Waarom hebben alle cookiepopups ineens een legitiem belang?

| AE 12221 | Privacy | 13 reacties

Een lezer vroeg me:

Sinds een tijdje valt me op dat allerlei cookiepopups niet alleen om toestemming vragen, maar ook opties aanbieden onder het kopje “legitiem belang”. Vaak kun je die opties niet uitzetten, maar soms wel alleen heet dat dan “bezwaar”. Wat is dit in vredesnaam?
Wie dit heeft bedacht, weet ik ook niet, maar ik vermoed dat diverse grote cookiepopuptechnologieleveranciers (dat is een branche) dit hebben ingevoerd op verzoek van organisaties zoals het Interactive Advertising Bureau (IAB). Iedereen die iets doet met cookies en tracking, ziet de bui namelijk wel hangen dat toestemming het niet lang meer uithoudt als reden (grondslag) om marketing en profiling te doen.

Toestemming was ooit het argument om persoonsgegevens te mogen verzamelen en om met cookies te kunnen werken. Dus iedereen zette lekker een dikke cookiemuur voor zijn site, waardoor we nu met het fenomeen jaklikmoeheid of consent fatigue zitten. En, belangrijker, waardoor toezichthouders eens beter zijn gaan kijken en de terechte vraag stellen waarom het eigenlijk vrijwillig is, dat mensen moeten klikken om je site te kunnen bekijken. Ja, het is jouw site en je mag mensen weigeren, maar in de AVG/GDPR staat nu eenmaal dat toestemming weigeren zonder gevolgen moet blijven – en weigeren is een gevolg, hoe je het ook wendt of keert.

Snel op zoek naar alternatieven, en dan komen we natuurlijk meteen uit bij artikel 6 lid 1 sub f AVG:

de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde,
waarbij iedereen dan meteen wijst op overweging 47 die zegt dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst ‘legitimate interest’ zegt.

Toen is er ergens een brainstorm gekomen over welke soorten cookies en profiling onder dit kopje gerechtvaardigd kunnen worden. Je ziet dat terug in die menu’s: dingen als security & monitoring, first-party analytics en het beperken van overlast door excessief cookiegebruik (ja, serieus heb ik gezien). Daar is dan dus geen toestemming voor nodig, dus die blijven dan buiten het lijstje met dingen waar je toestemming voor moet geven.

Wel staat in de AVG dat je de mogelijkheid tot bezwaar maken moet hebben, op basis van persoonlijke omstandigheden. Bij marketing is de bezwaarmogelijkheid onbeperkt, er hoeft dan geen omstandigheid te worden opgegeven. Daarom zie je dan weer afmeldknopjes bij veel “legitiem belang” opties. Maar een afmeldoptie is in het algemeen niet verplicht. Bij security-opties (monitoring van gedrag om inbrekers-in-spe te pakken) is het natuurlijk niet zinnig om mensen zich te laten afmelden.

Arnoud

Mag een tracking cookie van de AVG als je het “gerechtvaardigd belang” noemt?

| AE 12165 | Ondernemingsvrijheid, Privacy | 8 reacties

Een lezer vroeg me:

Sinds een tijdje valt het me op dat er steeds meer cookie-popups zijn die schermen met de term “gerechtvaardigd belang” als reden waarom ze cookies mogen plaatsen. Ook tracking cookies, terwijl dat toch gewoon onder toestemming valt volgens de AVG? Waar komt die term vandaan en hoezo is het niet misleidend om jouw commerciële belang op voorhand “gerechtvaardigd” te noemen?
Die term is inderdaad wat misleidend, zeker gezien hoe mensen de term nu gebruiken namelijk als schaamlap voor alles dat ze maar willen. Maar ‘gerechtvaardigd’ betekent niet dat jij het goed moet vinden, het betekent dat het binnen de wet past, van de wet te rechtvaardigen is.

In de kern komt het erop neer dat er situaties zijn waarin jij ook gewoon een belang hebt, bijvoorbeeld de bescherming van jouw eigendom (een grondrecht, immers). Dat belang moet je dan kunnen beschermen, zoals door cameratoezicht. De AVG zegt dan dat dat mag, mits je maar zo veel mogelijk de privacy van passanten beschermt.

