Cookies en toestemming: wie zwijgt stemt niet toe

Recent berichtten Duitse media dat zo’n 90% van de cookiebanners in Duitsland niet voldoet aan de geldende wetgeving. Hoewel ons geen recente Nederlandse cijfers bekend zijn, constateerde de Autoriteit Persoonsgegevens eind 2019 bij een onderzoek naar circa 175 websites dat zij bijna allemaal niet op de juiste wijze toestemming vroegen voor het gebruik van cookies. Reden om stil te staan bij twee veelgemaakte fouten bij de inzet van cookies: zogenaamde ‘pre-ticked checkboxes’ en ‘cookie walls’.

Toestemmingsvereiste bij cookies

Kort gezegd zijn cookies tekstbestandjes die op de computer van een websitebezoeker (kunnen) worden opgeslagen zodra hij een website bezoekt. De informatie in de bestandjes kan bij een later bezoek aan de website worden gebruikt om bijvoorbeeld te achterhalen welke taalinstellingen bij het vorige bezoek zijn gekozen of welke pagina’s de websitebezoeker de vorige keer heeft bekeken.

De nationale regeling omtrent cookies is opgenomen in de Telecommunicatiewet (Tw). Deze regeling geldt naast hetgeen de Algemene verordening gegevensbescherming  (AVG) bepaalt over verwerkingen van persoonsgegevens in het algemeen. De Telecommunicatiewet bepaalt kort gezegd dat het gebruik van cookies enkel is toegestaan nadat de websitegebruiker voorzien is van duidelijke en volledige informatie conform de informatieplichten uit de AVG en nadat hij toestemming (als omschreven in de AVG) heeft verleend voor het gebruik van cookies. Volgens de AVG moet toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig zijn en een actieve handeling betreffen. Voor strikt functionele cookies of cookies die enkel dienen om de effectiviteit van de website te meten, die geen of slechts een geringe impact op de privacy van de websitebezoeker hebben, geldt een uitzondering op deze vereisten.

Pre-ticked checkboxes

Verschillende websites maken gebruik van zogenaamde ‘pre-ticked checkboxes; vooraf aangevinkte ‘keuzevakjes’ waarmee toestemming wordt gegeven voor het gebruik van cookies. Indien een websitebezoeker geen toestemming wenst te geven, moet hij deze ‘checkboxes’ eerst uitvinken.

Met pre-ticked checkboxes wordt niet voldaan aan de vereisten die voor toestemming gelden. Hoewel dit al langere tijd duidelijk was (onder andere door verschillende publicaties van privacytoezichthouders), werd dit in oktober 2019 bevestigd door het Europees Hof van Justitie. In haar arrest in de zaak Verbraucherzentrale tegen Planet49 noemt het Hof drie ‘gebreken’ die kleven aan toestemming middels pre-ticked checkboxes.  Ten eerste stelt het Hof dat veelal niet objectief is vast te stellen dat de toestemming geïnformeerd is verleend, nu niet kan worden uitgesloten dat de gebruiker het vakje over het hoofd heeft gezien of de informatie bij het standaard aangevinkte vakje niet heeft gelezen. Ten tweede wordt volgens het Hof niet voldaan aan het vereiste van een actieve gedraging: immers is het vakje vooraf ingevuld en hoeft dit niet meer ‘actief’ door de websitebezoeker te worden aangeklikt. Ten derde zou ook niet worden voldaan aan het vereiste dat de toestemming ‘ondubbelzinnig’ moet zijn, nu volgens het Hof enkel aan dit vereiste kan worden voldaan wanneer de betrokkene door een actieve gedraging blijkt geeft van zijn toestemming. Het Hof benadrukt daarnaast nog dat de toestemming ook voldoende specifiek moet zijn; de toestemming moet specifiek op de verwerking van de betrokken gegevens gericht zijn. Algemene toestemming voor het plaatsen van cookies, zonder dat daarbij onderscheid wordt gemaakt naar de verschillende cookies of in ieder geval de verschillende doeleinden waarvoor zij worden geplaatst, voldoet dus ook niet.

