En dan verbiedt de AP gewoon even op donderdagmiddag de cookiemuur

De Autoriteit Persoonsgegevens (AP) stelt nu dat de zogeheten cookiewall in strijd is met de Europese privacywet, meldde RTL Nieuws gisteren. De waakhond ontving de afgelopen tijd tientallen klachten over cookiewalls en besloot dat het maar eens afgelopen moest zijn met dwingende meldingen waar je ‘ja’ moet klikken om toegang tot een website te krijgen. Het argument is natuurlijk dat een dergelijke toestemming afgedwongen is, en dat is in strijd met de definitie van toestemming in de AVG die toch vrij duidelijk spreekt van “vrijwillig”. Maar volgens mij is de AVG iets genuanceerder dan dat.

Gisteren publiceerde de AP een normuitleg over cookiewalls, zeg maar een gezaghebbende opinie in functie over hoe de AVG uitgelegd moet worden. Met zo’n normuitleg kan de AP vervolgens gerichter handhaven, iedereen zou nu moeten weten hoe het zit. En omgekeerd, als je doet wat in de normuitleg staat dan hoef je niet bang te zijn dat er tegen je gehandhaafd wordt.

De normuitleg maakt al meteen duidelijk dat het gaat om tracking cookies. Wie een cookiewall bij andersoortige cookies inzet (bijvoorbeeld bij first party analytics) valt er dus buiten, dat is dan een juridisch andere situatie. Maar werk je met tracking (een term die in de normuitleg niet wordt gedefinieerd) dan krijg je dit:

Het principe van een cookiewall komt neer op ‘take it or leave it’ en is daarmee geen ‘echte’ of ‘vrije’ keuze. Hoewel bij cookiewalls toestemming voor het plaatsen van cookies kan worden geweigerd, kan dat niet zonder nadelige gevolgen, omdat de weigering betekent dat de website dan überhaupt niet kan worden bezocht. Kortom, als op een website (mede) wordt gevraagd om toestemming voor tracking cookies en bij weigering daarvan toegang tot de website, app of andere dienst niet mogelijk is, vindt de AP dat onrechtmatig.

Ik vind hier wel wat van. Allereerst vind ik het veel te snel om te zeggen “je kunt niet bij een site dús geef je geen vrije toestemming”. Een dienstverlener is niet verplicht je toegang te verlenen tot zijn site, dus vind ik het niet a priori onrechtmatig om toegang te weigeren.

Daarnaast is de AVG zeker niet zo stellig. Artikel 7 lid 4 zegt immers:

4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

Dit is nadrukkelijk niet hetzelfde als “het mag niet”. Ik vind dat een normuitleg dan niet zo categorisch kan zeggen “het mag niet”, maar moet aangeven met welke factoren je dan rekening zou moeten houden.

Ik kan me er bijvoorbeeld wat bij voorstellen als je zegt, nieuwswebsites (zoals Nu.nl of RTL Nieuws) die zo groot zijn dat ze essentieel deel van het medialandschap zijn, die mogen geen cookiewall. Dan ontzeg je het publiek toegang tot iets essentieels, net zoals wanneer de KLM dat zou doen. Of wanneer de cookiewall pas komt nadat je al een relatie met de organisatie hebt, zoals een energiebedrijf dat een cookiewall zet op de pagina voor de meterstanden of een voetbalvereniging op het ledengedeelte.

Zijn er alternatieven? De AP noemt ze niet. Ja, je kunt als site volstaan met analytics cookies en geen advertenties tonen:

Daarmee kan de bezoeker die niet ‘getracked’ wil worden, toch de site raadplegen.
Dat geloof ik graag, maar dit komt erop neer dat je als bezoeker te allen tijde recht hebt op toegang tot iemands website. En dat gaat me te ver – de AVG zegt “kijk ten strengste naar de relatie tussen toestemming en dienst” en niet “je mag het niet koppelen”.

Helemaal mooi vond ik de reactie van collega-jurist Charlotte Meindersma:

Ook internetjurist Charlotte Meindersma vindt de reactie van de AP ‘nogal overdreven’: “In een aankomende Europese wet, de ePrivacy Verordening, gaat het veel meer over cookiewalls. Daarin staat dat websites waar informatie op staat die je nergens anders krijgt, geen cookiewall mogen hebben, zoals overheidswebsites. Maar voor commerciële media heb je genoeg alternatieven.”

Die Verordening is nog niet aangenomen, maar veel zal er niet meer veranderen denk ik. Er kan dus de situatie ontstaan dat we straks een op de AVG aanvullende (en dus prevalerende) wet krijgen die zegt dat mediasites wél mogen tracken en dat met cookiewall mogen afdwingen, waardoor deze normuitleg weer moet worden teruggedraaid. Zit je dan als ondernemer.

