Een lezer vroeg me:

Websites en apps moeten toestemming vragen voordat ze gegevens mogen verwerken waarmee gebruikers zijn te volgen. Denk bijvoorbeeld aan cookiebanners of toestemmingsvinkjes in apps. Tegelijkertijd verstuurt je browser standaard allerlei technische informatie (zoals user agent, fonts en tijdzone) naar websites waarmee een fingerprint van het device is te maken en de gebruiker online is te volgen. Ook je besturingssysteem maakt allerlei informatie voor apps beschikbaar die dit voor tracking kunnen gebruiken. Dit gebeurt eigenlijk altijd zonder aparte toestemming. Waarom kent de wet dat onderscheid?

De toestemmingsvraag voor cookies en dergelijke gaat terug op de Telecommunicatiewet: het uitlezen of plaatsen van informatie op randapparatuur in een netwerk mag alleen met toestemming van de gebruiker. Op die toestemming is dan weer de AVG van toepassing. Tracking cookies zijn stukjes informatie (een code, soms een profiel) en die worden geplaatst op je randapparaat, dus is toestemming nodig.

Deze regel komt uit de ePrivacy-richtlijn, die in heel Europa geldt. De wet is hard en rechtlijnig, de enige uitzondering geldt voor de technisch noodzakelijke cookies, zoals het bekende cookie dat je winkelmandje beheert, of een sessiecookie voor een ingelogde gebruiker. In Nederland is daar nog een uitzondering bij gekomen, voor het doel informatie te verkrijgen over de kwaliteit of effectiviteit. Vereist daarbij is dat dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker. Dit wordt wel de Google Analytics of first-party-analytics uitzondering genoemd.

Technieken zoals browser fingerprinting op basis van die browserinformatie vallen buiten deze regel, om de simpele reden dat deze informatie niet wordt uitgelezen van het randapparatuur. De browser, een applicatie onder beheer van de eindgebruiker, stuurt die proactief en ongevraagd mee. Daarom is toestemming vragen niet perse nodig.

Natuurlijk levert zo’n fingerprint een persoonsgegeven op, want het hele punt ervan is een persoon te identificeren (in de zin van: een uniek label geven) en daar analyses op te doen. Maar dat valt onder de AVG, en die kent naast toestemming nog andere grondslagen, zoals het bekende (beruchte?) eigen gerechtvaardigd belang. Zolang je daar een beroep op kunt doen, mag je dus met fingerprints tracken zonder toestemming te hoeven vragen.

Arnoud