Dat was toch echt geen verrassing, dat vooraf ingevuld cookievinkjes niet rechtsgeldig zijn?

Gebruikers moeten selectievakjes bij cookiemeldingen expliciet aanvinken om cookies te accepteren. Dat las ik bij Tweakers. het Europese Hof van Justitie oordeelde dat de praktijk van de vooraf aangevinkte vakjes geen rechtsgeldige toestemming oplevert. Uiteraard levert dat een hele heisa op en de marketingbranche is vast geschokt door dit keiharde oordeel, maar laten we eerlijk zijn dit wist iedereen toch al tien jaar?

Dat je voor cookies (behalve de strikt noodzakelijke) toestemming nodig hebt, staat al jaren in de cookiewet. Maar omdat toestemming vragen nogal een gedoetje is, wordt daar massaal de hand mee gelicht. Het idee was overigens dat door zulke strenge regels aan toestemming te stellen, partijen minder cookies zouden inzetten. Moehaha, inderdaad. En dan krijg je dus – naast de cookiemuur – allerhande constructies die dat recht moeten praten; ik heb alle termen wel gehoord, van soft optin tot silent consent en browsewraptoestemming. Nee, dat werkt dus niet.

In deze zaak was een Duitse site voor de rechter gedaagd. Zij vroegen toestemming met de ‘ja’ alvast aangevinkt, en ook nog eens gecombineerd met een ander onderwerp. Het Hof kreeg echter niet de vraag of dat laatste mocht, wat nogal een gemiste kans is want ook daar was een keihard “nee, wat denk je zelf” best op zijn plaats geweest. Maar helaas. De vraag “mag het vinkje alvast aan staan” wordt wel duidelijk beantwoord: nee. Ik herhaal: nee. En voor de IT-ers die vinden dat twee ontkenningen elkaar opheffen: nogmaals nee.

Het doet er daarbij niet toe of de cookies iets met persoonsgegevens te maken hebben. Hoewel de regels over toestemming uit de AVG komen, is de cookiewet breder. Ieder opslaan of uitlezen van informatie op iemands computer vereist AVG-compliant toestemming. Ook bij bijvoorbeeld een update van je software of het opvragen van een bestandje zonder persoonlijke informatie. Blijf van mijn laptop tenzij ik zeg dat je erin mag. En dat mag dus niet met vooraf aangevinkte vinkjes.

Overigens stond dit al vrij letterlijk in de AVG: “Silence, pre-ticked boxes or inactivity should not therefore constitute consent.” Het is me dus niet helemaal duidelijk waarom de Duitse rechter het ĂĽberhaupt nodig vond om de vraag toch aan het Hof voor te leggen, maar op zich wel fijn want dit is duidelijker dan een lagere Duitse rechter. Maar het blijft gek, dat we al sinds de cookiewet en sinds de AVG gewoon door blijven gaan met deze praktijk.

Of nou ja, gek. Nee. Zo raar is het niet, want er wordt niet gehandhaafd op deze praktijk. En dan kun je nog zulke strenge regels stellen, maar als je voor boetes niet bang hoeft te zijn, waarom zou je dan?

Misschien dat ik maar eens zo’n private handhavingsclub ga oprichten, elke website waar ik zo afgedwongen toestemming moet geven, mag me vervolgens honderd euro schadevergoeding betalen. Eens zien of dat werkt?

Arnoud

16 reacties

  1. Duidelijk verhaal!

    Ik zit even te kijken naar de cookiemelder op ICTrecht.nl. Die heeft een knop om gewoon alles mee te accepteren (geen vinkjes) en een knop met instellingen (waaronder de vinkjes standaard uitstaan).

    Vraag is: mag dit dan nog wel?

    Ik vermoed dat het Hof het liefste ziet dat je vier lege vinkboxen op het eerste scherm zet. Aan de andere kant zie ik in de AVG en in deze uitspraak niks wat deze cookiemelder zou kunnen diskwalificeren.

