Cookies, toestemming & de toekomst

Leestijd: 6 minuten

Wanneer een website wordt bezocht is het eerste dat de bezoeker krijgt te zien een vraag, zijnde of er wel of niet akkoord wordt gegaan met het plaatsen van cookies op de telefoon of computer. De ene website stelt deze vraag door middel van een pop-up in het midden van het scherm of een balkje onderaan het scherm, de andere website via een paginavullende mededeling. Een cookie is een klein bestandje dat de website die wordt bezocht plaatst op de computer of telefoon van de bezoeker, dat als doel heeft om de ene bezoeker van de andere bezoeker te onderscheiden en bijvoorbeeld te onthouden wat er in het winkelmandje is gestopt.¹ In een enkel geval krijgt de bezoeker de mogelijkheid om cookies per onderwerp te bekijken en zelf te kiezen welke cookies worden toegestaan. De meest voorkomende cookiemelding is de ‘accepteer’ optie die gepaard gaat met een hyperlink naar een pagina waarop meer informatie is te vinden en waar tracking cookies geweigerd kunnen worden. Er zijn ook websites waar de bezoeker tegen een muur van cookies aanloopt en niet verder kan als deze cookies niet worden geaccepteerd, dit wordt een cookiewall genoemd en hier zal verder op worden ingegaan in paragraaf 2.2. De vormgeving van deze cookiemeldingen staat vrij aan de desbetreffende website. Zo hebben veel websites ervoor gekozen om de accepteerknop groen te maken, of hebben ze de knop om de cookies te weigeren verwerkt in een lang stuk tekst. Volgens Brits onderzoeker Harry Brignull wordt de cookiemelding bewust op een misleidende manier vormgegeven om zo de bezoeker te verleiden alle cookies te accepteren. Harry Brignull heeft hieraan de naam ‘Dark Patterns’ gegeven, een zorgvuldig bedacht systeem om de mens te lokken keuzes te maken die zij niet had willen maken. ²

Cookies zijn in verschillende smaken te vinden, de ene cookie is de andere niet en daarom verschillen de regels ook per cookie. Wat de verschillen tussen de cookies zijn en welke regels met betrekking tot het accepteren van deze cookies gelden worden uiteengezet in de volgende paragrafen. Ten slotte wordt dit blog kort samengevat en voorzien van een conclusie.

Wat zijn cookies en welke smaken zijn er?

Cookies zijn kleine bestandjes met informatie over de bezoeker van een website. Wat voor soort informatie een cookie verzamelt, hangt af van het type cookie. Er zijn drie verschillende soorten cookies. Ten eerste zijn er de functionele cookies, ten tweede zijn er analytische cookies en tot slot een rest categorie, overige cookies.

Functionele cookies zijn cookies met als doel om de website te laten functioneren, en zijn noodzakelijk voor de communicatie en de gevraagde dienst. Voor het verzamelen van functionele cookies is op grond van de Telecommunicatiewet, artikel 11.7a, geen toestemming vereist van de websitebezoeker omdat deze cookies geen inbreuk maken op de privacy van de bezoeker.

Niet-privacygevoelige analytische cookies worden verzameld om de website te verbeteren. Deze analytische cookies mogen volgens artikel 11.7a Telecommunicatiewet geen, tot een zeer kleine inbreuk maken op de privacy van de bezoeker en voor het verzamelen is beperkt toestemming vereist. 

De overige cookies bevatten onder andere tracking cookies. Tracking cookies zijn cookies die de bezoeker van een website digitaal volgen en informatie verzamelen over de bezoeker en zijn of haar activiteiten, zoals het kopen van een product en waar deze bezoeker zich geografisch bevindt. Deze informatie wordt gebruikt om een bezoeker zo gericht mogelijk advertenties te laten zien die passen bij zijn of haar koopgedrag of zoekgedrag. Iedere bezoeker is immers een potentiële klant, wanneer advertenties op de bezoeker worden afgestemd is de kans groter dat een bepaald product of dienst wordt verkocht.³ Voor deze laatste categorie cookies is altijd toestemming vereist omdat er persoonsgegevens van de bezoeker worden verzameld. De vereiste toestemming voor verwerking van persoonsgegevens is geregeld in artikel 6 lid 1 onder a van de Algemene verordening gegevensbescherming (hierna: AVG). 

Toestemming nodig?

In beginsel is toestemming van de bezoeker een vereiste voor het plaatsen van cookies door de website op de computer of telefoon van de websitebezoeker, omdat bij plaatsing van cookies persoonsgegevens worden verzameld. In artikel 6 van de AVG is geregeld dat voor verwerking toestemming dient te worden gegeven door de websitebezoeker. Alleen voor technisch noodzakelijke cookies is toestemming niet vereist, maar de bezoeker moet wel worden geïnformeerd over het plaatsen van deze cookies.