Arnoud

25 reacties

  1. Het gevaar van het goedkeuren van een cookiemuur is dat het zo gewoon wordt, dat het iets wordt dat je gewoon doorklikt. “Je kunt toch je privacy niet afdwingen, dus klik ik overal maar okay”, en dan is die hele winst uit de AVG alweer tenietgedaan. Natuurlijk is met elke nieuwe ontwikkeling dat je na verloop van tijd het gewoon vindt en je automatisch ergens op klikt, maar ik klik zelf nu toch vaak op de optie die het meest weigert, en doe dat al praktisch automatisch. Vrijheid van bedrijven (websites) om mensen te weigeren is leuk, maar geeft ruimte om ongewenste standaardpraktijken te ontwikkelen.

  2. In de FAQ FAQ stellen ze ook de verhouding AP en ACM aan de orde:

    Het gebruik van cookies is in Nederland grotendeels gereguleerd via de Telecommunicatiewet. De Autoriteit Consument en Markt (ACM) houdt hier toezicht op. De Algemene verordening gegevensbescherming (AVG) ziet toe op – onder meer – de bescherming van persoonsgegevens in het algemeen. Dat doet niets af aan bestaande wet- en regelgeving of het mandaat van andere toezichthouders. Wel is er in voorkomende gevallen overleg tussen de Autoriteit Persoonsgegevens en andere toezichthouders in zaken waarbij overlap kan ontstaan.
    Vergis ik mij of zien zij dit ook hier fout? De essentie van de Cookie-wetgeving is de bescherming van Privacy. Het onderscheid dat de AP hier maakt tussen Privacy en Cookies is discutabel. De Cookiewet (OK, Tw) vloeide voort uit de ePrivacy Directive. En vormde een aanvulling (lex specialis) op de General Data Protection Directive. Zoals de aankomende ePR een aanvulling is op de GDPR. Vanwege de Lex Specialis aard van de ePD (en ePR) geldt dat voor handhaving gekeken moet worden naar de instantie aangewezen in de (geldende) wetgeving. Op dit moment is dit de Tw , en zou de ACM dus de aangewezen partij zijn en blijven. Hoe zien jullie dit?

  3. Om het idd eenvoudig te houden, prima. Een website bouwer kan ook en site bouwen waar je alleen toegang krijgt door in te loggen en akkoord gaat met de, zelf bedachtte, voorwaarden. Maar ja dan ben je het marketing aspect kwijt…. Ik vind het prima, ik was toch al tegen reclame.

  4. Dat geloof ik graag, maar dit komt erop neer dat je als bezoeker te allen tijde recht hebt op toegang tot iemands website. En dat gaat me te ver – de AVG zegt “kijk ten strengste naar de relatie tussen toestemming en dienst” en niet “je mag het niet koppelen”

    Je hebt als bezoeker ook te allen tijde recht op toegang tot het openbare gedeelte van het treinstation. Dus het recht om daar binnen te komen zonder getrackt te worden, en de informatie te halen (wanneer vertrekt de trein? welke gegevens verzamelt de vervoerder van me als ik beslis de trein te nemen? enz.) die ik nodig heb om te beslissen door het poortje te gaan. Pas ná het poortje begint het gedeelte waar de vervoerder de dienst uitmaakt. In termen van de website: tracking is prima zolang je het met ingelogde bezoekers doet die daar nadrukkelijk toestemming voor hebben gegeven (vrijelijk etc.). Je hebt immers – behoudens je argumentatie vwb vrij medialandschap – de keuze of je diensten wel of niet afneemt. Alles vóór de inlog is publiek gedeelte, en daar geldt dus: geen tracking.

    1. De cookiemuur gaat niet verdwijnen. Er komt gewoon een optie ‘ja, ik wil cookies’ of ‘nee, ik betaal voor toegang’. En ja, dat mag van de AP, want ze stellen dat zelf letterlijk zo op hun site: “Weigert iemand tracking cookies? Dan moet u deze persoon toch toegang geven tot uw website of app, bijvoorbeeld na betaling.”

      1. Heel veel sites kunnen logischerwijs geen geld vragen voor bezoek van hun sites dus het is echt geen optie om zo’n alternatieve betaal vraag te stellen. Denk aan sites ZZP’ers (bv in de bouw), zorgverleners, makelaars, notarissen, loodgieters, winkels, enz enz enz.

