De regels voor het mogen plaatsen en uitlezen van cookies zijn vastgelegd in Europese en nationale wet- en regelgeving. De regels specifiek voor cookies zijn gebaseerd op de Europese e-privacy richtlijn, die in Nederland is geïmplementeerd in de Telecommunicatiewet (art. 11.7a). De regels omtrent de verwerking van persoonsgegeven – die ook gelden voor het gebruik van cookies indien daarmee persoonsgegevens worden verwerkt – zijn op Europees niveau vastgelegd in de Algemene Verordening Gegevensbescherming (“AVG“). De basis voor de cookiewetgeving in Europa is dus hetzelfde, echter kunnen er nationale verschillen zijn in hoe de specifieke cookiewetgeving is geïmplementeerd. Bovendien zien we verschillen in de uitleg die nationale gerechten en toezichthouders aan de cookiebepalingen geven. Om die verschillen, waar mogelijk, weg te nemen buigen de Europese toezichthouders zich regelmatig ook samen over privacyvraagstukken, waaronder in dit geval over de praktische toepassing van de cookieregels.
Cookie banner en Google Analytics
Op 18 januari 2023 heeft het European Data Protection Board (EDPB), waarin alle toezichthouders van de nationale lidstaten zijn vertegenwoordigd, een conceptrapport gepubliceerd met daarin de voorlopige conclusies van de Cookie Banner Taskforce (“Taskforce”). De Taskforce werd opgericht naar aanleiding van een honderdtal klachten over het ontwerp en de eigenschappen van cookiebanners ingediend door None Of Your Business (noyb), een non-gouvernementele organisatie opgericht door privacy-activist Maximilian Schrems. In het rapport worden praktijken gedeeld die zijn opgemerkt bij cookiebanners en niet in overeenstemming zijn met de privacyregels. Ook heeft er een onderzoek plaatsgevonden naar de privacyvriendelijkheid van Google Analytics, tevens ook weer nadat er over het gebruik daarvan een klacht was ingediend door nyob. We bespreken in deze blog wat u moet weten over het conceptrapport van de Cookie Banner Taskforce en het onderzoek naar Google Analytics.
Inbreukmakende praktijken bij cookiebanners
Op grond van de Europese privacywet- en regelgeving moet een betrokkene geïnformeerd worden over het plaatsen van cookies. Daarnaast moet er toestemming gevraagd worden voor bepaalde cookies. Dit wordt gedaan door middel van een cookiebanner. De Europese autoriteiten hebben ieder een verschillende interpretatie van de relevante wet- en regelgeving. Er zijn aanvullende nationale voorschriften die voortvloeien uit de nationale wetgeving en richtsnoeren van de nationale bevoegde autoriteiten die ook in aanmerking genomen moeten worden. Zo geldt in Nederland bijvoorbeeld dat indien analytische cookies nauwelijks inbreuk maken op de privacy van een websitebezoeker, voor het plaatsen van deze cookies geen toestemming gevraagd hoeft te worden. In andere Europese landen kan dit anders zijn. Het rapport geeft een minimumdrempel om het gebruik van cookies en de daaropvolgende verwerking van de verzamelde gegevens te beoordelen.
Het conceptrapport gaat in op specifieke praktijken met betrekking tot cookiebanners die onder de aandacht van de nationale toezichthouders zijn gebracht. Deze praktijken blijken van invloed te zijn op de geldigheid van de geleverde toestemming.
- Weigerknop
Een grote meerderheid van de Taskforce was van mening dat het ontbreken van opties voor weigeren, afwijzen of niet-toestemming in de eerste laag in de cookiebanner niet in overeenstemming is met de vereisten voor een geldige toestemming.
- Vooraf aangevinkte vakjes
In lijn met de Planet49-uitspraak van het Hof van Justitie van de Europese Unie, bevestigt de Taskforce dat vooraf aangevinkte vakjes niet leiden tot geldige toestemming zoals bedoeld in de AVG en de ePrivacy Verordening. In overweging 32 van de AVG wordt dit ook expliciet genoemd: ‘Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden.’
