De cookiewall of cookiemuur mag niet meer. Iedereen kent ‘m wel: de vervelende, beeldvullende pop-up die de toegang tot websites onmogelijk maakt (voordat deze pop-up ‘weggeklikt’ wordt). Krap een jaar na het van toepassing zijn van de AVG is de Autoriteit Persoonsgegevens (AP) vandaag met het oordeel naar buiten gekomen dat een dwingende pop-up in deze vorm echt niet langer kan en mag. De reden: het op deze manier vragen van toestemming voor de verwerking van persoonsgegevens - die komt kijken bij het gebruik van sommige cookies - voldoet niet aan de vereisten die gesteld worden in de AVG.
Toestemming, hoe moet het dan wel?
Is het verbod op de cookiewall verrassend? Ergens niet. Immers, onder de AVG is toestemming enkel geldig te noemen in het geval de gegeven toestemming aan een aantal vereisten voldoet:
- vrijelijk gegeven (geen druk bij het geven van toestemming of het benadelen wanneer deze niet wordt gegeven);
- ondubbelzinnig (er moet een duidelijke actieve handeling zijn);
- geïnformeerd (waarover dienen mensen geïnformeerd te worden? Lees dit hier);
- specifiek (de toestemming moet gegeven worden voor een specifiek en afgebakend doel).
De AP oordeelt nu dat het gebruik van een cookiewall een vrijelijk gegeven toestemming in de weg staat. Ook als je je niet wil laten volgen middels allerlei ‘tracking- of volg-cookies’ moet je zo’n website ‘gewoon’ kunnen blijven bezoeken. Het ontzeggen van toegang in het geval de bezoeker geen toestemming geeft, is hierbij uit den boze - zo oordeelt Aleid Wolfsen, voorzitter van de AP. De druk die hiermee wordt uitgeoefend om toch akkoord te gaan met het gebruik van de cookies, en het afstaan van de eigen persoonsgegevens, is onrechtmatig.
Of het oordeel van de AP misschien niet wat te streng is, kan over gediscussieerd worden. Het is namelijk een erg strikte interpretatie om te stellen dat alle cookiewalls per definitie in strijd zijn met de AVG. Zo zou je kunnen stellen dat websitebezoekers voldoende alternatieven hebben voor websites met informatie die ruim beschikbaar is. Kun je in dergelijke gevallen nog wel spreken van de hierboven genoemde ‘dwang om persoonsgegevens af te staan’?
Wachten op de ePrivacy Verordening
Met de komst van de AVG zijn de bovenstaande specifieke regels op het gebied van (het vragen van) toestemming van toepassing geworden. Echter, het wachten is nog steeds op de reeds aangekondigde ePrivacy Verordening waar al lichtjaren over gediscussieerd wordt in Europa. In deze verordening kunnen namelijk zomaar nadere regels gesteld gaan worden aan het gebruik van cookies en de manier waarop toestemming gegeven kan worden voor het plaatsen ervan. Het blijft echter de vraag of 2019 het jaar van deze ePrivacy Verordening gaat worden, en er dus nadere invulling wordt gegeven aan deze toch al lastige materie.
Hulp nodig op het gebied van cookies?
Benieuwd of uw website (of app) wel voldoet aan de vereisten voor het vragen van rechtsgeldige toestemming voor - en het verdere gebruik van cookies? Neem dan contact op met de juridische adviseurs van ICTRecht.
