In Italië zijn ze helemaal gek van cantuccini en Duitsland is meer van de lebkuchen. Nederland staat bekend om haar stroopwafels en de van origine Oostenrijkse lekkernij, speculaas, dat eten we door heel Europa graag. Wij Europeanen zijn dus best wel fan van 'cookies'. Althans, als het om eetbare cookies gaat! Cookies die gebruikt worden om ons te volgen op het internet, dat schiet bij ons al gauw in het verkeerde keelgat. Daarom zijn er op Europees niveau regels die het gebruik van cookies in goede banen moeten leiden.
Als het gaat om het online geven van toestemming gaat het vaak over cookies. Dat is dan ook de meest voorkomende toestemmingsvraag die je op het internet zal tegenkomen. Het correct vragen om toestemming voor cookies lijkt heel makkelijk, toch hebben veel bedrijven het (al dan niet willens en wetens) nog niet helemaal in de vingers. Het is ook best lastig, helemaal als je als bedrijf ook nog in meerdere landen actief bent. De belangrijkste regelgevende instrumenten als het om cookies gaat, zijn van toepassing in de hele Europese Unie (EU), toch zijn er nog wel wat verschillen tussen de lidstaten. De twee regelgevende instrumenten waar het om gaat zijn de Algemene verordening gegevensbescherming (AVG) en de e-Privacyrichtlijn.
Deze blog leent zich niet voor een uitgebreide uiteenzetting van alle regels die in de verschillende landen gelden. Dat zou eerder een blogreeks moeten worden van 27 blogs (plus een bonus blog over het Verenigd Koninkrijk). En dan hebben we het nog niet eens over de regels in landen buiten de EU. Brazilië en Zuid-Afrika kunnen er namelijk ook wat van! In deze blog zijn daarom enkel wat belangrijke punten uit de verschillende EU-lidstaten aangestipt.
Toestemming moet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig zijn. De toestemming moet ook een actieve handeling zijn. Bedrijven moeten websitebezoekers dus informeren over welke cookies ze gebruiken en waarvoor ze die cookies gebruiken. Verder mag de toestemming ook niet gedwongen zijn. Stel dat een universiteit bij het afnemen van online tentamens (onnodig) tracking cookies wil plaatsen en hier toestemming voor vraagt. Als de studenten het examen niet mogen maken als ze geen toestemming geven voor het gebruik van cookies, dan kan er dus geen geldige toestemming verkregen worden door de universiteit.
Het wordt minder, maar ze zijn er nog steeds: cookiebanners met een tekst als “Door gebruik te maken van onze website ga je akkoord met cookies.” Het idee achter dit soort cookiebanners wordt ook wel stilzwijgende toestemming genoemd. Hierbij wordt uitgegaan van het principe: je gebruikt mijn website, als je geen cookies wil, dan had je hier maar niet moeten komen. In een groot deel van de EU, waaronder Nederland, is dit niet voldoende om van vrijelijk gegeven actieve toestemming te spreken. Landen waar dit (onder voorwaarden) nog wel mag, zijn bijvoorbeeld Tsjechië, Italië en Slovenië. In Tsjechië geldt de stelregel: als de gebruiker zijn of haar browser niet instelt op het automatisch weigeren van cookies, dan kan dit gezien worden als toestemming. In Italië is er alleen sprake van geldige stilzwijgende toestemming wanneer het totaal van de handeling van de gebruiker duidt op een patroon dat gezien kan worden als een ondubbelzinnige actieve handeling. Simpelweg scrollen of de privacyverklaring aanklikken is geen stilzwijgende toestemming. Mogelijk zou een bepaald patroon van muisbewegingen in combinatie met bepaalde keuzes op de website, na het lezen van de privacy- en cookieverklaring, gezien kunnen worden als geldige toestemming. Deze vorm van toestemming is nog niet helemaal uitgekristalliseerd. Een ander Europees land dat een vorm van stilzwijgende toestemming kent, is Slovenië. Stilzwijgende toestemming is daar toegestaan, maar enkel voor analytische cookies die privacyvriendelijk zijn ingesteld.