    Ik ben heel benieuwd naar jouw redenatie. 🙂

  2. Ik vraag mij af waarom ze zich niet beroept hebben op het gerechtvaardigd belang of een vergelijkbare bepaling aan art. 11.7a lid 3 sub b van de Telecommunicatiewet. Ik heb niet de hele uitspraak gelezen, maar op Tweakers staat dat enkel het vinkje voor analytische cookies was aangevinkt. Afhankelijk van wat je hieronder verstaat, zou dat prima toegestaan kunnen zijn met een beroep op je gerechtvaardigde belangen. Dat je dan een optie biedt om dit uit te vinken als aanvulling op je recht om bezwaar te maken, lijkt mij dan positief. En dan zie ik hier geen juridische bezwaren.

      1. Maar als we ervan uitgaan dat het klopt dat het enkel analytische cookies waren, dan was in feite hun grootste probleem dat ze geen belangenafweging hebben gemaakt en vervolgens bezoekers hierover niet duidelijk en op de juiste hebben geïnformeerd. Ze dachten veiliger te zijn met de grondslag toestemming, maar eigenlijk hebben ze daarmee een probleem voor zichzelf gecreëerd.

        De uitspraak heeft wel iets meer duidelijkheid geschept over het vragen van toestemming, maar naar mijn idee nog niet genoeg. Persoonlijk vind ik dat er wel een verschil zit tussen enerzijds een vooraf aangevinkte box bij het doen van bijvoorbeeld een bestelling waarbij je automatisch wordt ingeschreven voor een nieuwsbrief en anderzijds een vooraf aangevinkte box bij een cookiemelding. Bij het eerste beoogt de bezoeker immers wat anders te doen (namelijk: het afronden van die bestelling) en geeft onbedoeld toestemming voor wat anders (namelijk: inschrijven voor de nieuwsbrief). Bij het tweede geval is men bezig met het verlenen van toestemming en is de toestemming niet onbewust verleend.

        Indien de bezoeker voldoende wordt geĂŻnformeerd, zie ik amper verschil tussen “Ja, ik accepteer alle cookies” en optie 2 waarbij je alles met 1 klik kan accepteren maar direct ziet waar je een keuze hebt (vooraf aangevinkte velden). Je zou zelfs kunnen zeggen dat de tweede optie eigenlijk netter is, zeker ten opzichte van de bedrijven die alles standaard al aangevinkt hebben als je op “Cookieinstellingen” klikt. Ik heb het idee dat bedrijven nu massaal geneigd zijn om er dan maar 1 knop van te maken en als je op cookieinstellingen klikt vervolgens eerst alles standaard aan staat (of dit nu letterlijk vinkjes zijn per categorie of dat je kunt kiezen tussen verschillende niveaus waarbij standaard het hoogste niveau aan staat, vind ik dit geval op hetzelfde neerkomen). Als dat tweede wel mag, dan is de vraag wat we precies met deze uitspraak zijn opgeschoten.

    1. Kan art. 11.7a lid 3 sub b van de Telecommunicatiewet nog wel blijven bestaan in zijn huidige vorm na dit arrest?

      In de memorie van toelichting bij de wijziging artikel 11.7a Telecommunicatiewet (cookiebepaling) staat oa:

      De cookiebepaling (artikel 5, derde lid, van deze richtlijn) moet dan ook in dit licht worden gezien: de bepaling dient ter bescherming van de persoonlijke levenssfeer (de privacy) van de internetgebruiker bij de verwerking van diens persoonsgegevens. Ik ben er van overtuigd dat internetgebruikers beter in staat worden gesteld om hun privacy te beschermen als zij alleen in gevallen waarin dit hun persoonlijke levenssfeer raakt, om toestemming wordt verzocht. Als ook toestemming wordt verzocht voor cookies die de privacy niet schenden, zoals analytic cookies die niet voor andere doeleinden worden gebruikt, verliest het verzoek om toestemming aan betekenis.

      Uit het ‘Planet49’ arrest kun je concluderen dat dit uitgangspunt niet klopt.

