Kan iemand mij uitleggen waarom ik het gerechtvaardigd belang van anderen aan en uit kan zetten?

| AE 12691 | Ondernemingsvrijheid | 10 reacties

Via Reddit:

Al een tijdje krijgen we in de koekjesschermen een andere keuze. Het gaat niet alleen meer om waar ik toestemming voor geef, maar ook om gerechtvaardigd belang. … Wat ik niet snap, is waarom ik dan in de cookiebanner naast de toestemmingsvraag ook een vraag krijg over legitiem belang. Er staat legitiem belang en dan met een slider ernaast. Alsof ik het legitieme belang van een bedrijf aan en uit kan zetten. Wat doet die slider daar?

Adverteerders zijn een jaartje of zo geleden ineens massaal van de toestemming afgestapt en naar legitiem belang gegaan. Waarom is me nog steeds niet helemaal duidelijk, maar ik vermoed dat men de bui wel zag hangen dat met cookiemuren afgedwongen toestemming niet rechtsgeldig zou zijn.

Legitiem belang of gerechtvaardigd belang is een andere grondslag: je zegt dan eigenlijk, ik mag dit gewoon want mijn belang weegt zwaarder dan uw privacy. Daar horen dan bepaalde privacybeschermende maatregelen bij. En de marketeers hebben dan het voordeel dat in overweging 47 staat dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst ‘legitimate interest’ zegt.

Die slider heb ik ook altijd over zitten denken. Ik had altijd het beeld dat die er was omdat hij er bij toestemming ook stond, en dat daar verder niet over nagedacht is. Want het is niet logisch, dat je iemands belang aan of uit kunt zetten.

Als je even doorbladert in de AVG dan kom je uit bij het recht van bezwaar, artikel 21 AVG:

1. De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 6, lid 1, onder e) of f), van artikel 6, lid 1, met inbegrip van profilering op basis van die bepalingen. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
Bezwaar maken kan dus, maar het moet gaan om redenen vanwege zijn specifieke situatie, zeg maar persoonlijke redenen. En dan moet een afweging volgen: heeft de verwerkingsverantwoordelijke dwingende gronden om tóch door te gaan?

Maar voor direct marketing is het simpeler:

3. Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.
Je moet de slider dus zien als zo’n bezwaar tegen marketing. De slider op uit zetten is dus “I object”, ik maak bezwaar. Dat voelt ergens niet correct, UI-technisch gezien, maar het werkt wel.

Arnoud

Europese toezichthouders verklaren cookiemuur verboden

| AE 11936 | Ondernemingsvrijheid, Privacy | 41 reacties

De Europese koepelorganisatie van nationale autoriteiten voor gegevensbescherming hebben gezegd dat cookiemuren niet zijn toegestaan. Dat las ik bij Tweakers. De EDPB (want zo heet ‘ie) heeft haar richtsnoeren over toestemming herzien onder de AVG (waarom Tweakers dat “een verordening” noemt, ontgaat mij) en komt daarin tot de conclusie dat het écht écht écht vrij gegeven moet zijn en dat een cookiemuur dat niet doet. En nee, dit is niet “maar een mening” die desgevraagd bij de rechter zou kunnen standhouden of niet.

De European Data Protection Board (EDPB) is het onafhankelijk Europees orgaan dat erop toeziet dat de AVG consequent wordt toegepast en dat de samenwerking tussen de gegevensbeschermingsautoriteiten van de EU bevordert. Dit omdat we niet één Europese toezichthouder hebben. Deel van hun werk is het uitgeven van richtsnoeren (artikel 70 AVG) waarin ze aangeven hoe de AVG moet worden uitgelegd of toegepast.

Die richtsnoeren zijn inderdaad geen wet, maar het komt erg dicht in de buurt. De ‘mening’ van de EDPB is zeer zwaarwegend en wordt in ieder geval door de individuele toezichthouders nauwlettend gevolgd, waardoor je dus vrij zeker weet dat je aangesproken kunt worden als jij als bedrijf dit niet volgt.

En daarbij komt dat een boete (of last onder dwangsom) van een toezichthouder niet een vrijblijvend advies is waar de rechter dan het laatste woord over heeft – een beetje rare framing vind ik dat altijd. Toezichthouders zijn tóezichthouders, zij leggen verboden op of eisen boetes. Inderdaad kan de rechter toetsen of een toezichthouder goed te werk is gegaan, maar dat is niet hetzelfde als wanneer ik een schadeclaim neerleg en de rechter toetst of ik gelijk heb. Of zelfs maar de strafrechter die toetst of de officier van justitie wel echt de juiste verdachte te pakken heeft. Het is marginale toetsing; had de toezichthouder dit kúnnen beslissen of is dit apert onredelijk. Zit de boete binnen de gepubliceerde bandbreedte, dat werk.

Ja sorry ik erger me aan die manier van praten over toezichthouders omdat het hun positie reduceert en men daardoor gaat denken “we merken het bij de rechter wel, alle kansen zijn nog open”. Nou, vergeet het maar. Met een richtsnoer als dit zou ik geen argument meer weten waarom jij als bedrijf gewoon een cookiemuur neer kan zetten die botweg zegt “of de cookies, of geen site voor jou”.

Maar laten we eerlijk zijn: dat argument was er al nooit, al sinds de regel was dat cookies (tenzij functioneel) toestemming nodig hadden en toestemming vrijwillig gevraagd moest worden. “Je hóeft onze site niet binnen” heb ik nooit een sterk verhaal gevonden.

Arnoud