Analytische cookies vallen niet onder de uitzonderingsregel voor functionele cookies. In principe moet er dan dus toestemming voor gevraagd worden. Niet ieder land vindt toestemming in het geval van analytische cookies nodig. Nederland, Italië en Frankrijk bijvoorbeeld, vinden het prima als je analytische cookies inzet zonder toestemming, mits deze privacyvriendelijk zijn ingesteld. Duitsland en Spanje zijn het daar mee eens, maar voegen nog wel een extra voorwaarde toe. De analytische cookies mogen in dat geval alleen first-party cookies zijn. Third-party analytische cookies, zoals Google Analytics, zijn zonder toestemming in die landen niet toegestaan. Voor Slovenië geldt, zoals eerder al genoemd, dat stilzwijgende toestemming gebruikt kan worden. In veel andere landen, zoals Griekenland, Litouwen en Denemarken, is altijd toestemming vereist voor analytische cookies.
Toestemming of wegwezen! Een cookie pop-up die de content blokkeert tot je toestemming geeft om cookies te plaatsen is niet toegestaan. Dit is een van de weinige cookie gerelateerde zaken waar vrijwel alle EU-lidstaten het over eens zijn (of nog niets over gezegd hebben). In Oostenrijk geldt wel een uitzondering voor nieuwsaanbieders. Het is voor nieuwsaanbieders toegestaan om een cookie wall in te stellen als er ook een optie wordt toegevoegd om een abonnement te nemen of te betalen voor een los artikel. Dit is een uitzondering die in wel meer landen besproken wordt en is dus iets om in de gaten te houden!
Bij sommige cookiebanners zie je door de bomen het bos niet meer. Je moet je door een heuse jungle van aan/uit-schuifjes, afvink-hokjes en andere mechanieken heen worstelen om aan te geven dat je toch echt geen cookies wil. Maar hoe zit dat juridisch? De informatie moet in ieder geval duidelijk zijn en waarschijnlijk gaat het op dat punt al mis, vaak wordt het alleen maar onduidelijker naarmate je meer door moet klikken. Verder moet er ook sprake zijn van granulaire toestemming. Dat betekent dat er niet in één keer toestemming gevraagd mag worden voor alle soorten cookies, het moeten meerdere vakjes of schuifjes zijn.
Een ander belangrijk punt dat naar voren kwam in de Planet49-zaak van het Hof van Justitie van de Europese Unie, is het verbod op vooraf aangevinkte hokjes. Betrokkenen een handje helpen door vast alle cookies standaard op ‘akkoord’ te zetten, mag dus niet. Het gaat dan mis op het onderdeel ‘actieve handeling’.
Sommige landen kennen ook specifieke vormvereisten. Zo geldt in Griekenland dat de knop voor het afwijzen en voor het accepteren dezelfde kleur moeten zijn en dat het afwijzen en accepteren in net zoveel muisklikken moet kunnen gebeuren. Dus “accepteren” heel groot op de banner zetten en “afwijzen” pas laten zien nadat je vier keer door hebt geklikt, mag niet.
Kortom, de regels omtrent cookies in Europa lijken op elkaar en zijn in veel gevallen gelijk. Toch zijn er wel verschillen. Dit komt mede door de uitleg die de lidstaten en toezichthouders aan de regelgeving geven. Hierdoor kunnen regels ook vaak veranderen. Neem bijvoorbeeld de cookie walls, toen een paar lidstaten dit gingen verbieden volgden er al snel meer. Er ligt ook een nieuw wetsvoorstel klaar die veranderingen met zich mee gaat brengen. Het gaat dan om de e-Privacyverordening. Deze verordening zal de e-Privacyrichtlijn gaan vervangen en, zo verwacht men, de regels verder gelijktrekken. Als het zover is, dan kunnen we rustig op het terras zitten op vakantie. Of de Italiaanse ober nu vraagt of u een cantuccini wilt bij de koffie, of de Duitse ober vraagt of u liever een lebkuchen wilt, u kunt het dan op dezelfde manier accepteren of afwijzen!
Wilt u als bedrijf het zekere voor het onzekere nemen? Maak een afspraak om een keer (digitaal) koffie te drinken (met of zonder cookie) om de opties door te lopen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.