Het Hof volgt daarmee het standpunt dat al langere tijd werd ingenomen door het Europese samenwerkingsverband van privacytoezichthouders, alsook onze nationale privacytoezichthouder (de Autoriteit Persoonsgegevens).

Cookiewalls

Hoewel het Hof van Justitie in haar arrest geen aandacht besteedt aan toestemming op basis van een ‘cookiewall’, staan wij daar graag nog kort bij stil. In dezelfde publicaties waarin privacytoezichthouders zich uitlieten over de (on)geldigheid van pre-ticked checkboxes, nemen zij namelijk ook stelling tegen toestemming op basis van een cookiewall.

Veelal verschijnt een cookiewall als een soort pop-up, waarmee websitebezoekers worden gevraagd om cookies te accepteren voordat zij een website bezoeken. Geven zij geen toestemming, dan krijgen zij geen toegang tot de website. Hoewel een deel van de voornoemde bezwaren ook bij cookiewalls op zouden kunnen gaan, geldt bij cookiewalls een aanvullend bezwaar: toestemming op basis van een cookiewall wordt geacht niet ‘vrij’ te zijn gegeven. Onder ‘vrij’ wordt  verstaan dat het de betrokkene vrij moet staan om zijn toestemming al dan niet te verlenen, zonder dat dit nadelige gevolgen voor hem heeft. Aangenomen wordt dat het de betrokkene bij een cookiewall niet vrij staat om zijn toestemming niet te verlenen. Immers is die toestemming voorwaardelijk voor het gebruik van de website. Weigert hij toestemming te verlenen, dan heeft dit als (nadelig) gevolg dat hij de website niet kan gebruiken. Ook middels een cookiewall wordt derhalve geen (Tw- en) AVG-conforme toestemming verkregen.

Tips voor geldige cookie-toestemming

Hoe kan dan wel op de juiste manier toestemming voor het gebruik van cookies worden gevraagd? Voorkom allereerst het gebruik van vooraf aangevinkte checkboxes (bij cookies waarvoor blijkens de Tw toestemming moet worden gevraagd). Laat de betrokkene zelf actief kiezen welke cookies er wel en niet gebruikt mogen worden. Zorg er daarbij voor dat de toestemming voldoende specifiek kan worden verleend; de toestemming van de betrokkene moet zien op de specifieke voorgenomen gegevensverwerkingen. Informeer de betrokkene voorafgaand aan de inzet van cookies conform de AVG over het cookiegebruik. Zorg er daarnaast voor dat uw website de betrokkene de mogelijkheid biedt om de cookies eenvoudig weer uit te schakelen, zodanig dat dit even gemakkelijk is als het verlenen van toestemming was. De AVG bepaalt namelijk dat toestemming te allen tijde net zo gemakkelijk weer moet kunnen worden ingetrokken als deze verleend is.

Conclusie

Het mag dan wel wijdverbreide handelswijzen betreffen,  maar toch is het gebruik van pre-ticked checkboxes en cookiewalls niet in overeenstemming met de geldende wetgeving. Het arrest van het Europees Hof van Justitie is een bestendiging van de opvatting van de privacytoezichthouders – en houdt de deur voorlopig open voor nader optreden tegen vooraf aangevinkte toestemmingsverklaringen. Reeds lange tijd verzetten de opvattingen van de privacytoezichthouders zich ook tegen het gebruik van cookiewalls.

De leer blijft vooralsnog dus ongewijzigd. Het blijft onverkort van belang om websites compliant met de toepasselijke wetgeving in te richten, te meer nu de focus van de Autoriteit Persoonsgegevens zich onder meer richt op datahandel, profiling en behavioural advertising – waartoe veel cookies nu juist strekken. Heeft u behoefte aan advies over de inzet van cookies op uw website? Vraagt u zich af aan welke voorwaarden uw cookie statement  moet voldoen? Of heeft u een andere vraag of het gebied van IE-, ICT- of privacyrecht? Neem dan contact op met Ramon Steenbergen of een van onze andere specialisten van de sectie IE, ICT en Privacy