Afkijken, het is iets wat veel mensen vast wel eens gedaan hebben. Een goede indicatie dat mensen hebben afgekeken is te vinden in de resultaten. Als tijdens een toets twee leerlingen dezelfde vraag fout beantwoorden en daarbij ook dezelfde spellingsfout maken, dan weet je dat een van de twee heeft afgekeken. Als we deze wijsheid toepassen op de wondere wereld van de cookie(banner)s dan zien we dat daar ook nog wel eens bij elkaar wordt afgekeken.
De fout waar ik op doel is het vragen om toestemming in de cookiebanner, maar dan ook een tabje hebben met ‘legitimate interest’. Als je op ‘cookies weigeren drukt’ en je ziet het tabje met ‘legitimate interest’ over het hoofd, dan worden al die cookies alsnog geplaatst. Met als reden: je hebt geen bezwaar gemaakt. Dus als je oma binnenkort vraagt of je een koekje bij de thee wil moet je dus ‘nee bedankt’ zeggen en vervolgens snel ‘ik heb er ook bezwaar tegen’. Want anders krijg je een koekje tussen je tanden geduwd op basis van het gerechtvaardigd belang van grootouders om hun kleinkinderen te voorzien van lekkers.
Veel mensen vinden deze banners irritant, ze krijgen het gevoel dat ze om de tuin worden geleid. Mag dit eigenlijk wel? Kort antwoord: nee.
Twee wetten, daar moet je op letten.
Het ‘gerechtvaardigd belang’ kan een geldige grondslag zijn onder de AVG, maar de AVG is niet de enige speler op het privacyveld. Als het gaat om online tracking (zoals, maar niet beperkt tot, cookies) dan speelt de Telecommunicatiewet (‘Tw’, de Nederlandse uitwerking van de ePrivacy richtlijn) ook mee. De Tw is een meer specifieke wet en gaat dus ‘voor’ de AVG. Je kijkt dus eerst naar de Tw en daarna pas naar de AVG. Als iets van de Tw niet mag, dan houdt het op! Als een oma (de AVG) haar kleinkind een koekje aanbiedt, maar de ouders van het kind (de Tw) vinden het niet goed, dan kan het kind fluiten naar het koekje!
Toestemmingsindicatie in de wet telecommunicatie
Cookies mogen dus alleen geplaatst worden als voldaan wordt aan zowel de Tw als ook de AVG. De Tw vereist toestemming voor het gebruik van cookies, tenzij aan een van de uitzonderingen wordt voldaan. Deze blog leent zich niet om heel diep op de uitzonderingen in te gaan, maar het gros van de cookies valt hier niet onder. Het gaat echt alleen om technisch vereiste cookies, strikt functionele cookies en privacyvriendelijke analytische cookies. Marketing cookies vallen hier bijvoorbeeld niet onder.
Als een cookie onder een uitzondering valt, maar wel (in beperkte mate) persoonsgegevens verwerkt, dan is toestemming niet vereist maar is er nog wel een grondslag nodig. Dit kan dan mogelijk gebaseerd worden op een andere grondslag, zoals het gerechtvaardigd belang. Maar voor het gros van de cookies geldt toch echt: toestemming vragen, want de Tw gaat voor.
Een AVG bezwaar is ook niet ondenkbaar
Ook zonder het verbod uit de Tw stuit deze praktijk op juridische bezwaren. Dan doel ik op de belangenafweging uit de AVG. Bij het gebruik van gerechtvaardigd belang als grondslag moet op grond van de AVG namelijk een belangenafweging gemaakt worden. In dit geval tussen het (vaak commercieel) belang van de websitebeheerder en het privacybelang van de websitebezoeker.
Een belangrijke factor bij het afwegen van de belangen is of de verwerking voor de betrokkene te verwachten is. De websitebezoeker opent de cookie-instellingen en ziet dan uitgebreid informatie over de cookies en dat toestemming vereist is. Er staat dan vaak een grote knop met ‘opslaan en doorgaan’ en alle cookies staan netjes uitgevinkt (zoals het hoort). Heel klein staat ergens nog in een klein en iel lettertype ‘legitimate interest’. Een term waar wij juristen wel raad mee weten, maar niet zo duidelijk is als ‘toestemming’ voor een websitebezoeker. De websitebezoeker drukt op de knop om verder te gaan en is dan in de veronderstelling dat er geen cookies worden geplaatst, er is immers geen toestemming verkregen. Zou deze persoon dan kunnen verwachten dat de website alsnog cookies plaatst? Denk daarbij ook eens terug aan het voorbeeld met de oma en haar kleinkind.
Om dit laatste nog wat kracht bij te zetten. Er is geen rangorde wat betreft de grondslagen. Als een websitebeheerder overtuigd is van haar gerechtvaardigd belang, waarom vragen ze dan om toestemming? Nu wordt die toestemmingsvraag alleen gebruikt om de bezwaarmogelijkheid van het gerechtvaardigd belang te verstoppen.
Deze hypothetische discussie is interessant, maar de Tw is helder: voor het gros van de cookies is toestemming vereist en kom je niet weg met het gerechtvaardigd belang. En vergeet ook niet de commerciële afweging, een cookiebanner is het eerste wat websitebezoekers zien als ze een website bezoeken. Het is een uithangbord voor je bedrijf. Als je daar al (bewust of onbewust) fouten maakt op het gebied van privacy, wat zegt dat dan over de omgang met persoonsgegevens binnen het bedrijf?
Meer lezen over dit onderwerp? Lees verder:
