Mag een tracking cookie van de AVG als je het “gerechtvaardigd belang” noemt?

Een lezer vroeg me:

Sinds een tijdje valt het me op dat er steeds meer cookie-popups zijn die schermen met de term “gerechtvaardigd belang” als reden waarom ze cookies mogen plaatsen. Ook tracking cookies, terwijl dat toch gewoon onder toestemming valt volgens de AVG? Waar komt die term vandaan en hoezo is het niet misleidend om jouw commerciële belang op voorhand “gerechtvaardigd” te noemen?
Die term is inderdaad wat misleidend, zeker gezien hoe mensen de term nu gebruiken namelijk als schaamlap voor alles dat ze maar willen. Maar ‘gerechtvaardigd’ betekent niet dat jij het goed moet vinden, het betekent dat het binnen de wet past, van de wet te rechtvaardigen is.

In de kern komt het erop neer dat er situaties zijn waarin jij ook gewoon een belang hebt, bijvoorbeeld de bescherming van jouw eigendom (een grondrecht, immers). Dat belang moet je dan kunnen beschermen, zoals door cameratoezicht. De AVG zegt dan dat dat mag, mits je maar zo veel mogelijk de privacy van passanten beschermt.

Daar zit dan een hele belangenafweging in, inclusief zo mogelijk een opt-out op basis van persoonlijke omstandigheden. Maar in de kern zegt de AVG dus dat het mag, “in principe” zoals de AVG dat noemt.

Het lastige is natuurlijk wanneer een belang “gerechtvaardigd” is. De AVG gaat daar niet op in, en er is ook geen jurisprudentie hierover van het Hof van Justitie. Onze eigen Autoriteit Persoonsgegevens publiceerde in haar normuitleg hier wel een formulering over:

[Gerechtvaardigd] houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden.
De insteek is dus dat een belang ergens te herleiden moet zijn tot de wet, zoals in mijn voorbeeld van het eigendomsrecht dat ik wil beschermen. Een ander belang zou kunnen zijn dat ik een rechtsvordering wil instellen tegen jou, omdat jij mijn schadeclaim niet betaalt. Daarvoor heb ik jouw persoonsgegevens nodig, en dat zou ik dan onder deze grondslag kunnen doen.

Bij al die cookiedingen wordt er geschermd met “direct marketing” als gerechtvaardigd belang, omdat de AVG dat expliciet noemt als een voorbeeld. Daar zet de AP tegenover:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc
Over wat een “zuiver commercieel belang” is, heb ik het eerder gehad. Ik las dat als dat je “ik wil geld verdienen anders ga ik failliet” niet als belang mag opvoeren, maar de AP lijkt het te interpreteren als “iedere motivatie waarin ‘ik wil geld verdienen’ staat, is ongeldig”. Dat gaat wel héél ver, met name omdat grondrechten wél als gerechtvaardigd belang kunnen dienen en de vrijheid van ondernemerschap een grondrecht is. Net als de vrijheid van meningsuiting; als ik jouw privacy mag schenden door iets te publiceren, waarom dan niet door jou te tracken?

Specifiek bij cookies werkt dit trouwens bijna nooit. De Telecommunicatiewet eist toestemming voor ieder plaatsen of uitlezen van informatie, ongeacht wat de AVG eventueel zegt over de persoonsgegevens-aspecten van die informatie. Dus een cookie plaatsen of een remote software update uitvoeren mag alleen met toestemming.

De Nederlandse uitzondering daarop is dat cookies die geen of geringe privacy-inbreuk maken, géén toestemming nodig hebben. Daarmee kun je dus bijvoorbeeld third-party analytics inzetten, hoewel daar tracking cookies bij komen kijken. Als je dat goed dichttimmert, dan is dat legaal zonder toestemming – en dán kun je je dus op gerechtvaardigd belang beroepen. Ik zou dus zeggen vrijheid van informatiegaring – weten hoe je site bezocht wordt.

Arnoud

8 reacties

  1. Je uitleg van gerechtvaardigd is, als altijd, helder. Wat mij echter ontgaat wat de implicatie is van het aan laten staan, dan wel uitzetten van een “gerechtvaardigd belang” cookie optie bij bijv. een tracking cookie (die ik uitgezet heb). Verschaft dat alsnog een vrijbrief om te tracken?

    1. Wettelijk gezien heb je recht op een opt-out (artikel 21 lid 2 AVG) bij direct marketing en de tracking die daarbij hoort. Dus ik denk dat zo’n aan- en uitknopje onvermijdelijk is als dat het doel van de tracking is. Als ik track ten behoeve van veiligheid of voor het beheer van abonnementskosten (je betaalt per megabyte gelezen artikel of zo) dan hoef ik je geen aan- en uitknopje te geven.

  2. De Nederlandse uitzondering daarop is dat cookies die geen of geringe privacy-inbreuk maken, géén toestemming nodig hebben.

    Ik had verwacht dat die uitzondering zou verdwijnen na C?673/17 (Planet49)

    71 Gelet op het voorgaande moet op de eerste vraag, onder b), worden geantwoord dat artikel 2, onder f), en artikel 5, lid 3, van richtlijn 2002/58, gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46 alsmede met artikel 4, punt 11, en artikel 6, lid 1, onder a), van verordening 2016/679, niet verschillend moeten worden uitgelegd naargelang de informatie die is opgeslagen in de eindapparatuur van de gebruiker van een website of daaruit is opgevraagd, al dan niet bestaat in persoonsgegevens in de zin van richtlijn 95/46 en verordening 2016/679.
    In artikel 5, lid 3, van richtlijn 2002/58 staat dat (niet noodzakelijke) opslag alleen is toegestaan na toestemming. En het HvJEU heeft dus bepaald dat de privacy-gevoeligheid niet van belang is bij die verplichting.

    1. Ik ken werkelijk niemand die behoefte heeft aan die juridische strijd. De privacyvoorvechters hebben grotere doelen in het vizier, de toezichthouders zijn volgens mij niet bevoegd om wetten aan te vechten en ik zie zelf de schade niet heel erg van een dichtgetimmerde Google Analytics voor enkel first-party algemeen beeld van websitebezoek. Dus dit blijft nog vele jaren staan.

  3. Wie zou dit moeten handhaven trouwens? De AP? De ACM? Ik zie bekende partijen in Nederland die deze regels aan hun laars lijken te lappen. Neem bijvoorbeeld de website van De Volkskrant. Er is geen mogelijkheid alleen een subset van cookies of de technisch noodzakelijke te accepteren, het is alles of niets, en als je klikt op akkoord dan krijg je cookies t.b.v “het gedrag van bezoekers vastleggen en analyseren”, “advertenties te tonen en artikelen aan te bevelen … die aansluiten op uw interesses”, “Ook derden kunnen uw internetgedrag volgen”, “op sites van derden relevante advertenties te tonen”, “deelt de informatie …. in een samenwerkingsverband …. om gezamenlijke groepsprofielen op te stellen.”. Het lijkt erop dat deze website alles doet waarvan in de cookiewet staat dat er expliciete toestemming nodig is, dat lijkt hier niet het geval. Ik vermoed dat de toezichthouder dit prima weet, maar er simpelweg voor kiest niet te handhaven. Hoe zit dit?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.