“Twee van de drie websites overtreden de nieuwe privacywetgeving”, dat is wat ik vanmorgen meerdere malen op de radio hoorde onderweg naar werk. Het gaat hier om cookies, een techniek waarmee veel websitehouders de mist in gaan. De Consumentenbond heeft 150 websites gecontroleerd op het juist vertonen van de cookiebanner bij het plaatsen van cookies, waarbij dus 69% de Algemene Verordening Gegevensbescherming (AVG) overtrad. Dat het fout gaat, is nu goed duidelijk gemaakt, maar hoe moet het dan wel?
Wat zijn cookies nu eigenlijk?
Cookies zijn kleine bestandjes die met pagina’s van de desbetreffende website worden meegestuurd en door de browser van de websitebezoeker op de harde schijf van zijn computer of ander apparaat worden opgeslagen. Deze cookies kunnen essentieel zijn, bijvoorbeeld om te zorgen dat een winkelmandje werkt, maar ook gebruikt worden om hele klantprofielen op te bouwen, de zogenaamde trackingcookies. Om te voorkomen dat anderen zomaar allerlei persoonsgegevens gaan verzamelen via cookies of andere technieken zoals pixels en JavaScript, zijn er regels vanuit de Europese Unie opgesteld. Deze regels zijn destijds opgenomen in onze Telecommunicatiewet.
Toestemming: de cookiebanner
De Telecommunicatiewet haakte met betrekking tot de uitleg van het begrip ‘toestemming’ aan bij de Wet bescherming persoonsgegevens die onlangs vervangen is door de AVG. Toestemming is noodzakelijk voor cookies die niet door de Telecommunicatiewet zijn uitgezonderd. Voorbeelden van uitgezonderde cookies zijn essentiële en strikt functionele cookies en cookies die gebruikt worden om informatie te krijgen over de kwaliteit en effectiviteit van de geleverde dienst én geen of geringe gevolgen hebben voor de privacy van de websitebezoeker (hele mond vol, maar denk aan privacyvriendelijk ingestelde Google Analytics).
Waarbij eerder door de wetgever is aangegeven dat voldaan werd aan het toestemmingsvereiste wanneer er juist geïnformeerd werd en de websitebezoeker zelf verder surfte, is het nu noodzakelijk dat de websitebezoeker een actieve handeling verricht waarvan je zeker moet kunnen zijn dat hij daarmee toestemming bedoelde te geven. Een banner als:
indien u verder klikt op onze website, gaat u akkoord met het gebruik van cookies die wij of derden plaatsen, waarmee wij of derden bepaalde persoonsgegevens verwerken voor doel A, B en C. Bekijk onze cookieverklaring voor meer informatie volstaat dus niet langer en zal vervangen moeten worden door een echte “Ik ga akkoord” of “Ik ga niet akkoord” knop, of wellicht meer specifiek een toestemmingsknop per categorie cookie, maar dat laatste staat ter discussie. Het toevoegen van ieder geval een akkoord en niet akkoord knop is nodig omdat het doorsurfen, hoewel ook dat een actieve handeling is, wel een impliciete toestemming inhoudt. De websitehouder (de cookieplaatser) moet er echt vanuit kunnen gaan dat het doorsurfen zag op het uitdrukking geven aan de wilsuiting tot het geven van toestemming voor het verwerken van persoonsgegevens die via die cookies verkregen worden.
Sinds de invoering van de AVG moet de toestemming dus echt actief verkregen worden, waarbij ook vooral het documenteren van deze toestemming belangrijk is. De bewijslast voor de vraag of toestemming is verkregen ligt namelijk bij de verwerkingsverantwoordelijke, wat in veel gevallen de websitehouder zal zijn. Naast een knop voor toestemming dient de cookiebanner ook de volgende informatie te bevatten:
– welke partij(en) gebruikmaken van de cookies;
– welke categorieën van cookies geplaatst worden;
– waarvoor de cookies gebruikt worden;
– een link naar de cookieverklaring.
Informatieplicht: de cookieverklaring
Met een goede cookiebanner alleen ben je er nog niet als je wil voldoen aan de AVG. Wanneer persoonsgegevens van de betrokkene worden verzameld (hier de websitebezoeker) zal de verwerkingsverantwoordelijke (de websitehouder) hierover moeten informeren. Dit kan hij het beste doen via een cookieverklaring. Deze cookieverklaring dient makkelijk vindbaar te zijn, bijvoorbeeld via een linkje in de footer, en hiernaast ook in begrijpelijke taal opgesteld te zijn. In deze cookieverklaring informeer je de betrokkene onder meer over:
– de identiteit en contactgegevens van de verwerkingsverantwoordelijke;
– wat cookies (en ander technieken zoals pixels) zijn;
– welke cookies geplaatst worden;
– de bewaartermijnen per cookie;
– het doeleinde van elke cookie;
– de rechten van de betrokkene.
Nieuwe regelgeving op komst: e-privacyverordening
Zoals bij sommigen al bekend is, komt er ‘weer’ nieuwe regelgeving aan met betrekking tot cookies. Het gaat hierbij om de e-privacyverordening die onze huidige regels in de Telecommunicatie zal vervangen. Wij verwachten echter dat dit het komende jaar nog niet het geval zal zijn. Interessant om te vermelden is dat, anders dan in eerdere conceptversies van de verordening, de meest recente versie ruimte laat voor het blokkeren van toegang indien iemand cookies weigert te accepteren:
Access to specific website content may still be made conditional on the consent to the storage of a cookie or similar identifier. (…) In some cases, making access to website content conditional to consent to the use of such cookies may be considered to be disproportionate. This is for example the case for websites providing certain services, such as those provided by public authorities, where the user could be seen as having few or no other options but to use the service, and thus having no real choice as to the usage of cookies. – (8537/18, 4 mei 2018, overweging 20)
Toegang tot content voorwaardelijk verbinden aan toestemming staat duidelijk op gespannen voet met de eis dat toestemming vrijelijk gegeven moet zijn. Een argument van de content eigenaar zou natuurlijk kunnen zijn dat de bezoeker ook een alternatieve website had kunnen bezoeken en daarmee dus in wezen in alle vrijheid akkoord is gegaan. Maar wat zodra er geen alternatieven zonder cookies (meer) beschikbaar zijn?
Zoals het er nu uitziet wordt het straks mogelijk om eenvoudig via browserinstellingen toestemming per categorie cookie op te nemen. Wat hier het voordeel van is, zie ik nog niet zo snel, omdat ik verwacht (en het vanuit commercieel oogpunt logisch vind) dat elke website dan alsnog een cookiebanner zal plaatsen om toch toestemming te verkrijgen voor de categorieën cookies waar de bezoeker via zijn browser geen algemene toestemming voor heeft gegeven. Natuurlijk zal ook de e-privacyverordening (net zoals de Telecommunicatiewet) aanhaken bij de AVG, bijvoorbeeld voor de invulling van het begrip ‘toestemming’.
Website op orde hebben
De AVG heeft veel voeten in de aarde, waaronder op het gebied van cookies. Hoewel de Autoriteit Persoonsgegevens, de toezichthouder met betrekking tot de AVG, niet direct zal overgaan tot het opleggen van boetes bij overtredingen, is er wel de mogelijkheid dat een andere toezichthouder, de Autoriteit Consument en Markt, hier al boetes voor zal geven. Ik raad dan ook zeker aan om de website op het gebied van privacy en dus ook op het gebied van cookies op orde te hebben.
JuriDox blogt elke dinsdag en vrijdag om je op de hoogte te houden van wet- en regelgeving, juridische tips en leuke juridische anekdotes vlak voor het weekend.