Daar zit dan een hele belangenafweging in, inclusief zo mogelijk een opt-out op basis van persoonlijke omstandigheden. Maar in de kern zegt de AVG dus dat het mag, “in principe” zoals de AVG dat noemt.

Het lastige is natuurlijk wanneer een belang “gerechtvaardigd” is. De AVG gaat daar niet op in, en er is ook geen jurisprudentie hierover van het Hof van Justitie. Onze eigen Autoriteit Persoonsgegevens publiceerde in haar normuitleg hier wel een formulering over:

[Gerechtvaardigd] houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden.
De insteek is dus dat een belang ergens te herleiden moet zijn tot de wet, zoals in mijn voorbeeld van het eigendomsrecht dat ik wil beschermen. Een ander belang zou kunnen zijn dat ik een rechtsvordering wil instellen tegen jou, omdat jij mijn schadeclaim niet betaalt. Daarvoor heb ik jouw persoonsgegevens nodig, en dat zou ik dan onder deze grondslag kunnen doen.

Bij al die cookiedingen wordt er geschermd met “direct marketing” als gerechtvaardigd belang, omdat de AVG dat expliciet noemt als een voorbeeld. Daar zet de AP tegenover:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc
Over wat een “zuiver commercieel belang” is, heb ik het eerder gehad. Ik las dat als dat je “ik wil geld verdienen anders ga ik failliet” niet als belang mag opvoeren, maar de AP lijkt het te interpreteren als “iedere motivatie waarin ‘ik wil geld verdienen’ staat, is ongeldig”. Dat gaat wel héél ver, met name omdat grondrechten wél als gerechtvaardigd belang kunnen dienen en de vrijheid van ondernemerschap een grondrecht is. Net als de vrijheid van meningsuiting; als ik jouw privacy mag schenden door iets te publiceren, waarom dan niet door jou te tracken?

Specifiek bij cookies werkt dit trouwens bijna nooit. De Telecommunicatiewet eist toestemming voor ieder plaatsen of uitlezen van informatie, ongeacht wat de AVG eventueel zegt over de persoonsgegevens-aspecten van die informatie. Dus een cookie plaatsen of een remote software update uitvoeren mag alleen met toestemming.

De Nederlandse uitzondering daarop is dat cookies die geen of geringe privacy-inbreuk maken, géén toestemming nodig hebben. Daarmee kun je dus bijvoorbeeld third-party analytics inzetten, hoewel daar tracking cookies bij komen kijken. Als je dat goed dichttimmert, dan is dat legaal zonder toestemming – en dán kun je je dus op gerechtvaardigd belang beroepen. Ik zou dus zeggen vrijheid van informatiegaring – weten hoe je site bezocht wordt.

Arnoud

Mag je door anoniem browsen een paywall omzeilen?

| AE 9379 | Security | 36 reacties

Een lezer vroeg me:

Laatst vond ik in een discussiegroep een link naar een artikel, maar dat bleek achter een paywall te zitten. Nadat ik me daarover beklaagd had, kreeg ik te horen dat ik met anoniem browsen het artikel wél gratis kon zien. Maar is dat geen computervredebreuk dan, ik omzeil dan toch een beveiliging?

De beveiliging waar het hier om gaat, is een cookie: je krijgt bij bijna alle paywall-sites een aantal artikelen gratis, en dat aantal wordt geteld in een cookie. Met anoniem browsen (“private mode”) worden cookies na elke sessie weggegooid, dus staat dat aantal elke keer op nul.

Van computervredebreuk is sprake wanneer je opzettelijk en wederrechtelijk binnendringt in een computersysteem. Een beveiliging of toegangscontrole omzeilen is een mogelijke manier om dat te doen, maar waar het uiteindelijk om gaat is of je weet of moest weten dat je ergens bent in het systeem waar je niet mag zijn.

Met enige fantasie is die cookie-teller als een beveiliging te zien, of kun je het weggooien van het cookie zien als een technische ingreep. Daarmee is aan dat deel van het delict computervredebreuk voldaan.

Blijft over de vraag: ben je wederrechtelijk binnengedrongen? Oftewel ben je ergens waar je niet mag zijn, en ben je daar zonder enige bevoegdheid?

