Gebruikers moeten selectievakjes bij cookiemeldingen expliciet aanvinken om cookies te accepteren. Dat las ik bij Tweakers. het Europese Hof van Justitie oordeelde dat de praktijk van de vooraf aangevinkte vakjes geen rechtsgeldige toestemming oplevert. Uiteraard levert dat een hele heisa op en de marketingbranche is vast geschokt door dit keiharde oordeel, maar laten we eerlijk zijn dit wist iedereen toch al tien jaar?
Dat je voor cookies (behalve de strikt noodzakelijke) toestemming nodig hebt, staat al jaren in de cookiewet. Maar omdat toestemming vragen nogal een gedoetje is, wordt daar massaal de hand mee gelicht. Het idee was overigens dat door zulke strenge regels aan toestemming te stellen, partijen minder cookies zouden inzetten. Moehaha, inderdaad. En dan krijg je dus – naast de cookiemuur – allerhande constructies die dat recht moeten praten; ik heb alle termen wel gehoord, van soft optin tot silent consent en browsewraptoestemming. Nee, dat werkt dus niet.
In deze zaak was een Duitse site voor de rechter gedaagd. Zij vroegen toestemming met de ‘ja’ alvast aangevinkt, en ook nog eens gecombineerd met een ander onderwerp. Het Hof kreeg echter niet de vraag of dat laatste mocht, wat nogal een gemiste kans is want ook daar was een keihard “nee, wat denk je zelf” best op zijn plaats geweest. Maar helaas. De vraag “mag het vinkje alvast aan staan” wordt wel duidelijk beantwoord: nee. Ik herhaal: nee. En voor de IT-ers die vinden dat twee ontkenningen elkaar opheffen: nogmaals nee.
Het doet er daarbij niet toe of de cookies iets met persoonsgegevens te maken hebben. Hoewel de regels over toestemming uit de AVG komen, is de cookiewet breder. Ieder opslaan of uitlezen van informatie op iemands computer vereist AVG-compliant toestemming. Ook bij bijvoorbeeld een update van je software of het opvragen van een bestandje zonder persoonlijke informatie. Blijf van mijn laptop tenzij ik zeg dat je erin mag. En dat mag dus niet met vooraf aangevinkte vinkjes.
Overigens stond dit al vrij letterlijk in de AVG: “Silence, pre-ticked boxes or inactivity should not therefore constitute consent.” Het is me dus niet helemaal duidelijk waarom de Duitse rechter het überhaupt nodig vond om de vraag toch aan het Hof voor te leggen, maar op zich wel fijn want dit is duidelijker dan een lagere Duitse rechter. Maar het blijft gek, dat we al sinds de cookiewet en sinds de AVG gewoon door blijven gaan met deze praktijk.
Of nou ja, gek. Nee. Zo raar is het niet, want er wordt niet gehandhaafd op deze praktijk. En dan kun je nog zulke strenge regels stellen, maar als je voor boetes niet bang hoeft te zijn, waarom zou je dan?
Misschien dat ik maar eens zo’n private handhavingsclub ga oprichten, elke website waar ik zo afgedwongen toestemming moet geven, mag me vervolgens honderd euro schadevergoeding betalen. Eens zien of dat werkt?
Arnoud
Sta ik volledig achter, en je mag er van mij miljonair mee worden.
Sta ik volledig achter, en je mag er van mij miljonair mee worden.
BTW te beginnen met Tweakers.net hahahaha
Doe het dan gelijk goed en elke site die niet leert ga je daarna geld vragen namens een ander (tegen commissie). Het mag gerust meer opbrengen dan je andere activiteiten.
Duidelijk verhaal!
Ik zit even te kijken naar de cookiemelder op ICTrecht.nl. Die heeft een knop om gewoon alles mee te accepteren (geen vinkjes) en een knop met instellingen (waaronder de vinkjes standaard uitstaan).
Vraag is: mag dit dan nog wel?
Ik vermoed dat het Hof het liefste ziet dat je vier lege vinkboxen op het eerste scherm zet. Aan de andere kant zie ik in de AVG en in deze uitspraak niks wat deze cookiemelder zou kunnen diskwalificeren.
Ik ben heel benieuwd naar jouw redenatie. 🙂
“Silence, pre-ticked boxes or inactivity should not therefore constitute consent.” Vinkjes uit = niet pre ticked En je moet wat doen dus geen silence of inactivity met de keuze op precies of http://bonkersworld.net/agreement als je lui bent.
Ik vraag mij af waarom ze zich niet beroept hebben op het gerechtvaardigd belang of een vergelijkbare bepaling aan art. 11.7a lid 3 sub b van de Telecommunicatiewet. Ik heb niet de hele uitspraak gelezen, maar op Tweakers staat dat enkel het vinkje voor analytische cookies was aangevinkt. Afhankelijk van wat je hieronder verstaat, zou dat prima toegestaan kunnen zijn met een beroep op je gerechtvaardigde belangen. Dat je dan een optie biedt om dit uit te vinken als aanvulling op je recht om bezwaar te maken, lijkt mij dan positief. En dan zie ik hier geen juridische bezwaren.
