Afgelopen week liet de Autoriteit Persoonsgegevens (AP) via een nieuwsbericht op haar website weten dat het gebruik van een zogenoemde ‘cookiewall’ in strijd is met de Algemene Verordening Gegevensbescherming (AVG). Dit nieuwsbericht volgt op de tientallen klachten die de AP heeft gekregen over het gebruik van cookiewalls waarbij toegang tot de website wordt geblokkeerd als geen toestemming wordt gegeven voor het plaatsen van tracking cookies.

Hoe zat het ook alweer met cookies?

De hoofdregel voor het plaatsen van cookies staat in de Telecommunicatiewet (Tw). Op grond van de Tw moeten bezoekers van een website worden geïnformeerd over het plaatsen en uitlezen van cookies en daarvoor om toestemming worden gevraagd. Deze regel geldt niet voor elk type cookie. Er wordt onderscheid gemaakt tussen cookies die géén of geringe gevolgen hebben voor de privacy van de websitebezoeker en andere cookies. In dit verband worden doorgaans de volgende drie typen cookies onderscheiden: (i) functionele cookies, (ii) analytische cookies en (iii) tracking cookies.

Voor functionele cookies, die noodzakelijk zijn om de website goed te laten werken (zoals een cookie die onthoudt welke producten door de bezoeker in het winkelmandje worden geplaatst), gelden het informatie- en toestemmingsvereiste niet. Deze uitzondering geldt ook voor analytische cookies die alleen worden gebruikt om informatie te verkrijgen over de kwaliteit en effectiviteit van de betreffende website (bijvoorbeeld een cookie die wordt gebruikt om websitebezoekers te tellen).

Voor het plaatsen van tracking cookies gelden het informatie- en toestemmingsvereiste wel. Met tracking cookies kunnen websitebezoekers bij bezoeken aan andere websites worden gevolgd en daarmee kan het gedrag van websitebezoekers worden geanalyseerd. Tracking cookies worden bijvoorbeeld gebruikt om websitebezoekers gerichte advertenties te tonen. Met tracking cookies worden doorgaans persoonsgegevens verwerkt.

Voor het verwerken van persoonsgegeven is op basis van de AVG een grondslag vereist. Op het eerste gezicht lijkt de AVG een aantal mogelijke grondslagen te bieden. Bijvoorbeeld het gerechtvaardigd (commercieel) belang van de eigenaar van de website voor zover het een niet-vergaande inbreuk op de privacy van de websitebezoeker betreft (dit zal van alle relevante omstandigheden van de specifieke situatie afhangen).

De AP denkt daar anders over. Volgens de AP is de enige mogelijke grondslag voor het gebruik van tracking cookies ondubbelzinnige toestemming van de websitebezoeker. Dit heeft tot gevolg dat de toestemming die voor het plaatsen van cookies moet worden gegeven op grond van de Tw, ook moet voldoen aan de eisen van de AVG.

Onder de AVG moet toestemming aan strenge eisen voldoen. Zo moet toestemming specifiek, geïnformeerd en door middel van een actieve handeling worden gegeven. Daarnaast moet de toestemming vrijelijk zijn gegeven. Dit betekent dat een websitebezoeker ook vrij moet zijn om die toestemming te weigeren zonder daarvan nadelige gevolgen te ondervinden. Bij het gebruik van een cookiewall hebben websitebezoekers geen echte of vrije keuze om de tracking cookies te weigeren. Weigering daarvan heeft namelijk tot gevolg dat een bezoeker geen toegang krijgt tot een website. Om die reden vindt de AP het gebruik van een cookiewall op een website in strijd met de AVG.

Wat betekent dit voor uw organisatie?

De AP geeft organisaties de opdracht om hun website aan te passen waar nodig. Daarbij laat de AP weten haar controle hierop te intensiveren.

Om die reden raden wij organisaties het volgende aan:

  • Ga na welke soorten cookies via de website van uw organisatie worden geplaatst
  • Indien tracking cookies worden geplaatst, ga dan na of daarvoor op de juiste wijze toestemming wordt gevraagd
  • Check de cookiebanner, de cookieverklaring en op welke wijze deze op de website beschikbaar zijn
  • Zorg dat ook websitebezoekers die weigeren hun toestemming te geven voor het plaatsen van tracking cookies nog steeds toegang hebben tot de website (schakel cookiewalls uit)