        1. Dat zijn sites die niet hoeven leven van advertenties. Voor die sites is het sowieso onzinnig om tracking cookies in te zetten. Het alternatief is alle externe inhoud blokkeren (inclusief ads). Voor de meeste sites die wel de online-inkomsten nodig hebben is dát geen reële optie. Sites die nu een volledige muur hebben hebben het meeste aan het ombouwen tot een óf cookies óf betalen. De mensen die nu geen cookies accepteren komen helemaal niet op de site. Met een betaalmuur waarschijnlijk ook niet, maar het drukt verder de inkomsten minder dan iedereen maar zonder cookies binnen laten.

    2. De vervoerder maakt de dienst uit? Nee, zo werkt dat niet. In Nederland hebben we het helaas zo geregeld dat ProRail alle stations beheert, dus zij maken de dienst uit op het gedeelte na de poortjes. Alleen ín de treinen maakt de vervoerder de dienst uit.

      Ben het overigens verder wel met je eens 😉

  5. Ik heb al vaker gezegd maar de EU moet gewoon alle internettracking van EU inwoners verbieden over meerdere domeinen/sites heen. Dit is redelijk simpel en duidelijk in wetgeving vast te leggen.

    Geen gezeur over cookie bestanden of cookie muren of toestemming geven of niet. Ook geen alternatieven als vingerprinting en dergelijke. Gewoon verbieden en klaar.

    Dergelijke wetgeving is veel praktischer want dan kan je de meest verantwoordelijke industrie (de reclame industrie) direct aanpakken en hoeft je niet individuele websites aan te pakken.

    Handhaving is makkelijker dan je denkt want het effect van tracking is vaak goed te merken en bovendien kunnen advertentiebedrijven het gebruik van hele goede tracking niet meer gebruiken als argument richting hun klanten.

    1. Marketing is ook onder de GDPR een erkend gerechtvaardigd belang. Wat veel mensen niet weten is dat een ’targeted’ add circa het dubbele aan advertentie-inkomsten oplevert ten opzichte van een non-targeted add. Targeted adds zijn daarmee een belangrijke bron van inkomsten voor nieuwssites als nu.nl. Als we betrouwbare journalistiek belangrijk vinden en daar geen publiek geld in willen steken dan moeten wij deze sites wel in staat stellen om inkomsten te genereren. Tracking cookies verbieden zet de poort wijd open naar nog meer fake news.

      Gratis betrouwbare content zonder gerichte advertenties toe te staan doet mij denken aan een uitspraak van boer Koekoek aan de minister van Landbouw: de boeren moeten een hogere melkprijs krijgen en de consument een lagere melkprijs. Op de vraag van de minister hoe hij zich dit voorstelde antwoordde boer Koekoek: “Dat weet ik niet. U bent de minister.”

      1. Het is een gewoon een afweging van belangen tussen de privacy van gebruikers en het verzamelen van info door internetpartijen.

        Het is in die afweging prima om die informatieverzameling in te perken en te begrenzen tot individuele websites. Sites die je bezoekt kunnen je dus nog wel intern tracken en onthouden welke dingen je op de site gedaan hebt en deze informatie gebruiken voor advertenties of voor het optimaliseren van de site.. Echter zodra je naar een andere website gaat dan mag die informatie over wat je daarvoor hebt gedaan niet meer meespelen. Het volgen van mensen over meerdere websites dor met name advertentiebedrijven zou gewoon verboden moeten zijn. De privacy verstoring die dat oplevert is gewoon veel te groot.

      2. Wat veel mensen niet weten is dat een ‘targeted’ add circa het dubbele aan advertentie-inkomsten oplevert ten opzichte van een non-targeted add.

        Dat is inderdaad de huidige stand van zaken. Maar denken dat de prijs van de non-targeted advertentie gelijk blijft op het moment dat tracking verboden wordt lijkt me te kort door de bocht.

        Aan de ene kant kan je juist verwachten dat er meer geadverteerd gaat worden. De adverteerder zal een zelfde bereik (omzet) willen houden en zal daar nu meer advertenties voor nodig hebben. In de basis kan dat ook, de advertenties die nu nog geplaatst kunnen worden zijn immers goedkoper.

        Aan de andere kant zullen websites meestal niet in staat zijn om meer advertenties te tonen dan ze nu al doen zonder dat zo’n site onleesbaar wordt. Dat betekent dat er schaarste ontstaat, met hogere prijzen per advertentie tot gevolg.

        Sites die nu targeted advertenties plaatsen stellen dat adverteerder dan zullen weglopen of in ieder geval hun budget voor internet advertenties sterk zullen laten dalen. Ik zie dat eerlijk gezegd niet gebeuren. Als ik om me heen kijk dan zie ik kranten, tv-stations, tijdschriften, billboards, folders en ik weet niet wat nog meer aan non-targeted (of in ieder geval niet meer ’targeted’ dan bij een website mogelijk is) advertenties.

