Gebruikers moeten selectievakjes bij cookiemeldingen expliciet aanvinken om cookies te accepteren. Dat las ik bij Tweakers. het Europese Hof van Justitie oordeelde dat de praktijk van de vooraf aangevinkte vakjes geen rechtsgeldige toestemming oplevert. Uiteraard levert dat een hele heisa op en de marketingbranche is vast geschokt door dit keiharde oordeel, maar laten we eerlijk zijn dit wist iedereen toch al tien jaar?
Dat je voor cookies (behalve de strikt noodzakelijke) toestemming nodig hebt, staat al jaren in de cookiewet. Maar omdat toestemming vragen nogal een gedoetje is, wordt daar massaal de hand mee gelicht. Het idee was overigens dat door zulke strenge regels aan toestemming te stellen, partijen minder cookies zouden inzetten. Moehaha, inderdaad. En dan krijg je dus – naast de cookiemuur – allerhande constructies die dat recht moeten praten; ik heb alle termen wel gehoord, van soft optin tot silent consent en browsewraptoestemming. Nee, dat werkt dus niet.
In deze zaak was een Duitse site voor de rechter gedaagd. Zij vroegen toestemming met de ‘ja’ alvast aangevinkt, en ook nog eens gecombineerd met een ander onderwerp. Het Hof kreeg echter niet de vraag of dat laatste mocht, wat nogal een gemiste kans is want ook daar was een keihard “nee, wat denk je zelf” best op zijn plaats geweest. Maar helaas. De vraag “mag het vinkje alvast aan staan” wordt wel duidelijk beantwoord: nee. Ik herhaal: nee. En voor de IT-ers die vinden dat twee ontkenningen elkaar opheffen: nogmaals nee.
Het doet er daarbij niet toe of de cookies iets met persoonsgegevens te maken hebben. Hoewel de regels over toestemming uit de AVG komen, is de cookiewet breder. Ieder opslaan of uitlezen van informatie op iemands computer vereist AVG-compliant toestemming. Ook bij bijvoorbeeld een update van je software of het opvragen van een bestandje zonder persoonlijke informatie. Blijf van mijn laptop tenzij ik zeg dat je erin mag. En dat mag dus niet met vooraf aangevinkte vinkjes.
Overigens stond dit al vrij letterlijk in de AVG: “Silence, pre-ticked boxes or inactivity should not therefore constitute consent.” Het is me dus niet helemaal duidelijk waarom de Duitse rechter het überhaupt nodig vond om de vraag toch aan het Hof voor te leggen, maar op zich wel fijn want dit is duidelijker dan een lagere Duitse rechter. Maar het blijft gek, dat we al sinds de cookiewet en sinds de AVG gewoon door blijven gaan met deze praktijk.
Of nou ja, gek. Nee. Zo raar is het niet, want er wordt niet gehandhaafd op deze praktijk. En dan kun je nog zulke strenge regels stellen, maar als je voor boetes niet bang hoeft te zijn, waarom zou je dan?
Misschien dat ik maar eens zo’n private handhavingsclub ga oprichten, elke website waar ik zo afgedwongen toestemming moet geven, mag me vervolgens honderd euro schadevergoeding betalen. Eens zien of dat werkt?
Arnoud
