Waarom hebben alle cookiepopups ineens een legitiem belang?

Een lezer vroeg me:

Sinds een tijdje valt me op dat allerlei cookiepopups niet alleen om toestemming vragen, maar ook opties aanbieden onder het kopje “legitiem belang”. Vaak kun je die opties niet uitzetten, maar soms wel alleen heet dat dan “bezwaar”. Wat is dit in vredesnaam?
Wie dit heeft bedacht, weet ik ook niet, maar ik vermoed dat diverse grote cookiepopuptechnologieleveranciers (dat is een branche) dit hebben ingevoerd op verzoek van organisaties zoals het Interactive Advertising Bureau (IAB). Iedereen die iets doet met cookies en tracking, ziet de bui namelijk wel hangen dat toestemming het niet lang meer uithoudt als reden (grondslag) om marketing en profiling te doen.

Toestemming was ooit het argument om persoonsgegevens te mogen verzamelen en om met cookies te kunnen werken. Dus iedereen zette lekker een dikke cookiemuur voor zijn site, waardoor we nu met het fenomeen jaklikmoeheid of consent fatigue zitten. En, belangrijker, waardoor toezichthouders eens beter zijn gaan kijken en de terechte vraag stellen waarom het eigenlijk vrijwillig is, dat mensen moeten klikken om je site te kunnen bekijken. Ja, het is jouw site en je mag mensen weigeren, maar in de AVG/GDPR staat nu eenmaal dat toestemming weigeren zonder gevolgen moet blijven – en weigeren is een gevolg, hoe je het ook wendt of keert.

Snel op zoek naar alternatieven, en dan komen we natuurlijk meteen uit bij artikel 6 lid 1 sub f AVG:

de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde,
waarbij iedereen dan meteen wijst op overweging 47 die zegt dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst ‘legitimate interest’ zegt.

Toen is er ergens een brainstorm gekomen over welke soorten cookies en profiling onder dit kopje gerechtvaardigd kunnen worden. Je ziet dat terug in die menu’s: dingen als security & monitoring, first-party analytics en het beperken van overlast door excessief cookiegebruik (ja, serieus heb ik gezien). Daar is dan dus geen toestemming voor nodig, dus die blijven dan buiten het lijstje met dingen waar je toestemming voor moet geven.

Wel staat in de AVG dat je de mogelijkheid tot bezwaar maken moet hebben, op basis van persoonlijke omstandigheden. Bij marketing is de bezwaarmogelijkheid onbeperkt, er hoeft dan geen omstandigheid te worden opgegeven. Daarom zie je dan weer afmeldknopjes bij veel “legitiem belang” opties. Maar een afmeldoptie is in het algemeen niet verplicht. Bij security-opties (monitoring van gedrag om inbrekers-in-spe te pakken) is het natuurlijk niet zinnig om mensen zich te laten afmelden.

Arnoud

13 reacties

  1. Och jee, de toestemming.. Er is – helaas – een verschil tussen de bindende tekst van de AVG en de overwegingen. Maar alleen artikel 7 is bindend. Overweging 43 is dat niet (zie bijv. CJEU, Nilsson and others (1998), R.O. 54.)

    De tekst van de verordening luidt: “4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.”

    Dat is niet hetzelfde als dat het intrekken van toestemming zonder gevolgen moet blijven. De tekst zonder voorbehoud in die zin interpreteren is dan ook niet juist: er moet een individuele afweging worden gemaakt. In de overweging 43 is de tekst veel stelliger, maar die is dus NIET bindend:

    “De toestemming wordt geacht niet vrijelijk te zijn verleend indien (…) de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering.”

    Toestemming is voor de verwerking van persoonsgegevens niet de juiste weg voor het bezoeken van een website. Toch wordt er vaak voor gekozen, want dan kan je lekker eenzijdige voorwaarden opschrijven in de “overeenkomst”. En door toestemming te eisen als het om cookies gaat, ondergraaft de EU dit weer voor een deel.

    Ik weet ook niet wat de oplossing is, maar dat het intrekken van toestemming voor de betrokkene zonder gevolgen moet blijven is gewoon niet houdbaar, al was het maar omdat daarmee de grondslag voor de rechtmatige verwerking vervalt bij afwezigheid van een andere grondslag. Hoe moet je dat dan rijmen met “moet zonder gevolgen blijven”?

  2. Dit is vooral vanuit AVG geanalyseerd, maar in veel gevallen lijkt me dat de toestemming primair wordt (werd) gevraagd o.b.v. 11.7a lid 1 Tw. Natuurlijk, je hebt ook een AVG grondslag nodig, maar primair denk je toch aan Tw bij cookies. Die toestemming uit de Tw kan je niet vervangen door een legitiem belang – de Tw geeft die optie niet (en de eprivacyverordening die eronder ligt ook niet).

    Er wordt voor het invullen van die Tw-toestemming wel naar de AVG verwezen, maar dat ziet alleen op de vereisten die aan die toestemming kleven (ondubbelzinnig, geïnformeerd, etc) weten we o.b.v. HvJEU Planet 49. Die verwijzing betekent dus niet dat je de toestemming zoals vereist o.b.v. de Tw mag vervangen door een andere AVG-grondslag.

    Je hebt dan nog wel de uitzondering uit 11.7a lid 3 sub b Tw, maar die lijkt me niet van toepassing in veel van de gevallen waarin je dit soort ‘legitiem belang’-knoppen ziet.

    Mij lijkt dus dat die ‘legitiem belang’ knopt alleen betekenis zou kunnen hebben i.h.k.v. AVG. Je kan je afvragen hoeveel waarde die analyse nog heeft als er hoe dan ook toestemming is vereist o.b.v. de Tw. Maar als je de AVG-analyse los zou maken, dan is het nog steeds de vraag of het wel op deze manier werkt. Eigenlijk legt de verantwoordelijke hiermee de afweging tussen inbreuk op zijn belang en de inbreuk op de persoonlijke levenssfeer bij de gebruiker. De gebruiker moet maar afwegen of het legitiem belang van verwerking opweegt tegen de inbreuk op zijn persoonlijke levenssfeer – en volgens mij is dat niet hoe het is bedoeld in de AVG; de verantwoordelijke zal die afweging moeten maken…

  3. Eens met Marc dat de analyse onder de regels voor het plaatsen van cookies anders is. Ik ben daar niet zo goed in thuis trouwens, dus dank voor de extra toelichting.

    Inderdaad is het plaatsen van cookies voor een deel op iets anders gericht dan op het verwerken van persoonsgegevens. Maar als cookies worden geplaatst om persoonsgegevens te verwerken, moet ook de AVG-analyse plaatsvinden. Cookieregels gaan dan vooral over de “hoe”-vraag.

    En het werkt lekker verwarrend dat toestemming voor het plaatsen van cookies vaak ook samenvalt met toestemming voor het verwerken van persoonsgegevens.

    Ik heb er wel een dubbel gevoel bij. Ik zou iemand een dienst willen aanbieden op basis van een overeenkomst (je mag mijn website gebruiken, maar dan mag ik jouw gegevens gebruiken om geld te verdienen). Maar om die overeenkomst uit te kunnen voeren, heb ik toch ook weer toestemming nodig. En ik snap het wel, maar het voelt én dubbelop, én krom. Waarom zou een overeenkomst niet voldoende zijn voor het plaatsen van cookies? Dan kun je ook nog toetsen aan de Europese richtlijnen over oneerlijke bedingen en oneerlijke handelspraktijken.

    1. ‘Waarom zou een overeenkomst niet voldoende zijn voor het plaatsen van cookies? Dan kun je ook nog toetsen aan de Europese richtlijnen over oneerlijke bedingen en oneerlijke handelspraktijken.’?

      Omdat er geen overeenkomst is. Een ‘overeenkomst’ met het mes op de keel is geen overeenkomst. ‘Je mag mijn site lezen als je toestemming geeft om je persoonsgegevens te verwerken’ is gewoon geen eerlijke ruil. Hetzelfde als ‘je krijgt een kado als ik mag meekijken op wie je stemt’

      1. Jemig, wat een grote woorden.. “Mes op de keel”? Er zit een back-button in je browser hoor! Misschien moet je nog eens in boek 3 BW nalezen hoe verbintenissen tot stand kunnen komen. Dan zie je meteen waarom je vergelijking met het uitoefenen van het kiesrecht (waar de overheid de enige is die je daartoe in de gelegenheid kan stellen) een van de meest misplaatste is van deze week.

      2. Mes op de keel, of back button? In mijn browser zit die laatste. Bij jou hopelijk ook. Boek 3 BW vertelt iets over hoe overeenkomsten tot stand komen. Lees dat nog eens na, voordat je zegt dat er geen overeenkomst is. Het lijkt me dat daar nog wel wat ruimte is voor interpretatie. De vergelijking van het aangaan van een contract met het uitoefenen van het kiesrecht is zó absurd dat ze in de context van dit topic eigenlijk niet serieus kan worden genomen, dus dat laat ik maar zitten.

        1. OK, ik ging wat te hard…. Te grote woorden misschien, en de vergelijking was slecht gekozen. Maar waar het om gaat is dat een grondrecht geen handelswaar is die onderdeel van een deal kan zijn.

          Ik refereer aan 3:40 BW.

          Controle over privacygevoelige gegevens is een grondrecht, net zoals bijvoorbeeld het recht op vereniging. Dat betekent dat de deal ‘site toegang in ruil voor prive-gegevens’ nietig is, of dat we daar a-priori toch van uit moeten gaan, net zoals de deal ‘geld voor een orgaandonatie (of zelfs maar een bloeddonatie)’

          1. Een grondrecht kan geen onderdeel van een deal zijn? Dat is in zijn algemeenheid echt onjuist. Teken deze NDA, dan vertel ik je vandaag onder embargo wat ik volgende week ga doen. Dat is gewoon een deal, een overeenkomst waarin jij afstand doet van je grondrecht uitingsvrijheid. Of teken hier voor deelname aan mijn enquête / wetenschappelijk onderzoek, ik ga je persoonlijke vragen stellen en de antwoorden gebruiken voor onderzoek. Of kom poseren voor stockfoto’s die ik ga verhandelen, jij krijgt 20% als model maar je moet wel tekenen voor gebruik van je portret. Ook overeenkomsten, en daar gaat 3:40 BW écht niet tegen helpen.

              1. Dat is een specifiek stuk van privacy, namelijk lichamelijke integriteit. We hebben het hier over persoonsgegevens, in de context van een wet die strikt reguleert wat de ontvanger daarmee mag. “Geef je 06 aan de portier en je mag naar binnen” zou ik AVG-technisch niet vinden kunnen, maar of het 3:40 BW haalt vind ik een twijfelachtige.

                1. En voor mij is privacy deel van je intergriteit als persoon, de som van lichaam en geest, dus ik persoonlijk zou privacy op hetzelfde niveau willen zetten, in ieder geval voor wat betreft de mate van controle die je erover zou moeten hebben. (misschien niet mbt de ernst/schade van een inbreuk erop, maar dat is wat anders)

  4. Ik zag laatst dat mijn voornemen om een vlammend artikel tegen die cookiestemmingsregels of -mode te schrijven, al weer dateert van 2012. Maar een zeperd is het nog steeds. Het bevordert de privacy niet en is alleen maar irritant. En dat was 100% voorzienbaar, er is voor gewaarschuwd, maar toch doen, die EU-wetgevers.

    Beter: licht mensen voor over browservoorzieningen: weiger 3rd party.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.