De European Data Protection Board (EDPB) heeft de richtlijnen van de Europese cookieregelgeving aangescherpt. In de nieuwe versie staat dat het voor websites niet is toegestaan om hun content te blokkeren met een zogeheten cookie wall. Dat geeft gebruikers niet de vrijheid om een geïnformeerde keuze te maken. Dat schrijft de overkoepelende organisatie van alle nationale privacytoezichthouders in de EU in de aangescherpte richtlijnen.
Het is al weer enkele jaren geleden dat de Europese Commissie nieuwe richtlijnen oplegde ten aanzien van het gebruik van cookies. Sinds 2018 geldt de ePrivacy-richtlijn. In een notendop zegt deze richtlijn dat website-eigenaren bezoekers vooraf duidelijk moet informeren over welke cookies ze op de computer van bezoekers plaatst voordat ze de inhoud van de site lezen. Denk aan marketing cookies, analytische cookies, functionele cookies, tracking cookies, flash cookies en third party cookies.
Website-eigenaren zijn niet verplicht om vooraf toestemming te hebben van bezoekers voor alle bovengenoemde cookies. In de ePrivacy-richtlijn staat dat cookies die weinig of geen inbreuk maken op onze privacy, geen expliciete toestemming vereisen van bezoekers. Het gaat daarbij bijvoorbeeld om analytische, functionele en beveiligingscookies. Dat geldt niet voor onder meer tracking en third party cookies. Met deze cookies worden het surfgedrag van gebruikers in kaart gebracht en gerichte advertenties voorgeschoteld.
Als je een website bezoekt, verschijnt er een pop-up venster in beeld. Daarin vermelden website-eigenaren dat hun site gebruik maakt van cookies, al dan niet met een lijst van welke cookies precies en voor welke doeleinden deze worden gebruikt. In de disclaimer of privacy statement van sites, die ze verplicht zijn om op te nemen, kunnen bezoekers alle details hierover lezen. Op basis daarvan kunnen ze besluiten om al dan niet akkoord te gaan met deze voorwaarden.
Wat volgens de EDPB niet mag is een blokkade opwerpen waarmee bezoekers moeten instemmen alvorens ze de website kunnen raadplegen. Alle content is dan niet-toegankelijk en kan alleen worden gelezen als ze van tevoren instemmen met het plaatsen van cookies. Dit wordt ook wel een cookie wall of cookiemuur genoemd. In de nieuwste editie van de richtlijnen van de Europese toezichthouder voor gegevensbescherming staat nadrukkelijk dat dit niet mag. “Om op een vrije manier instemming te geven [voor het opslaan van cookies, red.], mag de toegang tot diensten en functionaliteiten geen voorwaarde zijn voor gebruikers om informatie op te slaan, dan wel toegang te verkrijgen tot informatie die reeds is opgeslagen”, aldus de EDPB.
Een website-eigenaar mag dus geen script plaatsen op zijn site waardoor de content ontoegankelijk wordt voor gebruikers en eisen dat ze vooraf instemmen met zijn cookiebeleid om toegang te krijgen. De EDPB oordeelt dat dit geen vrije keus is, omdat bezoekers geen keuze wordt voorgeschoteld. Het enige dat ze kunnen doen is namelijk de cookies accepteren.
De aanscherping van de richtlijn komt overeen met wat de Autoriteit Persoonsgegevens (AP) vorig jaar over deze kwestie zei. De privacytoezichthouder zei dat het voor website-eigenaren niet is toegestaan om content te blokkeren met een cookiemuur. “Op grond van de Algemene Verordening gegevensbescherming (AVG) is een cookie wall (cookiemuur) niet toegestaan. Dat komt omdat u met een cookie wall géén geldige toestemming kunt krijgen van uw bezoekers of gebruikers voor het plaatsen van tracking cookie. Bij een cookie wall hebben websitebezoekers geen echte of vrije keuze. Weliswaar kunnen ze tracking cookies weigeren, maar dat kan niet zonder nadelige gevolgen. Want tracking cookies weigeren, betekent dat ze geen toegang krijgen tot de website. Daarom zijn cookie walls onder de AVG verboden”, aldus de AP destijds.
Staatssecretaris van Economische Zaken Mona Keijzer moest in november 2019 nog erkennen dat het volgens de ePrivacy verordening niet nadrukkelijk verboden was om een cookiemuur in te stellen. Een expliciet verbod op cookiemuren kon toen niet rekenen op de steun van voldoende lidstaten, zo schreef ze in een Kamerbrief over de Telecomraad.
Bekijk: Guidelines 05/2020 on consent under Regulation 2016/679 (versie 1.0; 04-05-2020)
Dit nieuwsbericht is ook te vinden in het dossier ePrivacy
