De Autoriteit Persoonsgegevens (AP) publiceerde op 10 december een nieuwsbericht over de uitkomsten van een controle op het plaatsen van tracking cookies. Onderwerp van de controle waren zo’n 175 websites van gemeenten, media en webshops. Op veel van die websites (ongeveer de helft) worden nog steeds op een onjuiste manier toestemming gevraagd voor het gebruik van tracking cookies, aldus de AP.
De AP heeft het niet alleen bij het trekken van conclusies gelaten, de organisaties die de betreffende websites beheren hebben allemaal een brief ontvangen waarin ze worden opgeroepen hun instellingen te wijzigen. De AP gaat het effect hiervan op korte termijn onderzoeken.
De oplossing voor het probleem zit in het op de juiste manier vragen van toestemming voor de betreffende cookies. Dit probleem speelt al langer, terwijl de AVG én het Hof van Justitie er toch vrij duidelijk over zijn.
Uitspraak Hof van Justitie
Op 1 oktober jl. publiceerde het Hof van Justitie al een uitspraak over het geven van actieve toestemming in verband met cookies. Conclusie daarin is dat een standaard aangevinkt vakje geen actieve toestemming is. Desondanks tref je op vele websites nog altijd vooraf aangevinkte vakjes aan waarbij het voor bezoekers lang niet altijd eenvoudig is de meest privacyvriendelijke instelling in te stellen. Het Hof had overigens geen lastige taak: in de AVG staat al heel duidelijk dat vooraf aangevinkte hokjes geen rechtsgeldige toestemming opleveren (zie overweging 32: Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden).
Actieve toestemming in de zin van de AVG
Het staat dus gewoon in de AVG, met vooraf aangekruiste vakjes voldoe je niet aan de toestemmingsvereisten. Maar hoe doe je dat dan wel goed?
Het eerste wat je je moet afvragen is of toestemming wel de juiste grondslag (artikel 6 van de AVG) is voor bepaalde cookies. Voor sommige cookies zijn namelijk ook andere grondslagen denkbaar. Dit gaat dan met name om functionele en analytische cookies. Te denken valt hier aan cookies die de inhoud van een winkelwagentje op een webshop bijhouden. Let ook hier op dat je de instellingen zelf goed zet: verwerk niet meer gegevens dan noodzakelijk!
Voor zogenaamde tracking cookies is er eigenlijk geen andere grondslag denkbaar dan toestemming. Aan het vragen van toestemming zijn een aantal belangrijke voorwaarden verbonden. Zo moet de toestemming vrij gegeven kunnen worden en voor specifieke doelen. Daarnaast moet er goed geïnformeerd worden over waar de toestemmingsvraag op ziet (wat er nu werkelijk mee bedoeld wordt) en wat de gevolgen zijn. Ook moet er ondubbelzinnig toestemming gegeven worden, dat slaat weer terug op het begin van dit verhaal: er is een actieve handeling nodig, vooraf aangevinkte hokjes zijn dat niet. En een opt-out waarbij je veel moeite moet doen om de juiste instellingen te vinden, voldoet niet. Tot slot moet de toestemmingsvraag in begrijpelijke taal gesteld worden en dit omvat uiteraard ook de informatie die wordt verstrekt over het doel van de verwerking.
O ja, en zorg ook dat je kunt aantonen (bewijzen) dat er toestemming is gegeven. Anders heb je mogelijk alsnog een probleem.
Samengevat de ingrediëntenlijst voor tracking cookies:
- Vrij gegeven toestemming;
- Specifieke doeleinden;
- Informatie over die doeleinden en gevolgen;
- Ondubbelzinnige toestemmingsvraag;
- Begrijpelijke taal;
- Bewijs van de gegeven toestemming.
Voor vragen en advies hierover, neem contact met ons op. Ook voor andere IT-juridische vragen kun je uiteraard bij ons terecht.