken, VVD) heeft bij de aanpassing van de telecomwet onlangs weer herhaald dat ongevraagd tracking cookies plaatsen verboden is. De werkwijze van YD en veel andere internetbedrijven is simpelweg in strijd met de wet”, aldus Tomesen van het CBP.