Onderstaand artikel van Maarten Verhaghe – advocaat bij VDV ilaw – verscheen eerder in Tijdschrift Notarieel Management, nr. 2020/3.
Interesse in het volledige nummer? Bekijk hier de inhoudsopgave in preview of raadpleeg de abonnementsvoorwaarden!
Het gebruik van cookies uitgelegd aan de hand van Europese wetgeving en recente rechtspraak
Cookies uitgelegd?
Cookies zijn kleine databestanden die op de apparatuur van de eindgebruiker kunnen worden geplaatst.
Deze bestanden of cookies kunnen verschillende doeleinden hebben zoals het bewaren van de inhoud van het winkelmandje bij een webshop, het bijhouden van de taalvoorkeuren van de gebruiker, het bewaren van wachtwoorden zodat de gebruiker niet telkens zijn wachtwoord dient in te geven bij het consulteren van zijn/haar account, … Kortom vele toepassingen die het leven van de internetgebruiker makkelijker maken en het surfen faciliteren.
Maar er is ook een keerzijde aan deze bestanden. Namelijk het volgen of tracken van de internetgebruiker op het internet, het opslaan van de geo-locatie, het opslaan van zijn voorkeuren om zo gepersonaliseerde reclameaanbiedingen te adverteren, het opmaken van bezoekersstatistieken, …
De toepassing van cookies zijn legio. Het is een handig marketinginstrument, waarmee de voorkeuren van de gebruiker kunnen worden gemonitord en het gedrag kan worden gestuurd.
Hoe wordt het gebruik en plaatsen van cookies wettelijk geregeld?
De Europese richtlijn en interpretatie
Het gebruik van cookies wordt wettelijk geregeld in de ePrivacyrichtlijn 2002/58.
Deze Richtlijn weerhoudt dat de plaatsing en het gebruik van cookies onderworpen is aan de geïnformeerde toestemming van de internetgebruiker, die te allen tijde kan worden ingetrokken. Tevens wordt in de overwegingen van de Richtlijn duidelijk gesteld dat de internetgebruiker zijn/haar toestemming kan uiten aan de hand van een opt-in of het aanvinken van een vakje op een website.
Om de draagwijdte en toepassing van de vooropgestelde “toestemming” van de internetgebruiker te kennen, dient te worden verwezen naar de Privacyrichtlijn 95/46, waar de Europese wetgever duidelijk vooropstelt dat er slechts sprake kan zijn van een rechtmatige toestemming indien deze toestemming ondubbelzinnig is verleend. Dit houdt in dat deze enkel door een actieve gedraging kan worden geuit.
Daarom is het van belang dat het plaatsen van cookies gebaseerd wordt op een geïnformeerde, vrije, ondubbelzinnige wilsuiting van de internetgebruiker. Ten einde dergelijke toestemming te kunnen verkrijgen dient de internetgebruiker geïnformeerd te worden aan de hand van een duidelijk en in begrijpbare taal opgesteld cookiebeleid.
De eigenaar van de website heeft dus de taak om te voorzien in:
- een transparante tekst waarin vermeld wordt waarom cookies geplaatst worden, hoe lang de cookies op de apparatuur van de internetgebruiker bewaard worden, hoe de toestemming kan worden ingetrokken, hoe cookies gewist kunnen worden, …
- de mogelijkheid voor de internetgebruiker zijn/haar toestemming te geven om een bepaald cookie of type cookies te aanvaarden door het aanvinken van een vakje op de website.
- de internetgebruiker toe te laten de website te bezoeken zonder dat enige cookies worden geplaatst.
Uitzonderingen?
Evenwel dient er toch te worden opgemerkt dat de uitdrukkelijk geïnformeerde toestemming van de eindgebruiker niet altijd nodig is.
Loco citato indien de cookie noodzakelijk is voor de transmissie van een telecommunicatiesignaal over het netwerk en de cookie strikt noodzakelijk is voor het leveren van een dienst van de informatiemaatschappij door de internetgebruiker.
Hierbij kan gedacht worden aan cookies die gebruikt worden om veilig op een website in te loggen, de inhoud van het winkelmandje onthouden, de website en communicatie te beveiligen, de website sneller te laden, …
Let wel, indien de cookie bijkomend voorziet in analytische, statistische, tracking of monitoringdiensten, is de uitdrukkelijk geïnformeerde toestemming van de eindgebruiker opnieuw vereist.
Rechtspraak
Het Europees Hof van Justitie neemt in haar arrest Planet 49 van 1 oktober 2019 voormelde regelgeving onder de loep en past de principes van de Algemene Verordening Gegevensbescherming, hierna de AVG, betreffende toestemming toe.
Het Hof oordeelt vooreerst dat cookies pas kunnen worden geplaatst na een actieve handeling van de websitebezoeker en dat er geen toestemming kan worden gegeven aan de hand van vooraf aangevinkte vakjes.
Daarenboven dient de toestemming van de gebruiker in overeenstemming te zijn met de bepalingen van de AVG. Dit houdt in dat de internetgebruiker slechts zijn/haar toestemming kan geven wanneer deze vrij, geïnformeerd en ondubbelzinnig is, ongeacht of de cookies persoonsgegevens verwerken of niet.
In lijn met voormeld arrest van het Europees Hof van Justitie heeft de Belgische Gegevensbeschermingsautoriteit, hierna de GBA genoemd, eind december 2019 de juridische website “Jubel” veroordeeld tot een administratieve geldboete van 15.000 euro.
Voormelde rechtspraak creëert een precedent in de privacyhandhaving en telt minstens als een schot voor de boeg voor de vele websites die op heden geen adequaat cookiebeleid voeren of zelfs ieder beleid ontbreken.
Immers kan er nu geen discussie meer bestaan omtrent het al dan niet vereist zijn van een geldige toestemming voor het plaatsen van niet-essentiële cookies, dus ook voor de door de eigen website gebruikte statistische of analytische cookies. De gevolgen voor de praktijk zijn ingrijpend.
Gevolgen voor de praktijk
Ondanks dat dit wetgevend kader bijna twee decennia bestaat, is de actualiteit ervan nog nooit zo groot geweest, gezien de online aanwezigheid van ondernemingen, instellingen en overheden vandaag niet meer weg te denken is.
De massale aanwezigheid op het wereldwijde web creëert een nieuwe problematiek.
Namelijk het gebrek aan interne knowhow om een website te bouwen, waardoor het ontwikkelen van de eigen website veelal wordt uitbesteed aan een reclame-, ICT- of communicatiebedrijf, zonder dat enige juridische scan van de website, het cookiebeleid en/of het technisch procedé wordt uitgevoerd, laat staan wordt afgetoetst met de wettelijke bepalingen hieromtrent.
Het gevolg is dat vele website eigenaars geen kennis hebben van de verwerkingen die achter de schermen van de website plaatsvinden, onder andere het plaatsen van cookies, maar er wel de volle verantwoordelijkheid en aansprakelijkheid voor dragen. Het is namelijk de verantwoordelijkheid van de website eigenaar om aan te tonen dat de toestemming van de internetgebruiker werd verkregen vooraleer de cookies op de eindapparatuur mogen worden geplaatst.
Doch moet worden vastgesteld dat op heden vele websites nog altijd het principe van de toestemming met de voeten treden door nog gebruik te maken van onderstaande toepassingen:
- het plaatsen van cookies, gebaseerd op de impliciete toestemming van de gebruiker, meer specifiek door het verder surfen geeft de gebruiker zogenaamd zijn toestemming;
- de cookiewall, waardoor de gebruiker gedwongen wordt om zijn/haar toestemming te geven, zo niet kan de website niet worden bezocht.
Bijkomend kan nog een belangrijke technische opmerking worden gemaakt: bij de opbouw van de website moet ook rekening worden gehouden met het moment waarop de cookies worden geplaatst. Namelijk kunnen cookies, behoudens de essentiële cookies, enkel geplaatst worden nadat de toestemming van de internetgebruiker is verkregen.
Het hoeft geen verder betoog dat de strikte interpretatie van de ePrivacyrichtlijn door het Europees Hof van Justitie een diepgaande impact kent voor de praktijk en de plaatselijke toezichthoudende autoriteiten, zoals de GBA, zullen toezien op de naleving ervan.
Indien u verdere vragen heeft omtrent de toepassing van de ePrivacyrichtlijn, de AVG of uw cookiebeleid, kan u vrijblijvend contact opnemen met Mr. Maarten Verhaghe, maarten@vdv-ilaw.com.
Maarten Verhaghe, advocaat VDV iLaw
0 reacties