Autoriteit Persoonsgegevens maakt een einde aan cookie walls

Websites die bezoekers alleen toegang geven als deze akkoord
gaan met het plaatsen van ‘tracking cookies’ voldoen niet aan de
Algemene verordening gegevensbescherming (AVG). Dat heeft de Autoriteit
Persoonsgegevens vandaag laten weten.
Veel websites maken gebruik van een zogeheten cookie wall: in een pop-up wordt
om toestemming gevraagd voor het plaatsen en lezen van cookies, maar als er
geen toestemming wordt gegeven kan de bezoeker de site niet bezoeken. Dit mag
dus niet (meer).

Toestemming moet
vrij zijn

Bij het gebruik van tracking cookies wordt vermoed sprake te zijn van de
verwerking van persoonsgegevens. Dit zorgt ervoor dat de gebruiker van tracking
cookies naast de cookieregels ook de privacyregels van de AVG moet naleven

De definitie van toestemming in de AVG schrijft voor dat sprake moet
zijn van een vrije wilsuiting. De
internetgebruiker moet met andere woorden keuzevrijheid hebben. De Autoriteit
Persoonsgegevens bevestigt nu dat bij cookie walls op websites de toestemming niet
vrij is gegeven omdat websitebezoekers zonder het geven van toestemming geen
toegang tot de website krijgen. De websitebezoeker heeft daarom geen vrije keuze.

Standpunt van de
regering

De discussie over tracking cookies, cookie walls en (vrije) toestemming
is niet nieuw. Bij de wijziging van de cookieregels in 2014 is dit onderwerp
uitvoerig besproken
door de regering. De regering heeft destijds het standpunt ingenomen dat een
cookie wall onder omstandigheden moet kunnen en dat dit niet indruist tegen het
vereiste dat toestemming vrij moet zijn:

“Wel kan het zo zijn dat het verdienmodel van een gratis website is
gebaseerd op de inkomsten die de websitehouder genereert met reclame op zijn
site. Zonder tracking cookies ontvangt de websitehouder lagere
reclame-inkomsten, omdat hij dan geen (op de uit het surfgedrag gebleken
interesses van de bezoeker) gerichte reclames kan aanbieden, maar moet volstaan
met minder gerichte advertenties. Dit kan voor hem aanleiding geven om
bezoekers die geen toestemming geven voor het gebruik van tracking cookies geen
gebruik te laten maken van zijn site. De
cookiebepaling schrijft alleen voor dat hij zonder toestemming geen cookies mag
plaatsen. Een cookiemuur is over het algemeen dan ook een rechtmatige manier om
aan het toestemmingsvereiste in de cookiebepaling te voldoen. Ook al is dit
niet de meest gebruiksvriendelijke manier en is het technisch ook nooit
noodzakelijk, het staat de websitehouder in beginsel wel vrij om te bepalen of
hij een bezoeker die geen toestemming geeft voor het gebruik van cookies, al
dan niet toegang geeft tot zijn website.”

Dit kan echter anders zijn als de websitebezoeker zo afhankelijk is van
de via een bepaalde website aangeboden diensten en informatie dat de bezoeker
geen andere keuze heeft dan het accepteren van de cookies. “Daar is in ieder
geval sprake van als aan het niet-toestemming geven voor het gebruik van
cookies, de consequentie wordt verbonden dat de internetgebruiker een wettelijk
recht (bijvoorbeeld nummerbehoud bij het overstappen naar een andere
telefonie-aanbieder of het inzagerecht als bedoeld in artikel 15 van de AVG)
niet kan uitoefenen, een wettelijke plicht (bijvoorbeeld belastingaangifte)
niet kan naleven, of minder goede medische zorg krijgt.”

De regering is het
niet eens met de toezichthouder

In reactie op het standpunt van de regering heeft de Autoriteit
Persoonsgegevens (toen nog het College Bescherming Persoonsgegevens) destijds,
zoals nu weer, laten weten dat het gebruik van een cookie wall  niet in overeenstemming is met de
privacywetgeving. Maar de regering liet uitdrukkelijk weten het daar niet mee
eens te zijn:

“In het kader van het toestemmingsvereiste gaat het CBP in op het afhankelijk
stellen van toegang tot de website van het geven van toestemming voor het
plaatsen/lezen van cookie (de cookiemuur). Het CBP wijst daarbij op de laatste
volzin van overweging 25 van de e-Privacyrichtlijn: «Aan toegang tot specifieke
inhoud van een website kan nog altijd de voorwaarde worden verbonden dat een
cookie of soortgelijke voorziening, indien gebruikt voor een legitiem doel,
bewust wordt aanvaard.» Hieruit lijkt het CBP, a contrario, uit af te leiden
dat het afhankelijk maken van de toegang tot de gehele website van het geven
van toestemming voor het gebruik van cookies, niet is toegestaan. De regering deelt deze lezing echter niet.”

Hoe moet het dan
wel?

In ieder geval niet met een cookie wall. Dat betekent dat websitebezoekers
of appgebruikers de mogelijkheid moeten krijgen om tracking cookies te
weigeren. Bijvoorbeeld door een informatiebalk of pop-up aan te bieden met een
duidelijke keuze tussen ‘ja’ en ‘nee’. Het zinnetje “door verder gebruik te
maken van deze website ga je akkoord met cookies” is daarom ook onvoldoende.

Onderzoek NOS

Ander aandachtspunt is dat cookies pas mogen worden geplaatst nadat de
bezoeker een keuze heeft gemaakt. Vorige week bleek uit onderzoek van de NOS
dat ruim 1300 websites (van de 10.000 onderzochte internetadressen) tracking
cookies plaatsen zonder daarvoor eerst toestemming te verkrijgen.

De Autoriteit
Persoonsgegevens blijft controleren

Het bericht van de Autoriteit Persoonsgegevens volgde na tientallen
klachten van websitebezoekers die na het weigeren van tracking cookies geen
toegang kregen tot de websites die ze wilden raadplegen. De Autoriteit
Persoonsgegevens heeft daarom aangekondigd de controle op de juiste naleving
intensiveren en heeft inmiddels een aantal specifieke partijen hierover een
brief gestuurd.

https://www.solv.nl/weblog/autoriteit-persoonsgegevens-maakt-een-einde-aan-cookie-walls/21760