Print:

(e)Privacy Update #1 – Cookieregels

Vonne Laan , Advocaat privacyrecht

LinkedIn profiel

Hoe verkrijg je rechtsgeldige toestemming voor het plaatsen van cookies?

Nog altijd bestaat er veel discussie over toestemming rondom cookies. Vanuit privacy perspectief wil men graag aan de relevante privacy- en cookieregels voldoen, maar vanuit marketing perspectief wil men een website ook zo makkelijk mogelijk toegankelijk maken. Met name het moeten wegklikken van een cookiebanner of pop-up is marketeers een doorn in het oog. Kan dat niet anders? Staat doorklikken of verder surfen op de website gelijk aan toestemming voor het plaatsen van cookies? Of mag het accorderen van cookies worden bevorderd door gebruik te maken van een cookiewall? Daar is nu duidelijkheid over gekomen. Op 4 mei jl. hebben de Europese privacytoezichthouders, zoals verenigd in de European Data Protection Board (EDPB), aanvullende guidance over toestemming bij cookies gepubliceerd. Het betreft een update van een eerdere opinie over toestemming (guidelines van 10 april 2018; WP259 rev.01).

Vonne Laan | IIR

Vonne Laan, privacy advocaat en partner bij The Data Lawyers plaatst de recente update van de EDPB in het bredere kader rondom toestemming voor gebruik van cookies. De vraag die centraal staat is: hoe verkrijg je rechtsgeldige toestemming voor het plaatsen van cookies?

Dit is de eerste blog in de reeks “(e)Privacy Updates”, een serie blogs met inhoudelijke duiding en beschouwing van actualiteiten en ontwikkelingen rondom privacy, dataprotectie en gegevensverwerking.

 

Vereiste toestemming

Op grond van de ePrivacyrichtlijn (2002/58/EC, gewijzigd door richtlijn 2009/136/EC), zoals voor Nederland hoofdzakelijk geïmplementeerd in de Telecommunicatiewet (Tw), is voor het gebruik van cookies en vergelijkbare technieken in principe toestemming vereist. Alleen voor zogeheten functionele cookies en niet-privacygevoelige analytische cookies is geen toestemming vereist.

Wanneer voor cookies toestemming is vereist, moet deze toestemming voldoen aan de vereisten uit de Algemene Verordening Gegevensbescherming (AVG). Dit betekent dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn gegeven. Wat houdt dat precies in?

Vrij

“Vrije toestemming” houdt onder meer in dat de toestemming niet conditioneel mag zijn. Een websitebezoeker mag ook geen nadeel ondervinden van het weigeren van toestemming. De EDPB heeft in dat kader nu duidelijk gemaakt dat cookiewalls om die reden niet voldoen. Bij cookiewalls wordt de toegang tot een website ontzegd wanneer geen toestemming wordt verstrekt voor het gebruik van cookies. Het is een “take it or leave it” aanbod en leidt daarom niet tot een vrije keuze. Toestemming die op die manier wordt verkregen is niet rechtsgeldig. Voor Nederland is dat overigens geen verassing. De Autoriteit Persoonsgegevens had al op 7 maart 2019 een normuitleg over cookiewalls van dezelfde strekking gepubliceerd.

Specifiek

Het vereiste dat een toestemmingsverzoek specifiek moet zijn, houdt onder meer in dat niet in een alles-of-niets-vorm om toestemming mag worden gevraagd. Het is vaste lijn van de EDPB dat toestemming granulair dient te worden verkregen: toestemming moet in principe per verwerkingsdoeleinde worden gevraagd. Bijvoorbeeld per type cookies die voor hetzelfde doel worden gebruikt. Daarbij dient de voor de toestemming vereiste informatie duidelijk te worden gescheiden van informatie over andere zaken.

Geïnformeerd

Bij het verkrijgen van toestemming moet over een aantal zaken worden geïnformeerd. Waarover moet worden geïnformeerd, hangt af van of alleen de Tw van toepassing is of ook de AVG. Het hangt daarmee af van de vraag of het cookies betreft waarmee persoonsgegevens worden verwerkt. Wanneer is dat het geval? Gezien de ruime definiëring van het begrip persoonsgegevens (zie o.a. HvJ EU 19 oktober 2016, C‑582/14, Breyer), zal daar in algemene zin al snel sprake van zijn. De privacytoezichthouders houden zich op dit punt met betrekking tot cookies echter wat op de vlakte.

Op de website van de Autoriteit Persoonsgegevens wordt de vraag vakkundig omzeild. Er staat alleen voor tracking cookies en analytische cookies expliciet vermeld dat daarmee persoonsgegevens worden verwerkt. Ook de EDPB (toen nog Artikel 29-Werkgroep) heeft zich in een opinie niet aan deze kwestie willen branden. Daarin is te lezen: “[…] storing information or gaining the information already stored on users’ devices by way of cookies can entail the processing of personal data, in this case data protection rules clearly apply […]” (WP208; onderstreping toegevoegd). Het tweede deel van die zin maakt duidelijkheid dat de privacyregels wel degelijk dienen te worden toegepast.

