Websites die bezoekers alleen
toegang geven als deze akkoord gaan met het plaatsen van tracking cookies
voldoen niet aan de Algemene verordening gegevensbescherming (AVG), vindt
de Autoriteit Persoonsgegevens. Veel websites maken gebruik van een zogeheten
cookiemuur: in een pop-up wordt om toestemming gevraagd voor het plaatsen en
lezen van cookies, maar als er geen toestemming wordt gegeven kan de bezoeker
de site niet bezoeken.

 

Deze normuitleg heeft niet alleen een
grote impact op de verdienmodellen van veel websites; de restrictieve uitleg
van het criterium ‘vrije wilsuiting’ door de Autoriteit Persoonsgegevens wijkt
af van het standpunt dat de wetgever voor ogen had bij de totstandkoming van de
cookieregels.

 

Cookiemuur staat vrije wilsuiting
niet in de weg

 

De definitie van “toestemming” in de
AVG schrijft voor dat sprake moet zijn van een vrije wilsuiting.
De internetgebruiker moet met andere woorden keuzevrijheid hebben. De
Autoriteit Persoonsgegevens stelt zich op het standpunt dat bij cookiemuren op
websites de toestemming niet vrij is gegeven omdat websitebezoekers zonder het
geven van toestemming geen toegang tot de website krijgen. De websitebezoeker
heeft dan kennelijk geen vrije keuze, aldus de Autoriteit Persoonsgegevens.

 

Deze discussie over cookiemuren en
(vrije) toestemming is niet nieuw. Bij de wijziging van de cookieregels in 2014
is dit onderwerp uitvoerig besproken. De wetgever heeft destijds
het standpunt ingenomen dat een algemeen verbod op cookiemuren voor commerciële
websites onwenselijk en dat cookiemuren niet indruisen tegen het vereiste dat
toestemming vrij moet zijn:

 

Het
niet, of alleen tegen betaling, kunnen gebruiken van de website die de bezoeker
opvraagt is op zichzelf nog niet voldoende om aan te nemen dat de bezoeker geen
vrije keuze kan maken om al dan niet met het gebruik van cookies in te stemmen.
Een cookiemuur is over het algemeen dan ook een rechtmatige manier om aan het
toestemmingsvereiste in de cookiebepaling te voldoen
.”

 

Natuurlijk zijn er ook situaties
waarin de keuzevrijheid van de websitebezoeker wordt ondermijnd:

 

Daar
is in ieder geval sprake van als de bezoeker zo afhankelijk is van de via een
bepaalde website aangeboden diensten en informatie, dat er door het gebruik van
de cookiemuur geen sprake meer kan zijn van een vrije wilsuiting, bijvoorbeeld
als aan het niet-toestemming geven, de consequentie wordt verbonden dat de
internetgebruiker een wettelijk recht (bijvoorbeeld nummerbehoud bij het
overstappen naar een andere telefonie-aanbieder) niet kan uitoefenen, een
wettelijke plicht (bijvoorbeeld belastingaangifte) niet kan naleven, of minder
goede medische zorg krijgt
.”

 

Maar of hiervan sprake is, moet aan
de hand van de omstandigheden van het concrete geval worden beoordeeld. Het zal
dan meestal gaan om websites van een monopoliehouder of van de overheid, waarop
een dienst of informatie wordt verstrekt die de internetgebruiker nergens
anders kan krijgen. Een algeheel verbod op cookiemuren op voorhand, zonder
beoordeling van de concrete omstandigheden, zoals de Autoriteit
Persoonsgegevens doet, gaat daarom te ver. Een cookiemuur biedt in de meeste
gevallen wel degelijk een mate van keuzevrijheid die resulteert in vrij gegeven
toestemming. De websitebezoeker behoudt immers de volledige controle over de
situatie. Websites plaatsen doorgaans alleen de cookies nadat de bezoeker de
bewuste en geïnformeerde toestemming heeft gegeven om cookies te plaatsen.
Daarnaast kan de websitebezoeker de toestemming weigeren door de website te
verlaten en voor een van de vele alternatieven te kiezen. Deze mening is overigens
ook de Oostenrijkse privacy toezichthouder toegedaan.

