null
KennisCookiewalls zijn niet toegestaan op basis van de AVG

Cookiewalls zijn niet toegestaan op basis van de AVG

Laatst bewerkt op 13 maart 2019 4 minuten leestijd Privacyrecht

Veel websites gebruiken cookies of vergelijkbare technieken. Deze cookies zorgen voor het functioneren van de website, maken het mogelijk om analytische gegevens te verzamelen en om het surfgedrag van websitebezoekers te volgen (tracking). Met het plaatsen van deze cookies worden in veel gevallen persoonsgegevens verwerkt. In het meest beperkte geval is dat (een deel van) het IP-adres. In meer omvangrijke gevallen, zoals bij tracking cookies, worden meer persoonsgegevens verwerkt en kan een uitgebreid profiel van een betrokkene worden opgebouwd op basis van het surfgedrag op verschillende websites. Op basis van dit profiel krijgt de websitebezoeker bijvoorbeeld op hem of haar afgestemde reclame te zien. De Autoriteit Persoonsgegevens publiceerde donderdag 7 maart 2019 de uitleg van de juridische normen rondom cookiewalls en stelt dat het gebruik van een cookiewall niet is toegestaan op basis van de Algemene verordening gegevensbescherming (“AVG”) . Een cookiewall – waarschijnlijk bij u bekend – houdt in dat een websitebezoeker de website niet kan bezoeken, tenzij toestemming wordt gegeven voor het plaatsen van alle cookies.

Wettelijk kader voor cookies

Op het plaatsen van cookies is de Telecommunicatiewet (“tw”) van toepassing. Zodra door het plaatsen van cookies persoonsgegevens worden verwerkt is ook de AVG van toepassing. De tw (en het toestemmingsvereiste op basis van de tw) laten wij in deze blog buiten beschouwing.

Op basis van de AVG is voor het verwerken van persoonsgegevens een rechtmatige grondslag nodig. (In onze eerdere blog leest u meer over deze grondslagen.) In sommige gevallen kan het gerechtvaardigd belang als grondslag voor het verwerken van persoonsgegevens dienen, bijvoorbeeld bij puur functionele cookies met een geringe privacy impact. Dit zijn bijvoorbeeld cookies die het mogelijk maken een website op verschillende apparaten te bekijken. Het verwerken van persoonsgegevens door middel van tracking cookies kan volgens de Autoriteit Persoonsgegevens echter alleen op basis van toestemming van de websitebezoeker.

Toestemming en de cookiewall

In een eerdere blog schreef Menno van Koppen over toestemming als verwerkingsgrond. Het komt er op neer dat toestemming (i) vrijelijk, (ii) specifiek, (iii) geïnformeerd en (iv) door middel van een ondubbelzinnige wilsuiting moet zijn gegeven.

De Autoriteit Persoonsgegevens geeft aan dat een cookiewall in strijd is met het bovengenoemde criterium ‘vrijelijk’. Vrijelijk betekent namelijk dat iemand een echte keuze moet hebben om toestemming wel of niet te geven. Toestemming wordt verondersteld niet vrijelijk te zijn gegeven wanneer er sprake is van één van de volgende gevallen.

  • Een machts/gezagsverhouding, bijvoorbeeld in de relatie overheid – burger of in een arbeidsrelatie;
  • Wanneer bepaalde voorwaarden aan de toestemming zijn verbonden (conditionaliteit), bijvoorbeeld het koppelen van de algemene voorwaarden met een toestemming voor het verwerken van persoonsgegevens;
  • In het geval toestemming wordt gevraagd voor meerdere verwerkingsdoeleinden (granulariteit); of
  • Indien de betrokkene nadeel ondervindt bij het niet geven van zijn of haar toestemming.

Het niet geven van toestemming betekent bij een cookiewall dat geen toegang tot de website kan worden verkregen. Wanneer een websitebezoeker dus toestemming geeft, stelt de Autoriteit Persoonsgegevens dat deze niet vrij is gegeven en daarom onrechtmatig is onder de AVG. Er is namelijk geen echte keuze, want geen toestemming, betekent geen toegang. De Autoriteit Persoonsgegevens omschrijft dit ook wel als een ‘take it or leave it’ optie. Er is dus nadeel verbonden aan het niet geven van toestemming en dat is in strijd met het toestemmingsvereiste van de AVG.

