Onlangs blogde mijn collega Wouter over het gebruiken van logs om cookietoestemming te bewijzen. In de comments kwam daarop een vraag: moet je de mogelijkheid bieden een eenmaal gegeven cookietoestemming in te trekken? In het kort: nee, dat hoeft niet, maar je moet wel iets doen als de toestemming is ingetrokken. Want dat kan altijd, op grond van de wet.
Cookietoestemming is een bijzonder soort toestemming. Het is niet gewoon een ja of nee, maar een ja of nee zoals gedefinieerd in de privacywet, de Wet bescherming persoonsgegevens. En deze wet bepaalt dat eenmaal gegeven toestemming te allen tijde kan worden ingetrokken. Ongeacht dus wat je in je voorwaarden bepaalt of wat je afspreekt bij contractsluiting.
Niet expliciet bepaald is dat daar een aparte faciliteit voor moet zijn vanuit de website-eigenaar. Bij cookies lijkt me dat ook niet heel relevant. De meeste sites gebruiken de afwezigheid van het benodigde cookie als trigger om de toestemmingsvraag te stellen. Praktisch gezien is dan ook de beste manier van intrekking het cookie verwijderen.
In theorie mag je ook langs andere weg vragen, bv. bij registratie kun je naast “Ik wil de nieuwsbrief” ook “Ik wil cookies” als aanvinkvakje hebben. In die situatie heb je het cookie zelf niet nodig om na te gaan of deze gebruiker toestemming heeft gegeven.
Ook dan is er geen apart mechanisme nodig, strikt gesproken, hoewel het me dan wel netjes lijkt. Je zult wel iets moeten doen als men erin slaagt je te bereiken met “ik wil geen cookies meer”, want die mededeling is een intrekking van de toestemming en zodra die jou bereikt (langs welke weg ook) is ‘ie bindend op jou.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.