Het lijkt me evident dat als iemand een truc uithaalt om een betaald bericht gratis voor ogen te krijgen, hij computervredebreuk pleegt. Denk aan het gebruik van andermans wachtwoord, of het kapen van iemands inlogsessie om zo die toegang te krijgen. Maar de truc hier is niet gericht op het zoamaar lezen van een betaald bericht; het gaat om het toegang krijgen tot een zesde bericht die maand terwijl je er maar vijf mag lezen.

Dat voelt toch net even anders. Deze berichten zitten niet echt achter een paywall, je staat te lezen in de tijdschriftenwinkel en de juffrouw (m/v) achter de balie snauwt je toe “het is hier geen bibliotheek meneertje (m/v)”. En nu doe je na elk artikel een andere jas aan zodat ze je niet herkent. Ik kan dat moeilijk op één lijn stellen met na sluitingstijd inbreken. Dus nee, ik denk niet dat dit een strafbaar feit is.

Arnoud

Facebook mag niet-ingelogde internetters in België weer gaan volgen

| AE 8766 | Privacy | 22 reacties

Facebook mag niet-ingelogde Belgische internetters weer twee jaar gaan volgen met een datr-cookie, meldde Tweakers vorige week. In 2015 verbood de rechtbank dit volgen op verzoek van de Privacycommissie (de Belgische Autoriteit Persoonsgegevens), maar dat verbod wordt nu ongeldig verklaard omdat er onvoldoende spoedeisend belang zou zijn geweest. Facebook weet alles van iedereen, onder meer… Lees verder

De cookiewet is dus gemaakt om stiekeme Windows 10-preloads tegen te gaan

| AE 8013 | Intellectuele rechten, Privacy | 27 reacties

Microsoft schendt de Europese cookiewet met het automatisch en stilletjes downloaden van Windows 10-installatiebestanden op Windows 7 en 8.1. Dat schreef PCM gisteren op gezag van ondergetekende. Wie Windows 7 of 8 heeft, kan nu zomaar extragratis en stiekem een installatiebestand van 5 gigabyte op zijn harddisk hebben om naar Windows 10 te upgraden (kijk… Lees verder

Wat mag er nu de cookiewet wordt versoepeld?

| AE 7414 | Privacy | 20 reacties

Het voelt een tikje als verplicht nummer, deze blog, maar goed. De versoepelde cookiewet is aangenomen in de Eerste Kamer. Nu is het alleen nog even wachten op inwerkingtreding, maar dan zal het toegestaan zijn om niet-functionele cookies te plaatsen zonder toestemming te vragen zolang het gaat om cookies die “geen of slechts geringe” inbreuk… Lees verder

Wat gaan we nou eens doen met die cookiewet?

| AE 6488 | Innovatie, Privacy | 37 reacties

Nederlandse websites schenden massaal de privacywetgeving door informatie over surf- en klikgedrag van bezoekers, zonder hun toestemming, door te geven aan advertentiebedrijven, meldde NRC gisteren. Grote woorden: het gaat zo te lezen om de inzet van Google Analytics en dergelijke tools, niet om drones die bij de bezoeker in de slaapkamer het gedrag livestreamen naar… Lees verder

Europa wil cookiewet wijzigen met pseudo-anonieme cookies

| AE 5584 | Privacy | 35 reacties

Zelfs de makers van de cookiewet zijn er niet meer blij mee. Europarlementariërs pleiten ervoor cookies in te zetten die niet tot de persoon herleidbaar zijn, maar wel interessant zijn voor adverteerders, las ik bij Nu.nl. Concreet: Europarlementariër Seán Kelly presenteerde een voorstel voor “pseudo-anonieme cookies”, meldde Emerce. Data moet niet aan een persoon maar… Lees verder

Kun je wel cookietoestemming geven bij een cookiemuur?

| AE 5089 | Privacy | 40 reacties

Oh jee, de cookiewet is nóg erger dan we al dachten: “Van in vrijheid gegeven, rechtsgeldige toestemming is geen sprake” wanneer een website het geven van cookietoestemming verplicht, meldde het College bescherming persoonsgegevens tegenover Webwereld. Tenminste, als die site een “situationele monopoliepositie” heeft, zoals bij de Publieke Omroep die achter een cookiemuur zit. Maar eigenlijk,… Lees verder