Een lezer vroeg me:

Marketingcookies (retargeting) worden vrijwel door alle websites toegepast om advertenties te tonen op sociale media. Onlangs heeft de EDPB bepaald dat Meta moet stoppen met onrechtmatige gepersonaliseerde advertenties binnen Europa. Moeten de richtlijnen van de EDPB geïnterpreteerd worden dat marketingcookies met verdere verwerking door Meta niet zijn toegestaan, ook als er toestemming is via de cookiebanner? En n hoeverre is de website die de marketing cookies plaatst verantwoordelijk voor de verdere verwerking door Meta en Google voor het opstellen van profielen?

Marketingcookies staan stevig in de spotlight de laatste maanden. Zo oordeelde de Oostenrijkse rechter onlangs dat cookiebanners een weigerknop moeten hebben direct in de eerste laag. Google ging er al helemaal mee stoppen, maar nu toch weer niet https://www.marketing-interactive.com/google-decides-to-keep-cookies-in-chrome-should-marketers-be-relieved En de populariteit van adblockers en cookiecutters neemt alleen maar toe.

De vraagsteller verwijst naar een uitspraak van de samenwerkende Europese AVG-toezichthouders. Die bepaalde dat Meta’s “pay or consent” model niet rechtsgeldig is. Je moet een “echte keuze” hebben en daar hoort eigenlijk gewoon een gratis variant zonder persoonsgetargete advertenties bij. De kern hierachter is dat toestemming onder de AVG vrij gegeven moet worden, iedere vorm van dwang of zelfs maar stevig nudgen maakt deze al niet meer rechtsgeldig.

Dit zien we ook terug bij marketingcookies. Ja, er komt een popup met “Ja ik wil” en er is een optie om aan te geven dat je niet wil. Maar we zijn zó getraind om blind om op “ja” te klikken, dat je nauwelijks nog kunt spreken van een vrije keuze. Zeker als er niet een equivalente knop “Nee, ik wil niet” naast staat, maar alleen

  • Een “Beheer instellingen” popup (onduidelijke term)
  • Een grijze knop “weiger alles” naast de groene “ja” knop (afschrikken, onaantrekkelijk presenteren van alternatief)
  • De knop “Beheer instellingen” tussen ja en nee (overweldigende opties)
  • Vooraf aangevinkte vinkjes voor bijvoorbeeld functioneel, analytics en marketing (mag niet van de AVG, doet afschrikken)
  • Een “weiger” knop die leidt naar een popup met instellingen, waarbij de standaardknop “Sla alles op” heet en daarmee alle cookies accepteert

En zo kan ik nog wel even doorgaan (meer voorbeelden link 1 en link 2). Toestemming voor marketingcookies is dus niet eenvoudig, of nou ja is dat wel maar je krijgt gewoon heel weinig mensen die je dat geven, en daar heeft niemand zin in.

Wat de tweede vraag betreft: ja, jij bent verantwoordelijk en aansprakelijk voor de gevolgen van trackingcookies. Althans, als die via jouw site en de popup daarop gezet zijn na een ongeldige toestemming. Je bent in AVG-jargon gezamenlijk verwerkingsverantwoordelijke met Meta of met Google, je beslist samen dat er persoonsgegevens verzameld worden via jouw site en wie daar wat mee mag doen. Dat de onderlinge verdeling neerkomt op “jij vraagt om toestemming en wij zeggen jou niet wat we gaan doen”, is volgens de wet jouw probleem.

Al sinds februari roept de AP dat ze cookies op de radar hebben staan. In juli kreeg de Kruidvat een boete van zes ton  voor het niet rechtsgeldigt vragen van cookies. Haar popup had vooraf aangevinkte categorieën en de afwijsoptie stond niet als equivalent naast de toestemmingsoptie. De hoogte kwam dan weer mede omdat een drogist al snel gezondheidsgegevens verzamelt, maar dat terzijde.

Het is flauw om dan als jurist te zeggen “stop maar met tracking cookies” want dat is makkelijk praten en ja mijn bedrijf heeft “Accepteren” ook aantrekkelijker dan “Alleen noodzakelijk”. Maar het blijft een probleem dat alleen dankzij trage handhaving steeds maar niet opgelost wordt.

Arnoud