Cookiewalls. U kent ze ongetwijfeld. Voordat u toegang tot een website krijgt, verschijnt er een pop-up of banner in beeld met de vraag of u akkoord gaat met het plaatsen van cookies. Meestal zult u uit gemak op akkoord klikken, waarna u toegang tot de website verkrijgt. Als u niet akkoord gaat, krijgt u echter geen toegang tot de website.
Maar is een cookiewall wel toegestaan op grond van de Algemene Verordening Gegevensbescherming (‘AVG’)? En hoe zit het met de ePrivacy Verordening (‘ePV’)?
Norm-uitleg
Op 7 maart 2019 heeft de Autoriteit Persoonsgegevens (‘AP’) zich op het standpunt gesteld dat het gebruik van cookiewalls voor het plaatsen van tracking cookies in strijd is met de AVG. Volgens de AP moeten websites namelijk toegankelijk blijven, ook na het weigeren van cookies. Bij het gebruik van een cookiewall berust de gegeven toestemming niet op een vrije keuze. De bezoeker heeft immers geen andere keuze dan het accepteren van cookies als hij de website wil bezoeken. Dit heeft volgens de AP tot gevolg dat websitebezoekers onder druk persoonsgegevens afstaan.
De AP wijst erop dat websites hun praktijk waar nodig aan zullen moeten passen op de norm-uitleg van de AP. De AP zal de komende tijd intensiever gaan controleren of websites deze norm op de juiste wijze toepassen.
Maar wat zijn tracking cookies nu eigenlijk en is de norm-uitleg van de AP daadwerkelijk een verduidelijking?
Tracking cookies
Cookiewalls vragen doorgaans toestemming voor het plaatsen van ‘volgsoftware’, zoals tracking cookies. Deze tracking cookies kunnen het surfgedrag van websitebezoekers langere tijd over meerdere websites volgen. Hierdoor wordt inzicht verkregen in de persoonlijke interesses van de bezoeker. Op basis van deze informatie kunnen er uiteindelijk profielen van bezoekers worden opgesteld en gepersonaliseerde advertenties worden getoond.
Door middel van tracking cookies kunnen kortom persoonsgegevens worden verwerkt. En voor de verwerking van persoonsgegevens is een rechtsgeldige grondslag vereist. Uit de Telecommunicatiewet (de huidige “cookiewetgeving”) volgt dat het plaatsen van tracking cookies slechts is toegestaan nadat voorafgaande toestemming van de websitebezoeker is verkregen. Toestemming is kortom de enige mogelijke grondslag voor de verwerking van persoonsgegevens door middel van tracking cookies. Het begrip ‘toestemming’ is op zijn beurt weer gedefinieerd in de AVG.
Vrije toestemming
De AVG definieert toestemming als: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.’’
Maar wanneer is er sprake van vrije toestemming? Volgens Artikel 29-werkgroep is de toestemming vrij als de websitebezoeker zijn toestemming zonder enige vorm van dwang heeft kunnen uiten. De vraag is dus of er door het gebruik van cookiewalls sprake is van enige vorm van ‘dwang’.
Daarnaast volgt uit de AVG dat toestemming niet ‘vrij’ is als de bezoeker zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen. Maar wanneer is er sprake van ‘nadelige gevolgen’? Volgens de Artikel 29-werkgroep is daarvan sprake als de websitebezoeker wordt misleid, geïntimideerd of gedwongen. Het is onduidelijk of het gebruik van een cookiewall gekwalificeerd kan worden als misleiding, intimidatie of dwang.
Hof van Justitie van de Europese Unie
Onlangs is er een conclusie verschenen van Advocaat-Generaal Szpunar over het geven van vrijelijke toestemming (in de zaak Planet49 C-673/17). Szpunar is van oordeel dat er geen sprake is van rechtsgeldige toestemming voor het plaatsen van cookies als de websitebezoeker een vooraf aangevinkt selectievakje moet uitvinken (opt-out).
Ook is toestemming niet rechtsgeldig verkregen als de toestemming niet afzonderlijk maar slechts gelijktijdig met een andere handeling kan worden gegeven, zoals een deelnamebevestiging aan een loterij. In andere woorden: er moet een aparte optie worden gegeven om deelname te kunnen bevestigen en een aparte optie om toestemming voor cookies te kunnen geven.
Het is uiteraard nog niet zeker of het Hof van Justitie de standpunten van de Advocaat-Generaal volgt, maar uit het voorgaande kan wel worden afgeleid dat er voorwaarden verbonden zijn aan het verkrijgen van ‘vrije’ toestemming. En wanneer toestemming niet ‘vrij’ is gegeven, is de verkregen toestemming niet rechtsgeldig.
De ePrivacyverordening
Hiervoor is al toegelicht dat de AP van oordeel is dat uit de AVG een cookiewallverbod volgt. De vraag is echter hoelang deze norm-uitleg van de AP nog stand zal houden. Er ligt namelijk een voorstel voor een ePrivacy Verordening (‘ePV’) op tafel. Het is de bedoeling dat de ePV de huidige ePrivacyrichtlijn (en daarmee ook de Telecommunicatiewet) zal gaan vervangen. De cookiebepaling in de ePV zal als specifieke regel (lex specialis) voorrang krijgen op de AVG (lex generalis).
Stand van zaken
Op 10 januari 2017 heeft de Europese Commissie een voorstel gedaan voor de tekst van de e-Privacy Verordening. Het Europees Parlement heeft op 26 oktober 2017 een geamendeerde versie van dit voorstel aangenomen. Nu moet de Raad van Ministers van de EU nog tot overeenstemming over de tekst komen (het laatste voorstel van de Raad van 22 februari 2019 vind u hier). Pas nadat de Raad een definitief standpunt heeft ingenomen, zal de triloog (onderhandelingen) tussen de Commissie, het Parlement en de Raad van start gaan. Het is nog onduidelijk hoelang dit zal duren. Laat staan wanneer de wetsvoorstel zal worden aangenomen.
Verbod op cookiewalls?
In het voorstel van de Commissie is geen specifieke of expliciete bepaling omtrent cookiewalls opgenomen. Hier is echter veel kritiek op gekomen. Zo was onder andere de Artikel 29-werkgroep voorstander van een expliciet verbod voor cookiewalls. Naar aanleiding daarvan is er in de geamendeerde versie door het Europees Parlement een absoluut verbod op cookiewalls toegevoegd.
De Raad is op haar beurt echter weer van oordeel dat het gebruik van cookiewalls ‘normaal gesproken’ niet disproportioneel is. De Raad vindt dat cookiewalls zijn toegestaan in situaties waarin gebruikers een keuze hebben tussen een website met een cookiewall en een alternatieve website waarbij geen toestemming hoeft te worden gegeven voor het plaatsen van cookies.
Het is kortom afwachten hoe de definitieve tekstversie van de ePV zal gaan luiden. Tot die tijd doen organisaties er verstandig aan om de norm-uitleg van de AP te volgen wanneer zij geen risico willen lopen.