De discussie omtrent het plaatsen van cookies via een website en de al dan niet vereiste toestemming aan de hand van een uitdrukkelijke actieve handeling is opnieuw uiterst actueel. De reden hiervoor is terug te vinden in twee recente beslissingen, meer bepaald het arrest van het Europees Hof in de Planet49 zaak van oktober 2019 en beslissing van de Belgische Gegevensbeschermingsautoriteit van 17 december 2019.
Voormelde beslissingen roepen opnieuw vragen op bij zowel grote als kleine ondernemers voor wie de privacywetgeving plots geen ver-van-mijn-bed-show meer is, maar beduidend met een grote serieux dichterbij komt.
Om U te gidsen door deze complexe materie, pogen we om de cookieproblematiek op een functionele manier te duiden aan de hand van onderstaande frequently asked questions:
Wat zijn cookies?
Cookies zijn kleine bestanden die door een website op de apparatuur (smartphone, pc, …) van de websitebezoeker worden geplaatst en diverse informatie van de internetgebruiker en het surfgedrag kunnen opslaan.
De functie van cookies is tweeledig, enerzijds zijn zij essentieel om de gebruiker toe te laten de website te kunnen bezoeken en te beleven, anderzijds slaan zij informatie op over het surfgedrag van de gebruiker en staan zij toe de gebruiker op het internet te volgen.
Deze laatste functie van de cookies is voor bedrijven (vooral voor marketeers) uiterst interessant gezien zij door de analyse van de cookies de interesses en behoeften van de internetgebruiker kunnen identificeren. Zo kan men gepersonaliseerde reclame aanbieden bij het bezoeken van websites om het gedrag van de internetgebruiker te beïnvloeden.
Is de GDPR van toepassing op cookies?
De regelgeving op cookies gaat terug tot de e-privacyrichtlijn, die op haar beurt gebaseerd is op de toenmalige privacyrichtlijn en ook volgens deze richtlijn geïnterpreteerd moet worden. Weliswaar is de privacyrichtlijn met de komst van de GDPR (Algemene verordening gegevensverwerking) vervangen en afgeschaft.
De rechtspraak van het Europees Hof van Justitie heeft reeds in twee recente arresten bevestigd dat de GDPR nu als basiswetgeving dient om de e-privacyrichtlijn te interpreteren en toe te passen. Aldus zijn zowel de GDPR als de e-privacyrichtlijn, hier omgezet in de Telecommunicatiewet van toepassing op cookies en het plaatsen ervan.
Voor de interpretatie van de e-privacyrichtlijn en de toepassing van de Belgische Telecommunicatiewet brengt dit natuurlijk gevolgen met zich mee.
Zo wordt een website-eigenaar gehouden om op transparante manier de uitdrukkelijke, geïnformeerde en vrije toestemming te verkrijgen van de internetgebruiker vóór het plaatsen van zogenaamde ‘consent’ cookies (cookies waarvoor een toestemming van de gebruiker nodig is).
Dit houdt in dat een website moet voorzien in:
- Een transparante, duidelijke cookiepolicy die vermeldt voor welke doeleinden de cookies geplaatst worden, hoe lang deze bewaard worden, hoe deze gewist kunnen worden, hoe een toestemming kan worden ingetrokken, …. .
- De mogelijkheid voor de internetgebruiker om per consentcookie zijn uitdrukkelijke toestemming aan de hand van een actieve handeling te kunnen geven alvorens deze op de apparatuur van de gebruiker wordt geplaatst.
- Een mogelijkheid om de internetgebruiker de website te laten bezoeken zonder het plaatsen van consentcookies.
Daarnaast zal de verwerkingsverantwoordelijke van de website gehouden zijn de verkregen persoonsgegevens uit de cookies overeenkomstig de bepalingen van de GDPR te verwerken.
Is er altijd toestemming van de eindgebruiker nodig voor het plaatsen van cookies?
De wetgever, zowel de Europese als de Belgische wetgever, die de e-privacyrichtlijn heeft omgezet in de Belgische Telecommunicatiewet, voorzien in twee gevallen waar kan afgeweken worden van het principe van de uitdrukkelijke geïnformeerde toestemming:
- De cookie is noodzakelijk voor de transmissie van communicatiesignaal over het netwerk.
- De cookie is strikt noodzakelijk voor het leveren van een gevraagde dienst door de internetgebruiker.
Het gevolg hiervan is dat er voor alle andere cookies, de zogenaamde consentcookies, een geïnformeerde, vrije en uitdrukkelijke toestemming vereist is alvorens deze kunnen worden geplaatst op de apparatuur van de internetgebruiker.
Dit wil zeggen dat enkel voor authenticatiecookies, technische cookies, sessiecookies (die slechts een heel beperkte tijd worden bijgehouden op de apparatuur van de internetgebruiker) geen toestemming vereist is. Weliswaar op voorwaarde dat de cookie noodzakelijk is voor de transmissie van een communicatiesignaal of voor het leveren van bepaalde diensten. Blijkt dat de cookie niet strikt noodzakelijk zou zijn of nog een andere functie zou hebben dan is hiervoor alsnog een toestemming vereist.
We kunnen dus besluiten dat voor alle third-party cookies (cookies van anderen dan de website, zoals marketeers, facebook, tracking…) en voor sommige first-party cookies (cookies van de website die niet noodzakelijk zijn zoals bijvoorbeeld statische of analytische cookies, …) de bezoeker van de site toestemming moet geven op een actieve, geïnformeerde en vrije wijze.
Is een cookiewall de geboden en ultieme oplossing of niet?
Een fenomeen dat de laatste tijd de kop opsteekt is de zogenaamde cookiewall, die de internetgebruiker enkel de mogelijkheid geeft om zijn of haar toestemming voor het plaatsen van cookies te geven alvorens toegang tot de website te geven.
Dergelijke praktijk zal ook de rechterlijke toets omtrent de vrijheid van toestemming niet doorstaan. De e-privacyrichtlijn verwijst immers letterlijk naar de definitie van toestemming zoals weerhouden in de toenmalige privacyrichtlijn die nu vervangen is door de GDPR. De wetgever is in beide teksten duidelijk dat een toestemming ‘vrij’ moet zijn.
Gelet dat een cookiewall geen alternatief voorziet om de website te bezoeken zonder het plaatsen van consent cookies is dit ook een inbreuk op de richtlijn als de GDPR.
Een best-practice zou kunnen worden gevonden in een privacydashboard waar de internetgebruiker zijn voorkeuren per cookie kan aangeven.
Besluit
De beslissing van de Gegevenbeschermingsautoriteit, waarbij ze in haar korte bestaan een standpunt heeft ingenomen door haar hoogste sanctie tot nu toe op te leggen, heeft het woord privacy opnieuw op menukaart van menige bedrijven en instellingen voor 2020 geplaatst.
De websites van de meeste ondernemingen en instellingen zijn immers meestal niet het resultaat van een eigen ontwikkeling en beheer, maar wel van een marketing- of internetbureau die de website heeft ontworpen, voorzien van de nodige functionaliteiten waaronder de plaatsing van cookies.
Hierdoor zijn de meerderheid website-eigenaars niet op de hoogte van welke processen hun website uitvoert, laat staan welke cookies er worden geplaatst, of de tekst van de cookiepolicy wel afdoende is, …. Een doorlichting van de website, de processen en de policies om het nieuwe jaar te starten is dus niet zo een slecht idee.
Indien u verdere vragen heeft omtrent uw cookiebeleid en GDPR , kunt u gerust contact opnemen met maarten.verhaghe@vdv-ilaw.com
Maarten Verhaghe
0 reacties