Op 7 maart 2019 heeft de Autoriteit Persoonsgegevens bekend gemaakt dat de zogenaamde cookiewalls niet voldoen aan de Algemene Verordening Gegevensbescherming. Dit heeft te maken met de manier waarop toestemming wordt gevraagd en verkregen.

Take it or leave it
Tientallen internetgebruikers klaagden dat ze na het weigeren van tracking cookies geen toegang konden krijgen tot de websites die ze wilden bezoeken, zo lezen we in het nieuwsbericht van de Autoriteit Persoonsgegevens. Als de toegang tot een website geblokkeerd wordt als je geen cookies accepteert spreken we van een cookiewall. De AP heeft nu geconcludeerd dat dit in strijd is met de AVG, omdat er geen sprake is van vrije toestemming.

Voor het verwerken van persoonsgegevens is een wettelijke grondslag nodig. De AVG noemt er zes, waaronder toestemming. Dit wordt gedefinieerd als “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige handeling hem betreffende verwerking van persoonsgegevens aanvaardt”. Volgens de AP is er bij een cookiewall geen sprake van een vrije keuze, omdat het neerkomt op “take it or leave it “: als je de cookies weigert, kom je de website niet op. “Als op een website wordt gevraagd om toestemming voor tracking cookies en bij weigering daarvan toegang tot de website of service niet mogelijk is, staan mensen onder druk hun persoonsgegevens af en dat is onrechtmatig.” aldus Aleid Wolfsen, voorzitter van de AP. Overigens hoef je voor het plaatsen van functionele of niet-privacygevoelige analytische cookies geen toestemming te vragen.

De AP heeft de websites waarover de meeste klachten binnengekomen een brief gestuurd met de uitleg van de juridische normen rond cookiewalls. Uiteraard moeten de bedrijven hun website aanpassen. Dit geldt ook voor bedrijven die geen brief hebben ontvangen. De AP heeft aangekondigd dat ze de controle op bedrijven de komende tijd zullen intensiveren.

AP te streng?
De meningen over de vandaag gepubliceerde normuitleg van de AP lopen uiteen. Bits Of Freedom, de beweging die opkomt voor internetvrijheid, is er blij mee. Privacyjurist Nico van Eijk van het Instituut voor Informatierecht vindt echter dat een cookiemuur niet per se in strijd is met het kunnen maken van een vrije keuze. “Neem media: zolang je nog naar een alternatief kunt waarbij je geen cookies hoeft te accepteren, heb je in principe nog een keuze. Als alle media dit doen, is het een ander verhaal.” zegt hij tegen de NOS. Veel bedrijven werken met tracking cookies om geld te kunnen verdienen aan advertenties op hun website of om gepersonaliseerde advertenties te kunnen laten zien. Als het moeilijker wordt om geld te verdienen met advertenties op websites, wordt het minder (of helemaal niet meer) rendabel om gratis diensten of informatie aan te bieden op internet.

ePrivacy Verordening
Ondertussen wordt er in Brussel ook nog onderhandeld over de ePrivacy Verordening, die de huidige ePrivacy Richtlijn moet gaan vervangen. De richtlijn is in Nederland geïmplementeerd  in de Telecommunicatiewet. De verordening zal rechtstreekse werking krijgen in de EU lidstaten en zorgen voor meer eenheid in wetgeving op het gebied van elektronische communicatie. Het is een lex specialis bij de AVG, wat wil zeggen dat het aanvullende verduidelijking en regels bevat voor persoonsgegevens die voortkomen uit elektronische communicatiediensten. Alle andere persoonsgegevens worden verwerkt volgens de regels in de AVG. De ePrivacy Verordening zal ook regels over cookies bevatten.

Het was de bedoeling dat de ePrivacy Verordening samen met de AVG op 25 mei 2018 in werking zou treden, maar dit is niet gelukt. Hoe de zaken er nu voor staan is nog onzeker. In mei vinden de verkiezingen voor het Europees Parlement plaats. Het Europees Parlement heeft samen met de Raad van de Europese Unie wetgevende macht en kan Europese wetten aannemen, wijzigen of verwerpen. Mocht er voor de verkiezingen geen overeenstemming bereikt zijn over de definitieve tekst van de ePrivacy Verordening, dan worden de onderhandelingen daarna weer opnieuw geopend. Wanneer de ePrivacy Verordening er komt, is dus nog niet duidelijk.

Wat we nu wel zeker weten, is dat cookiewalls onder de AVG niet toegestaan zijn. Maak je gebruik van een cookiewall op je website, dan zal je dus maatregelen moeten treffen.

Bronnen:

Foto:Lisa Fotios from Pexels