Bij het gebruik van cookies dient daarom ook altijd aan de toestemmings- en informatievereisten uit de AVG te worden voldaan. De vereiste informatie kan worden opgenomen in een Cookie Policy, Privacy Statement of ander document met nadere informatie hierover. Voor het verkrijgen van rechtsgeldige toestemming moet bepaalde informatie echter ook direct worden vermeld bij het toestemmingsverzoek zelf. Welke informatie is dat?

De AP geeft op haar website de volgende lijst weer in het kader van het rechtsgeldig toestemming verkrijgen voor het gebruik van tracking cookies:

  • de soorten persoonsgegevens die via de cookies worden verzameld en verwerkt;
  • de doeleinden van de gegevensverwerking;
  • de categorieën bedrijven waaraan de gegevens worden verstrekt;
  • de bewaartermijn;
  • zo veel nadere informatie als nodig is om uw bezoekers een eerlijk beeld te geven van de gegevensverwerking.

Dat is een opmerkelijke lijst aangezien deze bepaald niet gelijk is aan de lijst van de EDPB uit de meest recente guidance over toestemming (niet specifiek met betrekking tot cookies overigens). De lijst van de EDPB luidt namelijk als volgt:

  • de identiteit van de verwerkingsverantwoordelijke;
  • het doel van elk van de verwerkingen waarvoor toestemming wordt gevraagd;
  • welk(e) (soort) gegevens worden verzameld en gebruikt;
  • het bestaan van het recht om toestemming in te trekken;
  • informatie over het gebruik van de gegevens voor geautomatiseerde besluitvorming in de zin van de AVG indien van toepassing; en
  • over de risico’s die dergelijke doorgiften bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen, zoals beschreven in de AVG.

Opvallend is dat de categorieën ontvangers (“bedrijven waaraan de gegevens worden verstrekt”) en de bewaartermijn niet terug komen in de lijst van de EDPB. Onder meer de identiteit van de verwerkingsverantwoordelijke, het recht om toestemming in te trekken en informatie over doorgifte staan juist weer niet in de lijst van de AP maar wel in de algemene lijst van de EDPB.

En dan zijn we er nog niet. De Autoriteit Consument & Markt (ACM) heeft eerder een lijst gepubliceerd over minimuminformatie die moet worden verstrekt bij het vragen van toestemming voor cookies. Deze lijst is opgenomen in het document met antwoorden op veelgestelde vragen over de cookiebepaling (versie november 2016). De status van dit document is overigens niet geheel duidelijk: op de webpagina van de ACM over de regels omtrent cookies wordt niet langer rechtstreeks naar dit stuk verwezen. Aangezien de ACM toezicht houdt op het juiste gebruik van cookies (evenals de AP voor zover daarbij persoonsgegevens worden verwerkt). En het document nog steeds gepubliceerd staat op de website van de ACM, wordt ook de lijst van de ACM hier nu meegenomen:

  • de naam van de website;
  • het doel waarvoor cookies worden gebruikt (denk aan tracking, advertenties tonen, verbeteren website, etc.);
  • categorieën van cookies die door of via de website worden geplaatst (analytisch, tracking, functioneel);
  • het gebruik van andere technieken (Javascript/Web beacons);
  • aangeven met welke actie de gebruiker toestemming geeft (akkoord/ja/verder klikken op de website);
  • een link naar het cookie- en/of privacy statement;
  • de eventuele impact die de cookies kunnen hebben op de privacy van de gebruiker.

Hoe in praktijk om te gaan met dit landschap aan minimuminformatievereisten voor toestemming? Vanuit compliance perspectief kan uiteraard het best zoveel mogelijk aan het uiteenlopende wensenpakket van de toezichthouders tegemoet worden gekomen. Daarbij kan de informatie in de cookiemelding dan zo beperkt mogelijk worden gehouden, en zoveel mogelijk voor aanvullende informatie worden verwezen naar de Cookie Policy, het Privacy Statement, etc. In praktijk zien we echter dat veel partijen zelf een beperktere selectie maken van informatie die ze in de cookiemelding opnemen. Afhankelijk van het soort cookies dat het betreft kan hier een risk-based afweging worden gemaakt.

Ondubbelzinnig

Toestemming dient ondubbelzinnig te worden verkregen. Dit vereist een actieve handeling. In het kader van cookies zijn daarbij diverse scenario’s denkbaar. Duidelijk compliant is om te werken met een knop waarop moet worden geklikt met “ja ik geef toestemming voor deze cookies”. Eind vorig jaar bleek verder uit de Planet49-uitspraak dat het gebruik van vooraf aangevinkte hokjes dan juist weer niet volstaat (HvJ EU 1 oktober 2019, C‑673/17). Maar wat als een informatietekst wordt opgenomen waarin staat dat het verder klikken of surfen op de website geldt als toestemming geven voor het plaatsen van bepaalde cookies? Een eerdere opinie van de Europese privacytoezichthouders liet daarover ruimte voor interpretatie. Daarin stond: “If the user enters the website where he/she has been shown information on the use of cookies, and does not initiate an active behaviour, […] but rather just stays on the entry page without any further active behaviour, it is difficult to argue that consent has been given unambiguously.