        Simpelweg roepen dat targeted ads twee maal zo veel opleveren en er dan van uitgaan dat die inkomsten volledig wegvallen zodra deze verboden worden is daarmee volgens mij pure onzin.

        1. De hebzucht van websites leidt zo-wie-zo al tot een race to the bottom. Het plaatsen van meer advertenties op je site leidt noodzakelijkerwijs niet tot meer inkomsten — je vergroot er het aanbod van “real estate” mee, en daardoor gaan de prijzen per oppervlak omlaag. Liever een of twee relevante advertenties dan een heel scherm vol met knipperende ellende van niet relevante advertenties die vechten om aandacht.

          Ik zie ook liever dat de advertenties toegespits zijn op de inhoud van de pagina waar ik naar kijk, dan dat ik zogenaamd getargette advertenties voor stofzuigers krijg, omdat ik vorige week op zoek was naar zo’n ding, en er al lang een gekocht heb….

  6. Lekker onduidelijk weer en de ondernemer moet zelf maar een risico-inschatting maken of hij de AVG volgt of de AP.

    Google Analytics blijft wel gewoon prima, als je die privacy-vriendelijk instelt, maar ik blijf erbij dat de mensen van het AP geen idee hebben wat Google Analytics eigenlijk allemaal aan data verzameld, want dan zouden ze dat ook classificeren als een tracking cookie.

  7. Dat geloof ik graag, maar dit komt erop neer dat je als bezoeker te allen tijde recht hebt op toegang tot iemands website.

    Die conclusie (of het achterliggende idee dat dit een probleem is) klopt eigenlijk alleen maar als je als site een verdienmodel hebt gebaseerd op het verkopen van de privacy van je bezoekers. Dat verdienmodel wordt (naar mijn idee terecht) door de AP om zeep geholpen. Als jij je bezoekers een abonnement wil verkopen voor toegang tot je site -en dat dan niet alsnog aangevuld hebt met tracking advertenties- dan lijkt mij dat de AP daar geen probleem mee heeft.

    Of alles achter een abonnement stoppen nodig gaat zijn is voor mij ook geen uitgemaakte zaak. Sites die nu hun verdienmodel wél gebaseerd hebben op het verkopen van privacy aan adverteerders schreeuwen moord en brand omdat dit soort advertenties nu meer oplevert dan advertenties zonder tracking. De vraag is natuurlijk of dat terecht is: gaan adverteerders veel minder budget aan internet-adverteren uitgeven als tracking in het geheel niet meer toegestaan is ? Of rolt er simpelweg een hogere prijs uit voor niet-getrackte advertenties als er geen keuze meer is tussen al dan niet tracken?

    Waarom zijn commerciële zenders op TV waarbij de advertenties algemeen of hooguit op de doelgroep of de programma’s van de zender getarget zijn wel mogelijk en zou dit bij een website getarget op het onderwerp van de site niet het geval kunnen zijn ?

  8. Die alternatieven zijn nu juist de interessante vraag want met deze normuitleg schoffelt de AP het meest gebruikte verdienmodel van uitgevers onderuit.

    Wat de AP hier lijkt te zeggen is dat gebruikers recht hebben op het bekijken van informatie zonder hiervoor te ‘betalen’? Als je deze normuitleg strikt leest is het dan ook geen optie om de weigerende bezoeker 3x meer banners, want minder effectief, te tonen om de inkomsten te behouden? Die extra banners zijn ook een ‘negatief gevolg’ voor het weigeren van het delen van persoonsgegevens. Ik vraag me af of het een optie is dat je als uitgever de hele site achter een paywall zet met als alternatief het accepteren van meer effectieve banners waar cookies voor nodig zijn? Durf jij daar een inschatting van te maken, Arnoud?

    Ik ben bijzonder benieuwd wat de grote uitgevers nu gaan doen.

    1. Advertenties worden niet verboden maar het schenden van de privacy wordt ingeperkt. Er kan een lichte daling optreden in reclame inkomsten voor internet bijvoorbeeld omdat advertenties in bladen en op televisie weer beter kunnen concurerren en daarom geld wegtrekken uit internetreclamesbudgetten. Maar dat is eigenlijk heel terecht want reclames inbijvoorbeeld bladen schenden de privacy minder dan huidige internetreclamebedrijven.

