De Autoriteit Persoonsgegevens (AP) heeft gemeld (1) in 2024 vaker te gaan controleren of websites op de juiste manier toestemming vragen voor (tracking) cookies of andere volgsoftware. Dat is nog altijd geen overbodige luxe, ook al heeft Google aangekondigd (2) dat het voornemens is nu eindelijk te stoppen met third-party cookies in de belangrijkste webbrowser Chrome.
In deze bijdrage wordt kort stil gestaan bij het belang van de cookiewetgeving in het algemeen, de vuistregels die de AP biedt en de vraag of er andere specifieke cookieovertredingen zijn waar de AP aandacht voor zou moeten hebben.
Het probleem van third party cookies is dat de negatieve effecten voor de internetgebruiker niet kenbaar zijn. Als je bij het verschijnen van een cookiebanner op akkoord klikt, gebeurt er ogenschijnlijk immers niets. Sterker nog, er gebeurt gevoelsmatig iets positiefs, want je bent als internetgebruiker van de vervelende cookiebanner af die aan het ongestoorde bezoek van een website in de weg stond.
Het akkoord triggert in veel gevallen echter een ongebreidelde verwerking van gegevens. Afhankelijk van de website zullen na het akkoord door soms wel tientallen ‘partners’ cookies geplaatst danwel (als er al een cookie geplaatst was) uitgelezen worden. De cookie stelt de partners in staat de gebruiker binnen de website en over het internet te volgen en een profiel over de websitebezoeker samen te stellen. Ook wisselen deze partijen door een proces genaamd “cookie-syncing” informatie over de internetbezoeker met elkaar en tal van derden uit. Dit gebeurt veelal in het kader van het Real Time Bidding-systeem (RTB-Systeem) dat is uitgevonden om real time gepersonaliseerde advertenties te kunnen tonen aan de hand van de verzamelde profielgegevens.
Dat deze ongebreidelde gegevensuitwisseling substantiële risico’s kent, blijkt uit een recent onderzoek (3) van de Irish Council for Civil Liberties. Daarin worden de veiligheidsrisico’s van het RTB-systeem aangemerkt als een bedreiging voor de nationale veiligheid. In het rapport wordt geconcludeerd dat gegevens uit het RTB-systeem naar Rusland en China verzonden worden en nationale veiligheidsdiensten eenvoudig indirect toegang tot de gegevens kunnen krijgen en tal van gevoelige gegevens over individuen kunnen achterhalen. Het kan dan tevens gaan om gegevens van (familie van) politici en militairen.
Toestemming is alleen geldig als deze geïnformeerd is. Gezien de omvang van de gegevensverwerking die ontstaat als akkoord wordt gegeven voor cookies, kan men zich afvragen of een betrokkene daar ooit volledig over geïnformeerd kan worden. Ook de Belgische Gegevensbeschermingsautoriteit vroeg zich dat af in de beslissing (4) over IAB Europe.
De aankondiging van de AP lijkt echter vooral betrekking te hebben op het tegengaan van zogenaamde ‘dark patterns’. Trucs die de internetbezoeker verleiden om ondoordacht een keuze te maken bijvoorbeeld door sommige opties minder zichtbaar te maken, door de toestemmingsknop een aantrekkelijke kleur te geven ten opzichte van de weigerknop of door bepaalde vakjes reeds aan te vinken. Dat mag niet omdat dan geen sprake is van vrije toestemming, zoals ook uit boetes van de Franse toezichthouder CNIL tegen Google en Facebook blijkt en uit richtsnoeren van de EDPB (5).
De AP geeft een serie nuttige voorbeelden (6) van hoe het wel en niet moet.
Voor veel websites zal gelden dat er nog verbeterpunten zijn ten aanzien van de gebruikte cookiebanner. Een ernstiger probleem lijkt echter dat het regelmatig voorkomt dat cookiebanners (zelfs als ze ogenschijnlijk aan de eisen van de AP voldoen) waardeloos blijken. Regelmatig worden cookies reeds geplaatst of uitgelezen voordat toestemming wordt gegeven of zelfs nadat toestemming expliciet is geweigerd. Dat is ernstig omdat internetbezoekers die in de veronderstelling zijn niet bloot te staan aan cookies bij het bezoeken van websites dan toch worden gevolgd en hun cookie-ID gedeeld wordt met derden. Anders dan men zou verwachten komt dit regelmatig voor. Ongetwijfeld zal de AP hier ook aandacht voor hebben in 2024.
(1) https://autoriteitpersoonsgegevens.nl/actueel/ap-pakt-misleidende-cookiebanners-aan
(2) https://blog.google/products/chrome/privacy-sandbox-tracking-protection/
(3) https://www.gegevensbeschermingsautoriteit.be/burger/iab-europe-wordt-verantwoordelijk-gehouden-voor-een-mechanisme-dat-in-strijd-is-met-de-avg
(4) https://www.iccl.ie/digital-data/europes-hidden-security-crisis/
(5) https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-32022-dark-patterns-social-media_en
(6) https://autoriteitpersoonsgegevens.nl/themas/internet-slimme-apparaten/cookies/heldere-en-misleidende-cookiebanners