Op de landingspagina blijven hangen kwalificeert waarschijnlijk dus niet als toestemming. Maar kan daaruit a contrario worden opgemaakt dat verder klikken/surfen juist wel geldige toestemming kan opleveren? Voor Nederland kon dat eerder inderdaad worden aangenomen, op grond van de antwoorden van de ACM op de veelgestelde vragen over cookies. De ACM geeft daarin eerst aan dat voor toestemming de vereisten uit de toenmalige Wet bescherming persoonsgegevens (Wbp) gelden. Vervolgens wordt gesteld dat het voor impliciete toestemming kan volstaan: “wanneer de internetgebruiker doorsurft op de website, nadat hij duidelijk en volledig is geïnformeerd over welke cookies er op de website gebruikt worden én dat hij bij doorsurfen tevens toestemming geeft voor het plaatsen en/of uitlezen daarvan.” Dit leidt de ACM af uit de Memorie van Toelichting bij de wetswijziging van 11 maart 2015 van de Telecommunicatiewet. Dat is lastig te rijmen met het vereiste van ondubbelzinnigheid uit de AVG (toen nog de Privacyrichtlijn zoals geïmplementeerd in de Wbp).

In de meest recente opinie van de EDPB over toestemming is een nieuw voorbeeld ingevoegd wat hieraan raakt. Daarin staat: “[…] actions such as scrolling or swiping through a webpage or similar user activity will not under any circumstances satisfy the requirement of a clear and affirmative action”. Dit citaat gaat strikt gesproken niet over het verder klikken of surfen op een website, maar over het verder scrollen of swipen op een webpagina binnen een website. Uit de rationale van de EDPB kan echter wel worden opgemaakt dat ook het verder klikken of surfen op een website geen ondubbelzinnige toestemming zal kunnen opleveren. In de eerste plaats is het verder klikken of surfen op de website voor het geven van toestemming lastig te onderscheiden van het verder klikken of surfen op de website om een andere reden. In de tweede plaats zal het ook lastig als niet onmogelijk zijn om de websitebezoeker van een even gemakkelijke manier te voorzien voor het intrekken van de toestemming (nog een ander vereiste in het kader van de toestemming).

Reden voor actie?

De regels omtrent toestemming voor cookies zijn door de EDPB nu iets aangescherpt cq. verduidelijkt. Maar in hoeverre dient daar juist nu actie op te worden ondernomen? De ePrivacyverordening staat voorlopig nog steeds in de planning. De oorspronkelijk daarin opgenomen mogelijkheid van toestemming via de browsersettings was weer geschrapt tijdens de behandeling door de Groep telecommunicatie en informatiemaatschappij (een voorbereidende instantie voor de Raad van de EU). Toch is het laatste woord daarover waarschijnlijk nog niet gesproken.

Daarbij zijn het momenteel bijzondere tijden. Zo heeft de Information Commissioner’s Office (ICO) in het Verenigd Koninkrijk op 7 mei jl. aangegeven haar onderzoek naar de Adtech industrie voorlopig te pauzeren. Dit lag in lijn met een eerder statement van de ICO van 15 april jl. waarin zij aangaf naar aanleiding van het coronavirus haar prioriteiten te verleggen. Zij gaf daarbij onder meer het volgende aan: “In deciding whether to take formal regulatory action, including issuing fines, we will take into account whether the organisation’s difficulties result from the crisis, and if it has plans to put things right at the end of the crisis.” In Hongarije lijkt men zelfs nog verder te gaan door een tijdelijke opschorting te introduceren van de rechten van betrokkenen zoals neergelegd in artikelen 15-22 van de AVG.

Toch is het in Nederland raadzaam om de cookie compliance op de prioriteitenlijst te zetten/houden. De AP zit in deze tijd niet stil waar het kwesties betreft die niet gerelateerd zij aan het coronavirus. Denk aan de recente boete voor een bedrijf dat vingerafdrukken van werknemers onrechtmatig verwerkte, en het onderzoek dat is gestart naar TikTok. Ook heeft de AP in haar normuitleg over cookiewalls van 7 maart 2019 aangekondigd dat zij de komende tijd zou gaan inventariseren of de regels hieromtrent op juiste wijze worden toegepast. Verder vormt behavioral advertising één van de focusgebieden van de AP voor 2020-2023. Voor cookies die in dat kader worden gebruikt kan de toestemming daarom maar beter als eerst in orde worden gebracht.

Vonne Laan is advocaat privacyrecht bij The Data Lawyers en spreker op het Actualiteitenseminar ePrivacy & Marketing. Zij is samen met haar kantoorgenoot Eliëtte Vaal gastschrijver van de reeks “(e)Privacy Updates”. Meer actuele informatie en nieuwe edities van de reeks “(e)Privacy Updates” vindt u in de kennisbank.

Meer informatie over ePrivacy Verordening & Marketing?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.