Gebruikt u een cookiewall?

Het gebruik van een ‘take it or leave it’-cookiewall voor het verkrijgen van toestemming is volgens de Autoriteit Persoonsgegevens onrechtmatig op basis van de AVG. Volgens haar is het noodzakelijk om de websitebezoeker toegang te geven tot de website zonder dat de websitebezoeker toestemming geeft voor tracking cookies. De Autoriteit Persoonsgegevens geeft aan dat zij de aankomende tijd meer intensief zal controleren op het gebruik van een cookiewall.

Tips

Indien u een cookiewall gebruikt wordt u geadviseerd deze aan te passen en rechtmatig toestemming te verkrijgen. Wij geven u de volgende tips.

  • Voor het plaatsen van functionele cookies die noodzakelijk zijn voor het functioneren van de website, is géén toestemming nodig.
  • Voor het plaatsen van analytische cookies is ook géén toestemming nodig indien deze een geringe privacy impact hebben. Dit betekent dat bij het gebruik van analytische cookies slechts in beperkte mate persoonsgegevens worden verwerkt, bijvoorbeeld voor het tellen van websitebezoekers. Lees hier de handleiding van de Autoriteit Persoonsgegevens over het privacy-vriendelijk instellen van Google-Analytics.
  • Gebruikt u analytische cookies die wel een privacy impact hebben en/of gebruikt u tracking cookies? Zorg dat de websitebezoeker een pop-up te zien krijgt waarin toestemming wordt gevraagd voor het verwerken van persoonsgegevens. Pas wanneer de websitebezoeker toestemming heeft gegeven, mag u persoonsgegevens verwerken en de cookie plaatsen. Dit wel in relatie tot tip nummer iv.
  • De toestemming kan makkelijk gegeven worden door middel van een schuifje of een knop. Standaard moeten deze schuifjes of knoppen op ‘nee’ (toestemming weigeren) staan. Er moet namelijk sprake zijn van een opt-in, waarbij een websitebezoeker een actieve handeling verricht om zijn of haar toestemming te geven.
  • Zorg dat u toestemming vraagt per doeleinde. Dat betekent dat een websitebezoeker in ieder geval apart toestemming moet kunnen geven of weigeren voor trackingcookies en analytische cookies.
  • Documenteer de toestemming die u hebt verkregen. U moet namelijk te alle tijden kunnen aantonen dat u toestemming heeft verkregen.
  • Informeer uw websitebezoekers over het gebruik van alle cookies (functioneel, analytisch en tracking). U moet informeren over welke cookies u gebruikt, welke persoonsgegevens u daarmee verwerkt, wat met deze persoonsgegevens gebeurt en de bewaartermijnen voor deze cookies.

Geeft u de voorkeur aan het gebruik van een ‘muur’ bij bezoek van de website, dan mag dit mits u de websitebezoeker een keuze geeft om analytische cookies met een privacy impact en/of trackingcookies te weigeren, zonder dat hen toegang tot de website wordt ontzegd.

Hebt u verder vragen over de Telecommunicatiewet, AVG of cookies in het algemeen? Ons privacyteam helpt u hier graag bij.

Specialist

Bekijk alle specialisten
Emiel de Joode
Arbeidsrecht
+31 (0)88 234 45 20

Mogelijk interessant voor u

 Bekijk alle artikelen
25 mei 2022
Privacyrecht
De bouw en afbraak van het personeelsdossier: update over de regels rond het personeelsdossier
23 november 2021
Privacyrecht
Woningcorporaties & AVG: wetsvoorstel op komst voor de verwerking van bijzondere- en strafrechtelijke persoonsgegevens
Michael de Groot
22 november 2021
Privacyrecht
Een verwerker buiten de Europees Economische Ruimte? Denk aan de nieuwe Standard Contractual Clauses van de EC!
Emiel de Joode