- Suggestie dat toestemming noodzakelijk is of aansporen tot toestemming
Toestemming is alleen geldig als het duidelijk is voor de gebruiker waarvoor en hoe er toestemming wordt gegeven. De website-eigenaar mag de cookiebanner niet zo ontwerpen dat het lijkt alsof toestemming geven verplicht is of dat er toestemming moet worden gegeven om toegang te krijgen tot de inhoud van de website. Daarnaast mag de gebruiker niet aangespoord worden om toestemming te geven.
- Misleidende kleuren en contrasten knoppen
De Taskforce vindt dat geen misleidende kleuren en contrasten gebruikt mogen worden voor de knoppen voor toestemming en weigering. Dit kan namelijk leiden tot een onbedoelde en derhalve ongeldige toestemming.
- Gerechtvaardigd belang
Door de Taskforce werd opgemerkt dat er bij de verdere verwerking van persoonsgegevens vaker gebruik wordt gemaakt van de rechtsgrondslag ‘gerechtvaardigd belang’, terwijl een dergelijk belang daar niet zou bestaan. Wanneer het op grond van de e-privacy richtlijn (dus in Nederland artikel 11.7a Telecommunicatiewet) verplicht is om toestemming te vragen (en dus geen beroep kan worden gedaan op een uitzondering zoals voor functionele cookies), dan moet daadwerkelijk toestemming worden gevraagd. Er kan dan geen beroep worden gedaan op het gerechtvaardigd belang. Bovendien geldt dat indien geen geldige toestemming is verkregen voor het plaatsen van cookies waar dat wel vereist is, de verdere verwerking van die persoonsgegevens ook niet in lijn kan zijn met de AVG.
- Essentiële cookies
Volgens de Taskforce worden cookies soms aangemerkt als essentiële cookies, terwijl het geen essentiële cookies zijn. Op Europees niveau is het te moeilijk om een lijst op te stellen met welke cookies essentieel zijn en welke niet, omdat de kenmerken van cookies regelmatig veranderen. De Taskforce bevestigt wel dat cookies die worden gebruikt om de cookievoorkeuren van een gebruiker bij te houden als essentieel worden gezien.
- Onvoldoende mogelijkheid om toestemming in te trekken
De Taskforce vindt dat website-eigenaren ook een permanente optie moeten aanbieden aan gebruikers om hun eerder gegeven toestemming in te trekken.
Google Analytics
Een andere update op het gebied van cookies is dat het gebruik van Google Analytics volgens de Autoriteit Persoonsgegevens in de toekomst wellicht niet meer toegestaan is. Verschillende Europese toezichthouders stelden naar aanleiding van, wederom, klachten van nyob een onderzoek in naar Google Analytics. Inmiddels hebben onder andere de Oostenrijkse, Franse en Noorse autoriteiten laten weten dat Google Analytics niet rechtmatig gebruikt kan worden. De Autoriteit Persoonsgegevens meende eerder dat de Google Analytics tool privacyvriendelijk ingesteld kon worden. Inmiddels heeft de Autoriteit Persoonsgegevens echter een onderzoek uitgevoerd naar de privacyvriendelijkheid van Google Analytics. Hoewel dit onderzoek inmiddels is afgerond en de Autoriteit Persoonsgegevens verwachtte in de loop van 2022 te kunnen zeggen of het gebruik van Google Analytics is toegestaan of niet, is die deadline inmiddels ruim en breed verstreken. Niet duidelijk is wanneer hier meer over gecommuniceerd zal worden, maar het is wel verstandig om alvast stil te staan bij het gebruik van Google Analytics binnen uw bedrijf.
Update over cookies
De lijst van bovengenoemde praktijken is niet uitputtend. Naast dat het vragen van toestemming voor het plaatsen van cookies aan de relevante wet- en regelgeving moet voldoen, kijken de lokale autoriteiten ook ieder op hun eigen manier tegen de regels aan. Dit betekent dat er per land andere regels kunnen gelden. Let dus altijd op dat een cookiebanner voldoet aan de regels van het land waarin toestemming wordt gevraagd.
Meer weten over cookiebanners? Neem contact op met een van onze experts.
* Met dank aan Quinten Salari