Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) een normuitleg over cookiewalls waarin zij duidelijk maakt dat cookiewalls in strijd zijn met de AVG en daarom niet zijn toegestaan.
Verschillende soorten cookies
Er bestaan verschillende soorten cookies. Er zijn cookies die technisch noodzakelijk zijn om de website goed te laten werken. Deze zogeheten functionele cookies zijn bijvoorbeeld nodig om in te loggen, af te rekenen in een webshop of voor taalkeuzes. Voor deze cookies is geen toestemming vereist. Ook bestaan er analystische cookies. Deze verschaffen inzicht in het functioneren van een website. Zulke cookies mogen geen of maar weinig gevolgen hebben voor de privacy van bezoekers. Anders is er toestemming vereist. Dit is bijvoorbeeld het geval als er gebruik wordt gemaakt van Google Analytics. Wel kan Google Analytics met gebruik van deze handleiding van de AP zo worden ingesteld dat u de privacy van uw bezoekers zo goed mogelijk beschermt. Tot slot zijn er de tracking cookies. Bij tracking cookies gaat het om gegevens over het internetgedrag van gebruikers. Tracking cookies kunnen bijhouden welke websites iemand bezoekt. Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Op basis hiervan kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte advertenties tonen. Met tracking cookies worden doorgaans persoonsgegevens verwerkt. Omdat deze cookies niet noodzakelijk zijn voor de gevraagde dienst en voor het functioneren van de website, is voor het gebruik van tracking cookies toestemming van de websitebezoeker nodig.
Cookiewalls niet toegestaan
Een cookiewall houdt in dat mensen die een website willen bezoeken of app willen gebruiken, de vraag krijgen om cookies te accepteren voordat zij daartoe toegang krijgen. Geven zij geen toestemming, dan krijgen zij geen toegang. Zoals gezegd is voor het plaatsen van tracking cookies toestemming van de bezoeker nodig. Hetzelfde geldt voor andere ‘volgsoftware’ of digitale methodes om surfgedrag te volgen. Dit geldt voor een website, maar ook voor apps of andere diensten. De AVG stelt strenge eisen aan geldige toestemming. Een van de eisen is dat de toestemming vrij moet zijn gegeven. Toestemming wordt geacht niet vrij te zijn gegeven als de bezoeker geen echte of vrije keuze heeft, of het weigeren van de toestemming nadelige gevolgen heeft. Volgens de AP is er bij een cookiewall geen sprake van vrije toestemming. Immers, als toestemming wordt geweigerd, krijg je geen toegang tot de website. De ‘take it or leave it’ is geen echte of vrije keuze en er kan dus niet worden geweigerd zonder nadelige gevolgen. Hierdoor staan mensen volgens de AP onder druk hun persoonsgegevens af en dat is onrechtmatig.
Terecht verbod?
Over de vraag of cookiewalls onder alle omstandigheden ontoelaatbaar zijn valt te twisten. Zo bepaalt de Telecommunicatiewet dat een cookiewall enkel verboden is voor overheidswebsites. Ook in de aankomende ePrivacy Verordening worden cookiewalls naar verwachting niet als zodanig, maar slechts in bepaalde gevallen ontoelaatbaar geacht. Bijvoorbeeld als er geen of weinig andere keuze is dan gebruik te maken van die specifieke website. Bovendien is de uitleg van de AP niet in lijn met de Conclusie van de Advocaat Generaal van het Europese Hof van Justitie in de Planet49 zaak (C-673/17; ECLI:EU:C:2019:246). In deze zaak mocht de toestemming voor het verwerken van persoonsgegevens wel als voorwaarde worden gesteld in ruil voor de toegang tot een dienst (het zonder betaling meedoen met een loterij). Hier valt een vergelijking te trekken met de toestemming bij cookiewalls op websites.
Het is al met al dus nog maar de vraag of het standpunt van de AP op langere termijn stand zal houden. Dit neemt echter niet weg dat we op dit moment te maken hebben met de strikte uitleg van de AP. Dit creëert op zijn minst juridische onzekerheid. De AP heeft al aangegeven dat zij de controle op de juiste naleving zal intensiveren en heeft een aantal specifieke partijen hier al een brief over gestuurd.
Toestemming vragen zonder cookiewall
Hoe kan er dan wel om toestemming worden gevraagd? Bezoekers of gebruikers moeten de mogelijkheid hebben om tracking cookies te weigeren. Dit kan bijvoorbeeld door het gebruik van een informatiebalk of pop-up met een duidelijke keuze tussen ‘ja’ en ‘nee’. Verwijzen naar bijvoorbeeld de algemene voorwaarden of een privacyverklaring is onvoldoende. Hetzelfde geldt als ervan wordt uitgegaan dat toestemming wordt gegeven als wordt doorgegaan met het gebruik van de website nadat een informatiebalk in beeld is verschenen. Ook leveren volgens de AP vooraf aangevinkte selectievakjes voor het accepteren van cookies geen geldige toestemming op. Dit laatste volgt ook uit de Conclusie van de AG in de Planet49 zaak. Belangrijk is verder dat er nog geen tracking cookies (of analytische cookies die gevolgen hebben voor de privacy) worden geplaatst voordat de bezoeker hierover is geïnformeerd en een keuze heeft gemaakt.
Vragen?
Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity