Via Reddit:
Adverteerders zijn een jaartje of zo geleden ineens massaal van de toestemming afgestapt en naar legitiem belang gegaan. Waarom is me nog steeds niet helemaal duidelijk, maar ik vermoed dat men de bui wel zag hangen dat met cookiemuren afgedwongen toestemming niet rechtsgeldig zou zijn.Al een tijdje krijgen we in de koekjesschermen een andere keuze. Het gaat niet alleen meer om waar ik toestemming voor geef, maar ook om gerechtvaardigd belang. … Wat ik niet snap, is waarom ik dan in de cookiebanner naast de toestemmingsvraag ook een vraag krijg over legitiem belang. Er staat legitiem belang en dan met een slider ernaast. Alsof ik het legitieme belang van een bedrijf aan en uit kan zetten. Wat doet die slider daar?
Legitiem belang of gerechtvaardigd belang is een andere grondslag: je zegt dan eigenlijk, ik mag dit gewoon want mijn belang weegt zwaarder dan uw privacy. Daar horen dan bepaalde privacybeschermende maatregelen bij. En de marketeers hebben dan het voordeel dat in overweging 47 staat dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst ‘legitimate interest’ zegt.
Die slider heb ik ook altijd over zitten denken. Ik had altijd het beeld dat die er was omdat hij er bij toestemming ook stond, en dat daar verder niet over nagedacht is. Want het is niet logisch, dat je iemands belang aan of uit kunt zetten.
Als je even doorbladert in de AVG dan kom je uit bij het recht van bezwaar, artikel 21 AVG:
1. De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 6, lid 1, onder e) of f), van artikel 6, lid 1, met inbegrip van profilering op basis van die bepalingen. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.Bezwaar maken kan dus, maar het moet gaan om redenen vanwege zijn specifieke situatie, zeg maar persoonlijke redenen. En dan moet een afweging volgen: heeft de verwerkingsverantwoordelijke dwingende gronden om tóch door te gaan?
Maar voor direct marketing is het simpeler:
3. Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.Je moet de slider dus zien als zo’n bezwaar tegen marketing. De slider op uit zetten is dus “I object”, ik maak bezwaar. Dat voelt ergens niet correct, UI-technisch gezien, maar het werkt wel.
Arnoud
Het is natuurlijk gewoon een truucje om wel standaard het toestemmings-schakelaartje uit te zetten, maar als je dan zonder verder te kijken op “Save current cookiesettings” klikt dan krijg je ze alsnog omdat het “legitimate interest” schakelaartje standaard op “aan” staat. Het is een beetje vreemd om te veronderstellen, of te doen voorkomen, alsof mensen bewust geen toestemming geven voor gebruik t.b.v marketing, maar wel akkoord gaan met het gebruik voor marketing onder de noemer legitimate interest; alsof het dan andere cookies zijn die je tracken. Vraag gewoon om ze te mogen zeggen denk ik dan; of leg goed uit waarom je dat wil, of hoeveel extra geld het je oplevert. Er zijn een aantal Amerikaanse websites die bezoekers uit de EU een scherm tonen met “U komt uit de EU, daar is de GDPR van kracht, en die frustreert ons business-model. Daarom krijgt u geen toegang tot deze site”. Kijk, dat is, hoe frustrerend en irritant het ook is, tenminste wel eerlijk en duidelijk: U geen cookies, dan u ook geen site.
Om (privacy) dataverzamelaars tegemoet te komen wordt er binnen de EU een “afweging” gemaakt tussen het persoonsbelang / privacy en het belang van de gegevens verzamelaars. (Deze storten tenslotte graag in partijkassen). Als bezoeker kunt u cookies / trackers weigeren maar via dit sluip paadje kan een website / webshop de wetgeving toch omzeilen ALS deze bij klachten maar hard kan maken dat er werkelijk een belang, groter dan het privacy belang, is om toch de data te verzamelen. U begrijpt ook dat dit “groter dan het privacybelang” een wassen neus is. Tenzij het om, bijvoorbeeld een opsporingsdienst, gaat kan ik er geen verzinnen en dan nog. Dus in het kort, een “truuk” om de strenge privacy wetgeving uit te hollen / omzeilen. Kijk je naar een website als cylex.nl dan zie je goed hoe deze Roemeense ondernemer dit aanpakt. Als bezoeker wil je informatie, klikt cookies uit maar zou je dan toch niet gevolgd willen worden of data opgeslagen wilt zien, dan moet je handmatig hele lijsten doorlopen en een-voor-een alle dataverzamelaars uit zetten. Dit kost minuten en doen mensen niet. Daar zit de winst van de verzamelaar en het “gat in de privacy wetgeving”.
Persoonlijk ben ik fel tegen dit soort dataverzamelen en neem maatregelen zoals NIET Chrome gebruiken, een VPN en een “pi-hole” die elke data naar deze verzamelaars blokkeert. Niet voor iedereen weggelegd helaas.
Een goede uitleg, specifiek met betrekking tot uw vraag, vond ik hier:
https://www.privacyteam.nl/waarom-een-lia-belangrijk-is
Succes
Ik vermoed dat adverteerders overgestapt zijn naar gerechtvaardigd belang omdat dit in de vorige concept versie van de e-privacy verordening werd genoemd. Inmiddels is gerechtvaardigd belang in de laatste versie weer er uit gehaald. Blijkbaar is dit nog niet doorgedrongen, wat ik me gezien de “lijdensweg” van de verordening ook wel weer voor kan stellen…
Bedoelen ze dat jij hun legitiem belang erkend met dat opt-out vinkje? Zodat jij niet achteraf kan zeuren dat ze geen belang hadden, omdat jij dat “erkend” had.
Vreemde knop inderdaad en ik vind het erg onduidelijk waarvoor je toestemming intrekt. Ik houd erg van de Reject All knop Die je weleens ziet.
Je trekt geen toestemming in, je maakt bezwaar tegen hun eenzijdige mededeling. Juridisch een wereld van verschil.
Je zou zo’n knop ook kunnen uitleggen als een toezegging dat de ander geen gebruik zal maken van zijn legitieme belang als jij dat niet goed vindt.
Je ziet inmiddels bepaalde bedrijven wel zo’n opt-out bieden, maar dan afzonderlijk per partner. ‘Ja ik ben akkoord’ kan dan met één makkelijke klik, de knop ‘nee, ik geef geen toestemming’ is een beetje weggestopt, en als je bezwaar wilt maken tegen gerechtvaardigd belang voor de marketingdoeleinden, moet je door een waslijst van soms tientallen reclamepartners scrollen. Als dat volgens de letter van de wet al mag, vind ik het in ieder geval niet passen bij de bedoeling om gebruikers meer autonomie te geven over hoe hun gegevens gebruikt worden.
Het meest asociaal nog zijn die sites die een paar honderd slidertjes hebben, 1 voor iedere “partner”, en er geen knop is om de boel in 1 keer uit te zetten. Als er nou sites zijn die is door de AP aangepakt zouden moeten worden zijn het die wel.
Hoor je onder de AVG niet één grondslag te kiezen als basis voor je verwerking?
Op dit moment lijkt het bij dergelijke banners alsof men om toestemming vraagt, en dus toestemming/consent als basis gebruikt voor de verwerking, maar op het moment dat toestemming niet gegeven wordt, men zegt: “dan doen we het wel op basis van legitiem belang – tenzij je ook daar specifiek bezwaar tegen maakt.” Dat lijkt me dan nog steeds weinig compliant.
De mogelijkheid van een onvoorwaardelijke opt-out weegt ook mee bij de afweging of je je kunt beroepen op de grondslag van het gerechtvaardigde belang. De Groep gegevensbescherming artikel 29 noemt dit specifiek in haar samenvatting (WP217, pagina 3):
Verderop schrijft de Groep:Waardeloos ik moet telkens wel 6 blauwen vinkjes uitzetten. Bij sommige staan 72 gerechtvaardigde belangen.Moeten ze ook maar gaan aanpakken. En van de 10 sites zitten hun er van 6 x tussen. Kost je een hoop tijd om telkens de vinkjes uit te zetten.