Planet49

Toestemming van de websitebezoeker voor het plaatsen van cookies is meestal noodzakelijk. Hoe de bezoeker de toestemming kan geven ziet er op iedere website anders uit. In 2019 heeft het Europees Hof van Justitie in de zaak Planet49 uitspraak gedaan over de manier waarop toestemming moet worden gegeven.⁴ In deze uitspraak werd allereerst behandeld dat toestemming noodzakelijk is van de bezoeker van de website, wanneer er tracking cookies worden geplaatst en in bepaalde gevallen ook voor analytische cookies. Over de vraag hoe deze toestemming dient te worden gegeven heeft het Europees Hof van Justitie geoordeeld dat er sprake moet zijn van een geïnformeerde bezoeker die vrijwillig toestemming geeft door middel van een actieve handeling.⁵ Onder “vrijwillig” wordt verstaan dat de bezoeker zelf, dus actief, het hokje aanvinkt en daarmee akkoord gaat, er mag dus geen sprake zijn van een vooraf aangevinkt hokje, ook wel een opt-out mogelijkheid genoemd.⁶ Een opt-in mogelijkheid vraagt om een actieve handeling van de bezoeker, toestemming door een ondubbelzinnige wilsuiting. Voor de technische cookies geldt deze regel niet. Daarnaast moet het voor de bezoeker duidelijk zijn hoelang de cookies actief blijven en of derden toegang hebben tot deze cookies, deze plicht is de informatieplicht over de bewaartermijn en is opgenomen in artikel 13 van de AVG.⁷

Een muur van koekjes

Een website waarbij de bezoeker alle cookies moet accepteren om toegang te verkrijgen, maakt gebruik van een cookiewall. Indien de bezoeker niet met alle cookies akkoord gaat kan de website niet worden bezocht, ook niet op een andere manier. Er bestaat veel discussie rondom het dwingende karakter van cookiewalls ten opzichte van de bezoeker.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (hierna: AP) is van mening dat cookiewalls niet zijn toegestaan omdat ze in strijd zouden zijn met de AVG.⁸ Bij een cookiewall krijg je namelijk toegang bij het aanvaarden van alle cookies, maar word je geweigerd wanneer je niet akkoord gaat met alle cookies. Volgens de AP is er bij een cookiewall dan ook sprake van “take it or leave it” waardoor de bezoeker geen vrije keuze kan maken.⁹ De AP heeft het over nadelige gevolgen voor de bezoeker wanneer deze geen toegang kan verkrijgen tot een website waar gebruik wordt gemaakt van een cookiewall, omdat de bezoeker toegang tot de inhoud wordt ontnomen. De AP maakt geen onderscheid tussen websites van bijvoorbeeld de overheid of van commerciële aard, terwijl informatie op een commerciële website vaak ook op andere websites gevonden kan worden. Het is maar de vraag of een cookiewall altijd negatieve gevolgen heeft voor de bezoeker

e-Privacy Verordening

Op Unierechtelijk niveau is de afgelopen jaren aan een e-Privacy Verordening gewerkt en in februari van dit jaar is er in de Europese Raad een akkoord gesloten over het wetsvoorstel e-Privacy Verordening.¹⁰ Deze e-Privacy Verordening zal een “Lex Specialis” van de AVG worden, wat betekent dat de e-Privacy Verordening bij strijd met de AVG voor zal gaan. In Nederland zal de huidige Telecommunicatiewet uiteindelijk vervangen worden door deze nieuwe verordening. Wat betreft de Cookiewall wordt er in dit voorstel gesproken over een verbod, maar niet in zijn geheel. Een cookiewall in de vorm van een soort ‘betaalmuur’ of indien er een alternatief wordt geboden aan de websitebezoeker waarbij geen toestemming vereist is, lijkt te worden toegestaan.¹¹

Conclusie

De kleine pakketjes met informatie, genaamd cookies, zijn dus niet zo onschuldig als de naam doet denken. Het verzamelen van informatie over bezoekers van een website is van groot belang om een website goed te laten functioneren, maar ook voor de eigenaar van de website om geld mee te kunnen verdienen. Om de privacy van de websitebezoeker te beschermen zijn dan ook regels omtrent het plaatsen van cookies aangescherpt. Met de uitspraak in de zaak Planet49 is over de manier waarop een website cookies hoort te vermelden en op welke manier daadwerkelijk sprake is van toestemming van de bezoeker uitspraak gedaan, namelijk door een opt-in mogelijkheid. Of het hebben van een cookiewall op een website is toegestaan zijn de meningen verdeeld, maar met de komst van de e-Privacy Verordening lijkt de deur toch op een kiertje te staan. 

Tot slot

Heeft u vragen over cookies? Voor gratis advies kunt u altijd contact met ons opnemen via het vragenformulier op de website!

Bronvermelding

Literatuur

B.W. Kernighan, Understanding the digital world, Princeton, New Jersey: Princeton University Press 2017.

Council of the EU, Confidentiality of electronic communications: Council agrees its position on ePrivacy rules, februari 2021.

H.Brignull, ‘Dark Patterns: inside the interfaces designed to trick you’, theverge.com, 29 augustus 2013.

Jurisprudentie

EHvJ 1 oktober 2019, ECLI:EU:C:2019:801 (Planet49)

1. Kernighan 2017, p. 191.
2. H.Brignull, ‘Dark Patterns: inside the interfaces designed to trick you’, theverge.com, 29 augustus 2013.
3. Kernighan 2017, p.193.
4. EHvJ 1 oktober 2019, ECLI:EU:C:2019:801 (Planet49).
5. EHvJ 1 oktober 2019, ECLI:EU:C:2019:801 (Planet49), r.o. 61.
6. EHvJ 1 oktober 2019, ECLI:EU:C:2019:801 (Planet49), r.o. 65.
7. EHvJ 1 oktober 2019, ECLI:EU:C:2019:801 (Planet49), r.o. 81.
8. ‘Cookies’, Autoriteitpersoonsgegevens.nl
9. ‘Cookies’, Autoriteitpersoonsgegevens.nl
10. Council of the EU, Confidentiality of electronic communications: Council agrees its position on ePrivacy rules, februari 2021.
11. Council of the EU, Confidentiality of electronic communications: Council agrees its position on ePrivacy rules, februari 2021, overweging 20.