Digital business

Cookiewalls verbieden te voorbarig?

0

De Engelse privacy-toezichthouder ICO publiceerde in juli 2019 een nieuwe handleiding voor het gebruik van cookies. Hierin stelt ze strengere eisen aan toestemming en informatievoorziening dan voorheen, om zo aan te sluiten bij de nieuwe privacywet. Ze sluit hierbij aan bij een langere rij toezichthouders die zich uitspreken over cookies en tegen de cookiewall. Kan het straks niet meer, of loopt men op de troepen vooruit?

De ICO brengt haar standpunt over cookietoestemming in lijn met de Algemene Verordening Gegevensbescherming (AVG). Eerder dit jaar gaf de Nederlandse Autoriteit Persoonsgegevens al aan dat websites toegankelijk moeten blijven, ook al weigert een bezoeker tracking cookies. Ook de Franse toezichthouder heeft aangekondigd met een standpunt te komen. Begin dit jaar adviseerde de advocaat generaal het Hof van Justitie van de Europese Unie dat vooraf aangevinkte hokjes niet voldoende zijn voor het krijgen van toestemming voor het plaatsen van cookies.

Wat zegt de ICO?

1. Vereisten uit AVG

Toestemming moet voldoen aan de vereisten uit de AVG:

  • Niets doen kan niet leiden tot toestemming. Er moet sprake zijn van een actieve handeling van de webbezoeker.
  • Geen slikken-of-stikken-model. Het moet mogelijk zijn bepaalde cookies te accepteren en bepaalde cookies te weigeren.
  • Privacy by default. De standaardinstelling van een website moet zo zijn dat cookies standaard geweigerd worden, tenzij de bezoeker anders aangeeft.

2. Toestemming voor cookies

Als je onder de e-privacy-wetgeving toestemming moet vragen voor het plaatsen van een cookie, moet je ervan uitgaan dat je ook meteen toestemming moet vragen om de gegevens van die cookie te verwerken.

3. Profilering of retargeting

Daarnaast moet je ook toestemming vragen voor het vérder verwerken van cookiedata, bijvoorbeeld voor profilering of (re)targeting.

4. Cookiewalls

Cookiewalls zijn verboden als ze toegang tot de website in zijn geheel blokkeren. Het is wel mogelijk om bepaalde delen van een site of dienst achter een cookiewall te zetten.

5. Toestemming afhankelijk van instellingen of features

Instellingen- of features-afhankelijke toestemming mag. Als cookies nodig zijn om een bepaalde dienst of functionaliteit mogelijk te maken (denk aan onthouden van taalvoorkeuren), mag je het inschakelen van deze feature ook combineren met het accepteren van de onderliggende cookies.

6. Cookies met voorrang

Soms is het acceptabel om de cookievoorkeuren van de abonnee te laten prevaleren boven die van de individuele gebruiker. Bijvoorbeeld een werkgever die bedrijfsapparatuur op een bepaalde manier instelt.

7. Transparantievereisten

De informatie die wordt gegeven over het plaatsen van cookies moet voldoen aan de transparantievereisten uit de AVG (beknopt, transparant, begrijpelijk, in een gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal opgesteld).

8. Third party cookies bij naam noemen

Bedrijven die op een website third party (reclame) cookies plaatsen moeten bij naam worden genoemd.

9. Cookies waarvoor geen toestemming nodig is

Er wordt specifiek uitgelegd welke cookies onder een milder regime vallen – dus waarvoor geen toestemming vereist is (functionele cookies, load balancing, winkelmandje onthouden en first party analytics bijvoorbeeld).

10. Toestemming is niet voor eeuwig

Toestemming is niet eeuwigdurend. De ICO vindt dat een site-eigenaar na een bepaalde tijd opnieuw toestemming moet vragen aan webbezoekers. Dat vindt overigens ook ‘onze’ AP – die denkt dat een bewaartermijn langer dan een half jaar al snel bovenmatig zal zijn.

Zienswijze ICO in lijn met de AP

De zienswijze van de ICO sluit nu eigenlijk meer aan op de zienswijze van de Nederlandse toezichthouder. Veel van bovenstaande aanbevelingen zijn op Nederlandse sites al gemeengoed. Een aandachtspunt blijft wel dat sommige sites nog altijd cookies plaatsen bij een eerste bezoek. Je ziet wel een banner waarin toestemming wordt gevraagd, maar alle cookies zijn al afgevuurd.

Verbod cookiewall discutabel

De toezichthouders spreken zich uit tegen de cookiewall. Maar misschien lopen ze daarmee te hard van stapel. De zaak van de ‘vooraangevinkte hokjes’, die ik eerder aanhaalde, speelt hier een belangrijke rol. De zaak is aangespannen door de Duitse Consumentenbond tegen Planet49, een loterij-organisator. De zaak ligt bij het Europese Hof van justitie, dat hierover werd geadviseerd door de Advocaat Generaal (AG). Die geeft aan dat  Planet49  veel fout doet, maar de AG vond wel dat het onder omstandigheden mogelijk is toestemming afhankelijk te maken van het afnemen van een dienst of deelname. De uitspraak laat nog even op zich wachten. Maar is wel bepalend voor het verdere verloop van dit dossier.

Het is wachten op een wetgever of rechter

Ik vind dat de toezichthouders op de troepen vooruit lopen. Het is nog helemaal niet gezegd dat een cookiewall geen vrije toestemming inhoudt. Onze wetgever zei eerder dat “een cookiemuur over het algemeen dan ook een rechtmatige manier [is] om aan het toestemmingsvereiste in de cookiebepaling te voldoen” De AVG stelt verder ook geen aanvullende eisen aan toestemming, die een koerswijziging zouden rechtvaardigen.

Bovendien moet een toezichthouder controleren. En als de gecontroleerde het daar niet mee eens is, beslist de rechter. Dat een cookiewall geen vrije keuze is, staat niet onomstotelijk vast. En dus zou de AP moeten wachten op een wetgever die dit verduidelijkt of een rechter die er uitspraak over doet. En daar moeten we dus nog even op wachten.