Analytische cookies vallen inderdaad onder de uitzondering in de TW waarvoor geen toestemming nodig is. Maar voor marketingcookies (het gros van wat wordt geplaatst) is dat geen escape, dus daar moet je alsnog toestemming voor vragen.
Maar als we ervan uitgaan dat het klopt dat het enkel analytische cookies waren, dan was in feite hun grootste probleem dat ze geen belangenafweging hebben gemaakt en vervolgens bezoekers hierover niet duidelijk en op de juiste hebben geïnformeerd. Ze dachten veiliger te zijn met de grondslag toestemming, maar eigenlijk hebben ze daarmee een probleem voor zichzelf gecreëerd.
De uitspraak heeft wel iets meer duidelijkheid geschept over het vragen van toestemming, maar naar mijn idee nog niet genoeg. Persoonlijk vind ik dat er wel een verschil zit tussen enerzijds een vooraf aangevinkte box bij het doen van bijvoorbeeld een bestelling waarbij je automatisch wordt ingeschreven voor een nieuwsbrief en anderzijds een vooraf aangevinkte box bij een cookiemelding. Bij het eerste beoogt de bezoeker immers wat anders te doen (namelijk: het afronden van die bestelling) en geeft onbedoeld toestemming voor wat anders (namelijk: inschrijven voor de nieuwsbrief). Bij het tweede geval is men bezig met het verlenen van toestemming en is de toestemming niet onbewust verleend.
Indien de bezoeker voldoende wordt geïnformeerd, zie ik amper verschil tussen “Ja, ik accepteer alle cookies” en optie 2 waarbij je alles met 1 klik kan accepteren maar direct ziet waar je een keuze hebt (vooraf aangevinkte velden). Je zou zelfs kunnen zeggen dat de tweede optie eigenlijk netter is, zeker ten opzichte van de bedrijven die alles standaard al aangevinkt hebben als je op “Cookieinstellingen” klikt. Ik heb het idee dat bedrijven nu massaal geneigd zijn om er dan maar 1 knop van te maken en als je op cookieinstellingen klikt vervolgens eerst alles standaard aan staat (of dit nu letterlijk vinkjes zijn per categorie of dat je kunt kiezen tussen verschillende niveaus waarbij standaard het hoogste niveau aan staat, vind ik dit geval op hetzelfde neerkomen). Als dat tweede wel mag, dan is de vraag wat we precies met deze uitspraak zijn opgeschoten.
Kan art. 11.7a lid 3 sub b van de Telecommunicatiewet nog wel blijven bestaan in zijn huidige vorm na dit arrest?
In de memorie van toelichting bij de wijziging artikel 11.7a Telecommunicatiewet (cookiebepaling) staat oa:
Uit het ‘Planet49’ arrest kun je concluderen dat dit uitgangspunt niet klopt.
De vraag was in ieder geval onstaan om na te gaan of een (nog veel ruimere) bepaling in de Duitse wet verenigbaar is met de Europese richtlijn. Dit is dus niet het geval;
Graag beginnen met de websites die dit nieuws vermelden en zelf een cookiewall hebben. Bij Emerce is er niet eens ene vinkje te plaatsen (of weg te halen). De enige knop is een dikke groene “ik ga akoord met alles” knop. Zie hier de GIF en mini-discussie met de redacteur van dienst: https://twitter.com/dosch/status/1179407448718954500
Waar baseer je die €100 op?
Als je nu een organisatie opricht die namens individuen partijen aanschrijft. Dan kun je als organisatie misschien wel een bepaald bedrag onderbouwen? Het zou natuurlijk mooi zijn als de individu daar op een wettelijk nette manier dan ook iets van ziet.
Voor beveiligingsupdates ben ik het met je eens. Voor feature updates niet. Daar zit een wezenlijk verschil terwijl ze vaak gecombineerd worden aangeboden of in ieder geval voor beiden hetzelfde beleid wordt gehanteerd.
Nee, niet de AVG, de cookiewet. Die eist toestemming alvorens informatie op iemands randapparatuur gezet mag worden. De AVG zegt hoe je die toestemming verkrijgt, maar het maakt niet uit of de informatie iets met persoonsgegevens te maken heeft.
De grondslagen die je citeert, hebben dus niets te maken met zulke updates. De cookiewet kent alleen toestemming of functioneel noodzakelijk voor een gevráágde dienst. Updates vraag ik niet om, ook niet als in de licentie staat “u krijgt updates”.
Wijs gewoon € 50,- per overtreding toe aan de partij wiens rechten zijn geschonden, dan is dit zo afgelopen.
Enne, hoe zit het eigenlijk met “deze site gebruikt cookies, als je verder leest ga je [daarmee] akkoord” ..?