  9. . Allereerst vind ik het veel te snel om te zeggen “je kunt niet bij een site dús geef je geen vrije toestemming”. Een dienstverlener is niet verplicht je toegang te verlenen tot zijn site, dus vind ik het niet a priori onrechtmatig om toegang te weigeren.

    Maar Arnoud. Er is ook nog het principe ‘verzamel niet méér data dan noodzakelijk en verwijder die zo snel mogelijk.

    Een cookie is leuk voor de aanbieder en we zijn er zo aan gewend. Maar noodzakelijk is het natuurlijk niet! Je kunt die website prima tonen zonder cookies. En het maanden, jaren bewaren heeft ook geen noodzaak, behalve dan ‘we waren het altijd gewend om te doen en die data is zo leuk’ Dat is dus geen noodzaak.

  10. Waar kan ik dan de actuele versie van de ePrivacy Verordening vinden waarin staat dat cookiewalls toegestaan zijn?

    Ik kan alleen een versie uit 2017 vinden, maar daar leid ik uit af dat een cookiewall verboden blijft:

    Artikel 8 1. Het gebruik van verwerkings- en opslagcapaciteit van eindapparatuur en het verzamelen van gegevens uit eindapparatuur van eindgebruikers, onder meer over de software en de hardware, anders dan door de betrokken eindgebruiker, is verboden uitgezonderd om de volgende redenen: […] (b) de eindgebruiker heeft zijn toestemming gegeven; […]
    In Artikel 9 wordt voor de definitie van “toestemming” verwezen naar de AVG, maar bied ook een alternatieve methode van toestemming aan door een instelling in de browser. In overweging 22 is daarbij vermeld:
    De keuzes die eindgebruikers maken bij het invoeren van de algemene privacyinstellingen van een browser of een andere applicatie, moeten bindend zijn en moeten kunnen worden afgedwongen ten aanzien van derden
    Artikel 8(2) staat wel een banner toe die lijkt op een cookiewall. Maar artikel 8(2) is niet van toepassing op tracking cookies.

    Overigens is een GDPR-Wall volgen mij wel helemaal legaal. Je laat alleen gebruikers toe op je website met een IP-Adres van buiten de EU. Voor bezoekers uit de EU toon je misschien alleen een advertentie van een VPN dienst als hint 😉

  11. Ik vraag me iets anders af. Hierboven wordt de AVG geciteerd:

    4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

    Maar als ik een site bezoek, is er van een overeenkomst tussen mij en die site toch helemaal geen sprake? Het kan dat ik de site kan gebruiken om een overeenkomst aan te gaan, bijvoorbeeld als ik er iets kan kopen, maar het lijkt me niet dat ik dat al doe puur door de inhoud van de site te bekijken. De Engelstalige Wikipedia stelt dat zelfs expliciet: u hebt als bezoeker geen overeenkomst met ons. Het lijkt me dus dat op zulke sites die paragraaf niet van toepassing is.

    Vergis ik me?

    1. Wikipedia is van Wikimedia Foundation, een Amerikaanse stichting die uit gaat van de Amerikaanse wet. De situatie in Europa kan anders zijn.

      Juist als een website een cookiemuur gebruikt, lijkt me juist dat er wel sprake is van een overeenkomst. Je gaat namelijk ergens mee akkoord als je op “ja” klikt. En als een website geen cookiemuur heeft, is er ook geen toestemming, dus is lid 4 van artikel 7 sowieso niet van toepassing.

      1. Dat lijkt me alleen een overeenkomst dat de site cookies bij je plaatst. Waar het hier om gaat is of je dat zonder toestemming mag doen als dat nodig is voor het uitvoeren van de verbintenissen die voortvloeien uit een overeenkomst. Als dat diezelfde overeenkomst mag zijn hoef je nooit voor enig cookie toestemming te vragen.

  12. Ik begrijp de uitleg van de AP niet. Het voelt voor mij hetzelfde als iemand toelaten in je fysieke winkel en toestemming geven om alle artikelen eerst uit de verpakking te halen, of de toegang ontzeggen wanneer iemand met eten naar binnenloopt. In mijn geval wil ik een informatief blog schrijven en door mijn expertise aan te tonen betalende klanten werven. Omdat ik en nieuwsbrief aanbiedt, Google Fonts gebruik en deel/like knoppen plaatst, moet ik al toestemming vragen. Als iemand die toestemming niet geeft, moet ik toch mijn investering (voornamelijk tijd, een klein beetje aan kosten) ter beschikking stellen. Of ik die investering gratis ter beschikking wil stellen, moet mijn eigen keuze zijn. Net zoals ik zelf bepaal of ik iemand in mijn huis toelaat of dat ik weiger dat iemand ziet welke meubels ik heb staan.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.