 

Impact op verdienmodellen en
ondernemersvrijheid

 

De meeste websites zijn toegankelijk
zonder dat daarvoor moet worden betaald. Dit is in veel gevallen slechts
mogelijk omdat de website gefinancierd wordt uit advertentie-inkomsten. In 2015
heeft de regering zich op het
standpunt gesteld dat als een websitebezoeker
niet bereid is de “prijs” van de website, het toestaan van tracking cookies, te
betalen, het de aanbieder van de website in beginsel vrij moet staan om de
verdere toegang te weigeren. De regering heeft nadrukkelijk geen afbreuk willen
doen aan de ondernemersvrijheid met betrekking tot de mogelijkheden van de
aanbieder van een website om een tegenprestatie te verlangen voor het gebruik
van zijn website.

 

De economische waarde van de
Europese online advertentiemarkt wordt geschat op 23,5 miljard euro in 2020.
Daarvan komt ruim 21,4 miljard voort uit gepersonaliseerde advertenties. Indien
veel minder advertenties kunnen worden getoond, zouden bedrijven zo’n 35
procent aan advertentie-inkomsten mislopen, zo blijkt uit een
Duits
onderzoek
. Dit geldt vooral voor mediabedrijven die hun content
gratis aanbieden en hun omzet voornamelijk uit gerichte advertenties halen. De
verwachting is dan ook dat de impact op het Nederlandse medialandschap groot
zal zijn.

 

De regering is het niet eens met de
toezichthouder

 

In reactie op het standpunt van de wetgever
heeft de Autoriteit Persoonsgegevens (toen nog het College Bescherming
Persoonsgegevens) destijds, zoals nu weer, laten weten dat het gebruik van een cookiemuur niet
in overeenstemming is met de privacywetgeving. Maar de wetgever liet toen al uitdrukkelijk
weten het daar niet mee eens te zijn:

 

In
het kader van het toestemmingsvereiste gaat het CBP in op het afhankelijk
stellen van toegang tot de website van het geven van toestemming voor het
plaatsen/lezen van cookie (de cookiemuur). Het CBP wijst daarbij op de laatste
volzin van overweging 25 van de e-Privacyrichtlijn: «Aan toegang tot specifieke
inhoud van een website kan nog altijd de voorwaarde worden verbonden dat een
cookie of soortgelijke voorziening, indien gebruikt voor een legitiem doel,
bewust wordt aanvaard.» Hieruit lijkt het CBP, a contrario, uit af te leiden
dat het afhankelijk maken van de toegang tot de gehele website van het geven van
toestemming voor het gebruik van cookies, niet is toegestaan. De regering deelt deze lezing echter niet
.”

 

Cookiewet staat cookiemuur toe

 

De
Nederlandse cookiewet, die gebaseerd is op de Europese ePrivacy-richtlijn,
bevat wel een verbod op cookiemuren, maar deze is alleen van toepassing op
websites van de overheid. Omdat deze websites met overheidsgeld zijn
gefinancierd en dus reeds zijn betaald, kan de websitebezoeker niet worden
gedwongen om nogmaals met zijn privacy voor toegang tot deze websites te
betalen. Een dergelijk verbod voor commerciële websites volgt niet uit de wet.

 

Ook de
opvolger van de ePrivacy-richtlijn, de ePrivacy-verordening,
die nu bij de Europese Raad wordt besproken, zal naar alle verwachting geen
algemeen verbod bevatten op het gebruik van cookiemuren.

 

En nu?

 

De
normuitleg van de Autoriteit Persoonsgegevens leidt ertoe dat een verdienmodel
op basis van advertenties nauwelijks meer mogelijk is. Voor nieuwswebsites die
hun content vooral gratis aanbieden, en dus advertentie-inkomsten moeten
genereren om de investeringen in journalistiek terug te kunnen verdienen, zal
dit waarschijnlijk betekenen dat het aanbod achter betaalmuren verdwijnt.
Gratis mediadiensten zullen dan uit het online landschap verdwijnen.

 

Het is dan
ook zeer de vraag of het standpunt van de Autoriteit Persoonsgegevens, gelet op
de wetsgeschiedenis en de nieuwe ePrivacy-verordening, die waarschijnlijk dit
jaar in werking zal treden, stand zal houden.

 

 

https://www.solv.nl/weblog/is-het-verbod-van-cookiemuren-door-de-autoriteit-persoonsgegevens-terecht/21762