Op 1 oktober jl. heeft het Hof van Justitie van de Europese Unie uitspraak gedaan over het vragen van toestemming bij het plaatsen van cookies. De uitspraak kwam niet als donderslag bij heldere hemel, maar is eigenlijk een bevestiging van wat wij al wisten: voor het plaatsen van cookies is namelijk de actieve toestemming vereist van een internetgebruiker. In deze blog staan we kort stil bij de uitspraak en leggen we uit op welke manier een website rechtsgeldig toestemming kan vragen.
De Duitse onderneming Planet49 maakte op haar website gebruik van vooraf aangevinkte vakjes. Op deze manier vroeg de onderneming om toestemming voor het plaatsen van cookies. Wanneer een websitebezoeker geen toestemming wilde geven voor het plaatsen van cookies, dan moest diegene de vakjes zelf uitvinken. Duitse consumentenorganisaties waren het niet eens met deze handelswijze en stapten naar de rechter.
De definitie van toestemming vinden we in de AVG. Er is sprake van rechtsgeldige toestemming wanneer de toestemmingsvraag aan de volgende voorwaarden voldoet:
Via een cookiebanner vraagt een website om toestemming voor het plaatsen van cookies. In de cookiebanner is duidelijk vermeld:
Een websitebezoeker moet een actieve handeling verrichten om toestemming te verlenen. Dat wil zeggen dat een websitebezoeker zelf moet aanvinken welke cookies geplaatst mogen worden. Het is dus niet de bedoeling dat een website de categorieën cookies aanvinkt, en het aan de websitebezoeker is om deze uit te vinken om die manier te laten zien dat hij/zij geen toestemming geeft.
Wat is nog meer niet goed? Wij zien weleens cookiebanners voorbijkomen met daarop een tekst als “Indien u verder klikt op onze website, gaat u akkoord met het gebruik van cookies”. Natuurlijk is het verder surfen op de website een actieve handeling, maar op deze manier wordt impliciete toestemming gegeven. Dat is niet toegestaan. Een websitebezoeker moet akkoord gaan met het plaatsen van cookies, maar moet ook de mogelijkheid hebben om te weigeren dat cookies worden geplaatst. Dan vinkt diegene niet aan dat advertentie-, social media of andere tracking cookies geplaatst mogen worden.
Niet voor alle soorten cookies is toestemming van een websitebezoeker nodig. Strikt noodzakelijke cookies mag een website gewoon plaatsen, zonder toestemming te vragen. Zonder die cookies werkt een website niet optimaal, denk aan een cookie om je winkelwagentje gevuld te houden.
Hetzelfde geldt voor analytische cookies. Als het gebruik van die cookies slechts geringe gevolgen heeft voor de privacy van de websitebezoeker, dan is daar geen toestemming voor nodig. In Nederland geldt dat voor het gebruik van Google Analytics geen toestemming nodig is, mits de cookie privacyvriendelijk is ingesteld. In een handleiding van de Autoriteit Persoonsgegevens is te lezen op welke manier je de cookie privacyvriendelijk kunt instellen. Helaas geldt deze regel niet in alle EU-landen, maar hopelijk gaat de ePrivacy Verordening die al enige tijd op zich laat wachten, hier meer duidelijkheid over geven.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.