      68 Na deze toelichting moet in ieder geval worden vastgesteld dat artikel 5, lid 3, van richtlijn 2002/58 verwijst naar „opslag van informatie” en „het verkrijgen van toegang tot informatie die reeds is opgeslagen” zonder deze informatie nader te omschrijven of aan te geven dat het hier moet gaan om persoonsgegevens. 69 Zoals de advocaat-generaal in punt 107 van zijn conclusie heeft vastgesteld, beoogt deze bepaling de gebruiker te beschermen tegen inmenging in zijn privéleven, ongeacht of die inmenging betrekking heeft op persoonsgegevens. 70 Deze uitlegging wordt bevestigd door overweging 24 van richtlijn 2002/58 waarin staat te lezen dat alle informatie die wordt bewaard in de eindapparatuur van gebruikers van netwerken voor elektronische communicatie, deel uitmaakt van de op grond van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden te beschermen persoonlijke levenssfeer van de gebruikers. Deze bescherming is van toepassing op alle informatie die is opgeslagen op deze eindapparatuur, ongeacht of het gaat om persoonsgegevens, en beoogt met name, zoals uit dezelfde overweging blijkt, de gebruikers te beschermen tegen het risico dat verborgen identificatoren en andere soortgelijke programmatuur zonder hun medeweten binnenkomen in hun eindapparatuur.

      De vraag was in ieder geval onstaan om na te gaan of een (nog veel ruimere) bepaling in de Duitse wet verenigbaar is met de Europese richtlijn. Dit is dus niet het geval;

      21 Volgens § 15, lid 3, TMG mag de aanbieder van diensten met het oog op reclame, marktonderzoek of de gepaste vormgeving van zijn onlinemedia bij gebruik van pseudoniemen gebruikersprofielen opstellen, mits de gebruiker daartegen geen bezwaar maakt nadat hij op de hoogte is gesteld van zijn recht van bezwaar.

  3. Misschien dat ik maar eens zo’n private handhavingsclub ga oprichten, elke website waar ik zo afgedwongen toestemming moet geven, mag me vervolgens honderd euro schadevergoeding betalen. Eens zien of dat werkt?

    Waar baseer je die €100 op?

    Als je nu een organisatie opricht die namens individuen partijen aanschrijft. Dan kun je als organisatie misschien wel een bepaald bedrag onderbouwen? Het zou natuurlijk mooi zijn als de individu daar op een wettelijk nette manier dan ook iets van ziet.

  4. Ook bij bijvoorbeeld een update van je software of het opvragen van een bestandje zonder persoonlijke informatie.
    Hiermee stel je impliciet dat automatische Windows updates, of nieuwe versies van iOS/Android die geinstalleerd worden tegen de GDPR in gaan. Ik zou aan de hand van art 6 lid 1 b en/of d een update uitvoeren wel degelijk binnen de GDPR valt.
    (b) processing is necessary for the performance of a contract to which the data subject is party or (…); […] (d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;
    Het afnemen van een licentie op software zie ik wel als een contract aangaan, en het beveiligen van de IT infrastructuur in zijn totaliteit valt denk ik wel te zien onder d?

    1. Voor beveiligingsupdates ben ik het met je eens. Voor feature updates niet. Daar zit een wezenlijk verschil terwijl ze vaak gecombineerd worden aangeboden of in ieder geval voor beiden hetzelfde beleid wordt gehanteerd.

    2. Nee, niet de AVG, de cookiewet. Die eist toestemming alvorens informatie op iemands randapparatuur gezet mag worden. De AVG zegt hoe je die toestemming verkrijgt, maar het maakt niet uit of de informatie iets met persoonsgegevens te maken heeft.

      De grondslagen die je citeert, hebben dus niets te maken met zulke updates. De cookiewet kent alleen toestemming of functioneel noodzakelijk voor een gevráágde dienst. Updates vraag ik niet om, ook niet als in de licentie staat “u krijgt updates”.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.