Europese toezichthouders verklaren cookiemuur verboden

De Europese koepelorganisatie van nationale autoriteiten voor gegevensbescherming hebben gezegd dat cookiemuren niet zijn toegestaan. Dat las ik bij Tweakers. De EDPB (want zo heet ‘ie) heeft haar richtsnoeren over toestemming herzien onder de AVG (waarom Tweakers dat “een verordening” noemt, ontgaat mij) en komt daarin tot de conclusie dat het écht écht écht vrij gegeven moet zijn en dat een cookiemuur dat niet doet. En nee, dit is niet “maar een mening” die desgevraagd bij de rechter zou kunnen standhouden of niet.

De European Data Protection Board (EDPB) is het onafhankelijk Europees orgaan dat erop toeziet dat de AVG consequent wordt toegepast en dat de samenwerking tussen de gegevensbeschermingsautoriteiten van de EU bevordert. Dit omdat we niet één Europese toezichthouder hebben. Deel van hun werk is het uitgeven van richtsnoeren (artikel 70 AVG) waarin ze aangeven hoe de AVG moet worden uitgelegd of toegepast.

Die richtsnoeren zijn inderdaad geen wet, maar het komt erg dicht in de buurt. De ‘mening’ van de EDPB is zeer zwaarwegend en wordt in ieder geval door de individuele toezichthouders nauwlettend gevolgd, waardoor je dus vrij zeker weet dat je aangesproken kunt worden als jij als bedrijf dit niet volgt.

En daarbij komt dat een boete (of last onder dwangsom) van een toezichthouder niet een vrijblijvend advies is waar de rechter dan het laatste woord over heeft – een beetje rare framing vind ik dat altijd. Toezichthouders zijn tóezichthouders, zij leggen verboden op of eisen boetes. Inderdaad kan de rechter toetsen of een toezichthouder goed te werk is gegaan, maar dat is niet hetzelfde als wanneer ik een schadeclaim neerleg en de rechter toetst of ik gelijk heb. Of zelfs maar de strafrechter die toetst of de officier van justitie wel echt de juiste verdachte te pakken heeft. Het is marginale toetsing; had de toezichthouder dit kúnnen beslissen of is dit apert onredelijk. Zit de boete binnen de gepubliceerde bandbreedte, dat werk.

Ja sorry ik erger me aan die manier van praten over toezichthouders omdat het hun positie reduceert en men daardoor gaat denken “we merken het bij de rechter wel, alle kansen zijn nog open”. Nou, vergeet het maar. Met een richtsnoer als dit zou ik geen argument meer weten waarom jij als bedrijf gewoon een cookiemuur neer kan zetten die botweg zegt “of de cookies, of geen site voor jou”.

Maar laten we eerlijk zijn: dat argument was er al nooit, al sinds de regel was dat cookies (tenzij functioneel) toestemming nodig hadden en toestemming vrijwillig gevraagd moest worden. “Je hóeft onze site niet binnen” heb ik nooit een sterk verhaal gevonden.

Arnoud

Kun je wel cookietoestemming geven bij een cookiemuur?

cookiemuur-npoOh jee, de cookiewet is nóg erger dan we al dachten: “Van in vrijheid gegeven, rechtsgeldige toestemming is geen sprake” wanneer een website het geven van cookietoestemming verplicht, meldde het College bescherming persoonsgegevens tegenover Webwereld. Tenminste, als die site een “situationele monopoliepositie” heeft, zoals bij de Publieke Omroep die achter een cookiemuur zit. Maar eigenlijk, zo meldde de OPTA al tijdens het Grote Cookiedebat, is een cookiemuur sowieso niet helemaal in de geest van de cookiewet.

Nee, nergens in de cookiewet staat dat het mogelijk moet zijn om ook zónder cookietoestemming een site te bezoeken. In het algemeen is het immers ook zo dat je mensen mag weigeren je site te bezoeken, zonder opgaaf van redenen. (Hooguit zou dat níet mogen bij verboden discriminatie, ik mag geen vrouwen weigeren op deze blog bijvoorbeeld.) Dat mensen weigeren persoonsgegevens aan je te geven, kun je dus als grond aanvoeren om ze te weigeren.

Zou je denken. Want er is wel degelijk een tegenargument te verzinnen: persoonsgegevens afgeven kan niet zomaar, daar moet je “vrije, specifieke en geïnformeerde” toestemming voor geven. Niet zomaar “toestemming”, nee “vrije, specifieke en geïnformeerde”. Dat is een extra eis uit de Telecommunicatiewet en de Wet bescherming persoonsgegevens die in het gewone recht bij de rechtshandeling ’toestemming’ niet bestaat. En die eis is er met reden: persoonsgegevens raken aan je privacy, een grondrecht.

Het is dat ‘vrij’ waar het Cbp en de OPTA over vallen. Als ik zeg “cookies of opzouten” en jij wilt graag mijn content, kun je dan nog wel zeggen dat er ‘vrij’ toestemming is gegeven?

Bij een algemene site misschien, maar bij de Publieke Omroep niet, zo concludeert het Cbp. Die site heeft een “situationele monopoliepositie”, een term waar het mededingingsrecht doorheen schermt (maar dat mogen ze niet zeggen want dat is het terrein van de collega’s van de NMa). Het idee achter die term is dat je geen alternatief hebt voor de NPO site als je bv. gemiste TV-uitzendingen wilt terugzien, en als je geen alternatief hebt dan is een ‘ja ik wil’ per definitie niet in vrijheid gegeven.

Deze lijn doortrekkend levert op dat óók Facebook en Google geen cookiemuur mogen optrekken. Of, nog erger: dat Facebook je moet toestaan dat je pseudoniemen hanteert en je een opt-out voor targeted advertenties moet bieden. Eh. Wacht. Dán gaan er toch dingen even niet helemaal goed.

Ik snap de positie van het Cbp, en het ís ook de intentie van de cookiewet dat mensen niet zomaar cookies meer zetten, maar het levert wel een volstrekt onwerkbare situatie op.

Arnoud