De cookiemuur verleden tijd

Cookies zijn de afgelopen tijd volop in het nieuws geweest. Zo stond op NOS.nl dat honderden websites onrechtmatig cookies plaatsen. De privacytoezichthouder, de Autoriteit Persoonsgegevens (AP), heeft laten weten dat ze een onderzoek zal starten naar de naleving van de cookieregels. Hiermee is niks teveel gezegd. Vorige week heeft de AP bekend gemaakt dat de veelgebruikte cookiemuur niet voldoet aan de Algemene Verordening Gegevensbescherming (AVG) én dat de controle op naleving van de wetgeving zal worden geïntensiveerd.

Een cookiemuur?

Een cookiemuur is een toegangsblokkade tot een website waarbij toestemming wordt gevraagd om cookies te plaatsen. Dit gebeurt meestal in een pop-up. Pas als een bezoeker toestemming geeft voor de plaatsing van cookies wordt de blokkade opgeheven. De cookieregelgeving is neergelegd in de Telecommunicatiewet. Autoriteit Consument & Markt (ACM), toezichthouder op de Telecommunicatiewet, heeft al eerder geoordeeld dat een cookiemuur verboden is voor overheidswebsites. Overheidsdiensten moeten immers voor iedereen beschikbaar zijn. ACM acht het gebruik van een cookiemuur volgens haar beleidsregels geoorloofd voor niet-overheidswebsites. Het is onduidelijk of deze interpretatie door de publicatie van de AP is gewijzigd.

Hoofdregel: toestemming

Voor het gebruik van cookies (en vergelijkbare technologieën) is in beginsel vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming vereist. Deze toestemming is niet vereist indien de cookie strikt noodzakelijk is voor de dienstverlening. Een voorbeeld hiervan is het bijhouden van een bestelling in een winkelmandje. Ook is geen toestemming vereist als de cookie informatie verzamelt over de kwaliteit of effectiviteit van de dienstverlening en deze informatie slechts een kleine inbreuk op de privacy oplevert. Dit kan bijvoorbeeld het geval zijn bij Google Analytics, zolang dit privacyvriendelijk is ingesteld conform deze handleiding.

De toestemming moet zijn gegeven voordat de cookie wordt geplaatst. Daarbij moet de websitebezoeker vooraf duidelijk geïnformeerd zijn. De informatie moet duidelijk zichtbaar zijn en voor de gemiddelde bezoeker begrijpelijk. Dit kan door middel van een cookie notice in duidelijke taal. Een visueel voorbeeld is aan de onderkant van dit artikel toegevoegd. Voor een website gericht op kinderen moet bijvoorbeeld het taalgebruik voor hen begrijpelijk zijn. Het is daarnaast belangrijk om te linken naar het cookiestatement, zowel in de notice als op iedere websitepagina. Wat betreft de heldere informatie is verder van belang dat er wordt uitgelegd welke cookies worden geplaatst bij het geven van toestemming en wat de gevolgen zijn voor de privacy van een bezoeker.

Volgens ACM kan toestemming worden gegeven door het blijven raadplegen van de website. Indien de bezoeker doorklikt naar een andere pagina zou toestemming kunnen worden verondersteld. De toestemming mag echter niet worden verondersteld als de bezoeker enkel door de website scrollt.

AP: verbod op cookiemuur

Een voorbeeld van cookies waarvoor toestemming is vereist is de tracking cookie. Tracking cookies zijn cookies die het (internet)gedrag volgen van de bezoeker en daarmee persoonsgegevens verwerken. De regels voor het verwerken van persoonsgegevens zijn neergelegd in de AVG. De AVG is daarom ook van toepassing op deze cookies. De AP heeft laten weten dat op grond van de AVG een cookiemuur voor tracking cookies altijd onrechtmatig is. De bezoeker kan geen vrije toestemming geven voor het verzamelen van zijn of haar persoonsgegevens omdat de cookies kunnen niet worden geweigerd zonder nadelige gevolgen. Weigering leidt immers tot een toegangsontzegging.

Conclusie

Het nieuwsbericht van de AP is een interessante ontwikkeling op het gebied van cookies. De interpretatie door ACM op de cookiemuur is immers dat de cookiemuur alleen ongeoorloofd is voor overheidswebsites. Op grond van de AVG is de cookiemuur echter altijd ongeoorloofd voor zover persoonsgegevens worden verzameld, aldus de AP.

De vraag is of de AP binnenkort eenzelfde oordeel zal geven over de toestemming via het enkel doorklikken op de website. Is die toestemming voldoende ondubbelzinnig gegeven? De AVG vereist immers dat de bezoeker via een duidelijke, actieve handeling toestemming moet geven. Dit betekent dat het principe ‘wie zwijgt, stemt toe’ onvoldoende is. Valt het doorklikken op de website, zonder op ‘akkoord’ te klikken, hieronder? Ons inziens is dit niet het geval.

Heeft u vragen naar aanleiding van dit artikel, bijvoorbeeld over of uw cookiebeleid voldoet aan de regelgeving? Neem dan vrijblijvend contact op met Samuel Wiegerinck, Floortje Eijdems of één van de andere leden van het IT-recht team.

Een goed voorbeeld van een ‘cookie pop-up’ is die van Sanoma: