Al eerder heb ik mijn kritiek geuit op de zogeheten “cookiemuur” zoals door de Nederlandse Publieke Omroep (“NPO”) wordt gehanteerd op bijvoorbeeld www.uitzendinggemist.nl. Over die cookiemuur en de handelwijze van de NPO zijn Kamervragen gesteld en daarop zijn – zoals ik al eerder heb geblogd heel teleurstellende – antwoorden gegeven. Na de uitlatingen van de OPTA over de onwenselijkheid van de cookiemuur, meldt ook het College bescherming persoonsgegevens (“Cbp”) zich nu. Het Cbp reageert hierbij op de beantwoording van de Kamervragen.
Handelwijze NPO
Samengevat komt het er op neer dat de NPO vóórdat toegang kan worden verkregen tot de content van de website met één enkele (algemene) toestemmingsvraag diverse cookies plaatst en uitleest, voor een reeks van verschillende doeleinden. De NPO stelt zich daarbij op het standpunt dat dit noodzakelijk zou zijn voor het uitvoeren van haar mediawettelijke taak. Zoals aangeven in de reeds aangehaalde eerdere blogs, acht ik dit standpunt onjuist.
Analytische cookies
Volgens het Cbp zijn de door de NPO geplaatste analytische cookies, die nodig zouden zijn “voor het optimaal uitoefenen van zijn mediawettelijke taak”, niet aan te merken als “noodzakelijke cookies” in de zin van de cookiewet. Dat betekent dat deze cookies niet binnen de uitzonderingen van de cookiewet vallen, en aldus dat toestemming daarom vereist blijft.
Het Cbp loopt hierbij vooruit op het gezamenlijk rechtsoordeel dat zij met de OPTA voorbereidt t.a.v. het gebruik van analytische cookies. Als tipje van de sluier merkt het Cbp al op dat het uitgangspunt daarbij zal zijn dat analytische cookies in geen geval gebruikt mogen worden om websitegebruikers in kaart te brengen. Deze cookies mogen dus geen tracking cookies zijn.
Vervolgens toetst het Cbp het gebruik van analytische cookies van Google door de NPO aan dit uitgangspunt. De stelling van de NPO dat de cookies die de NPO inzet om websitegebruik in kaart te brengen geen tracking cookies zijn is volgens het Cbp in dat licht (“mogelijk”) te stellig. Er worden immers wel persoonsgegevens verwerkt over de bezoekers van haar websites, via Google. De NPO is daar volgens het Cbp – terecht – ook (gezamenlijk) voor verantwoordelijk, omdat zij Google technisch en functioneel in staat stelt om dergelijke tracking cookies te plaatsen en uit te lezen.
Reclamecookies en sociale media cookies
In de beantwoording van de Kamervragen heeft Kees Verhoeven van D66 aangegeven dat de gegevens die de NPO en Ster verkrijgen via reclamecookies, en de gegevens die verwerkt worden via sociale media cookies, niet herleidbaar zouden zijn tot identificeerbare natuurlijke personen. Het Cbp weerlegt dit standpunt terecht:
“Het is dan ook niet relevant of de NPO en/of de Ster mensen wel of niet bij naam of IP-adres kennen; de unieke identifiers die zij inzetten om mensen (via hun apparaten) te herkennen en te volgen zijn persoonsgegevens, los van eventuele andere identificerende gegevens waarover zij zelf of derde partijen beschikken. Het per 1 januari 2013 in werking getreden rechtsvermoeden bestendigt deze uitleg van de wet die de Artikel 29-werkgroep overigens al sinds 2007 uitdraagt.
Hetzelfde geldt ten aanzien van sociale media cookies.”
Ook geeft het Cbp terecht aan dat er voor de NPO alternatieven beschikbaar zijn in plaats van de cookiemuur, met name t.a.v. sociale media cookies:
“Bovendien is er een eenvoudig alternatief voor de werkwijze van de NPO. Een veelgebruikte publieks- en privacyvriendelijke oplossing is het werken met niet-actieve, “grijze” social media buttons. Pas nadat een bezoeker actief op een dergelijke button heeft geklikt, kan er door het sociale netwerk een cookie worden geplaatst.”
Het Cbp sluit daarbij aan bij de best practice die wij bij ICTRecht ook gebruiken en adviseren – en noemt www.cookierecht.nl zelfs als voorbeeld in de voetnoot.
Cookiemuur
Tenslotte stelt het Cbp dat toestemming, voor het plaatsen en uitlezen van cookies, in vrijheid moet zijn gegeven of geweigerd moet kunnen worden. Dat terwijl de NPO bezoekers als het ware dwingt om in één keer toestemming te geven voor alle soorten cookies, inclusief tracking cookies van derde partijen. Volgens het Cbp is in dat licht geen sprake van in vrijheid gegeven toestemming, met name niet omdat de NPO een publieke dienst verleent die essentieel is voor iedereen in onze samenleving, er geen (digitaal) alternatief beschikbaar is en er aldus feitelijk sprake is van een monopolie positie:
“Uit de antwoorden op de Kamervragen kan worden opgemaakt dat het niet noodzakelijk zou zijn dat bezoekers toestemming moeten kunnen weigeren.
De hoofdreden om de NPO uit algemene middelen te financieren is dat de NPO een publieke dienst verleent die essentieel is voor iedereen in onze samenleving. Er is geen alternatief beschikbaar voor bezoekers die langs digitale weg kennis willen nemen van informatie en uitzendingen van de publieke omroepen. Er kan daarom worden gesteld dat bij de NPO sprake is van een feitelijk situationeel monopolie. Door het afdwingen van toestemming voor tracking cookies betalen bezoekers feitelijk bij elk bezoek met hun persoonsgegevens. Van in vrijheid gegeven, rechtsgeldige toestemming is daarom geen sprake.”
Het Cbp verwijst daarbij in de voetnoot naar een uitspraak uit 1998 van de Registratiekamer inzake de Albert Heijn Bonuskaart: “een aanzienlijke economische dwang zou volgens mij kunnen volstaan om de toestemming tot een niet-vrijwillige te maken (zodat geen sprake is van ‘vrije wilsuiting’ in de zin van artikel 2 sub h van richtlijn 95/46)”.
Kortom, dit betekent dat de NPO geen rechtmatige grondslag heeft voor de verwerking van persoonsgegevens via de betreffende cookies.
…En dus hoop ik dat de NPO eindelijk de cookiemuur vaarwel zegt en op een rechtmatige manier toestemming zal vragen voor het plaatsen en uitlezen van de cookies en de daarmee gepaard gaan verwerking van persoonsgegevens. Mijn gratis advies aan de NPO: pop-upje met duidelijk info over (i) welke cookies (ii) voor welke doeleinden (iii) door welke (categorie van) derde partijen worden geplaatst en/of worden uitgelezen, en – om het helemaal goed te doen in het kader van proportionaliteit en subsidiariteit – om de keuze te geven in bijvoorbeeld drie niveau’s van toestemming: 1. Toestemming voor alleen noodzakelijke cookies; 2. Toestemming voor ook analytische cookies; 3. Toestemming voor ook sociale media cookies en reclame cookies. Zo moeilijk is het toch niet?
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.