De Europese koepelorganisatie van nationale autoriteiten voor gegevensbescherming hebben gezegd dat cookiemuren niet zijn toegestaan. Dat las ik bij Tweakers. De EDPB (want zo heet ‘ie) heeft haar richtsnoeren over toestemming herzien onder de AVG (waarom Tweakers dat “een verordening” noemt, ontgaat mij) en komt daarin tot de conclusie dat het écht écht écht vrij gegeven moet zijn en dat een cookiemuur dat niet doet. En nee, dit is niet “maar een mening” die desgevraagd bij de rechter zou kunnen standhouden of niet.
De European Data Protection Board (EDPB) is het onafhankelijk Europees orgaan dat erop toeziet dat de AVG consequent wordt toegepast en dat de samenwerking tussen de gegevensbeschermingsautoriteiten van de EU bevordert. Dit omdat we niet één Europese toezichthouder hebben. Deel van hun werk is het uitgeven van richtsnoeren (artikel 70 AVG) waarin ze aangeven hoe de AVG moet worden uitgelegd of toegepast.
Die richtsnoeren zijn inderdaad geen wet, maar het komt erg dicht in de buurt. De ‘mening’ van de EDPB is zeer zwaarwegend en wordt in ieder geval door de individuele toezichthouders nauwlettend gevolgd, waardoor je dus vrij zeker weet dat je aangesproken kunt worden als jij als bedrijf dit niet volgt.
En daarbij komt dat een boete (of last onder dwangsom) van een toezichthouder niet een vrijblijvend advies is waar de rechter dan het laatste woord over heeft – een beetje rare framing vind ik dat altijd. Toezichthouders zijn tóezichthouders, zij leggen verboden op of eisen boetes. Inderdaad kan de rechter toetsen of een toezichthouder goed te werk is gegaan, maar dat is niet hetzelfde als wanneer ik een schadeclaim neerleg en de rechter toetst of ik gelijk heb. Of zelfs maar de strafrechter die toetst of de officier van justitie wel echt de juiste verdachte te pakken heeft. Het is marginale toetsing; had de toezichthouder dit kúnnen beslissen of is dit apert onredelijk. Zit de boete binnen de gepubliceerde bandbreedte, dat werk.
Ja sorry ik erger me aan die manier van praten over toezichthouders omdat het hun positie reduceert en men daardoor gaat denken “we merken het bij de rechter wel, alle kansen zijn nog open”. Nou, vergeet het maar. Met een richtsnoer als dit zou ik geen argument meer weten waarom jij als bedrijf gewoon een cookiemuur neer kan zetten die botweg zegt “of de cookies, of geen site voor jou”.
Maar laten we eerlijk zijn: dat argument was er al nooit, al sinds de regel was dat cookies (tenzij functioneel) toestemming nodig hadden en toestemming vrijwillig gevraagd moest worden. “Je hóeft onze site niet binnen” heb ik nooit een sterk verhaal gevonden.
Arnoud