Kroatische kronkel

Gekscherend wordt de wijziging op sommige blogs aangeduid als ‘Kroatische kronkel’, want voor het bedrijfsleven lijkt de wijziging in de cookiebepaling toch weinig nieuwe mogelijkheden te bieden. Even kort door de bocht: Stond  in de voorlaatste tekst in de e-Privacy Verordening ten aanzien van cookies dat je deze mag plaatsen dan wel uitlezen:

  • Als dat noodzakelijk is voor het (tot stand brengen van) elektronische communicatie;
  • Met toestemming;
  • Als het noodzakelijk is voor het leveren van een dienst van de informatiemaatschappij (login + wachtwoord onthouden);
  • Voor geaggregeerde webstatistieken, bijvoorbeeld over bezoekersaantallen.

Nu komt daar een nieuwe reden bij, namelijk als de verwerking noodzakelijk is voor een rechtvaardig belang van de verantwoordelijke, tenzij het privacybelang van de webbezoeker prevaleert.

 

Geen impact op marketing en fondsenwerving

Het privacybelang van de webbezoeker weegt in ieder geval zwaarder als:

    1. De webbezoeker een kind is
    2. Wanneer de cookie-informatie gebruikt wordt om te segmenteren of profileren
    3. Als er bijzondere persoonsgegevens worden verzameld

Mocht je dan nog gegevens kunnen verzamelen op basis van het gerechtvaardigd belang, houd er dan rekening mee dat volgens het nieuwe voorstel die gegevens niet gedeeld mogen worden met derden en er een impact assessment op de verwerking gedaan moet worden. Voor reclame en social media cookies gaat de vlieger dus niet op.

 

Legitimiteit van de cookiewall

Tweede discussiepunt is de toelaatbaarheid van de cookiewall. De ePV voorstellen hebben de cookiewall overigens nooit expliciet verboden. Alle teksten zeggen dat je toestemming moet hebben voor het plaatsen van cookies. Die toestemming moet conform de AVG vrij, specifiek en op informatie berustend zijn. En aan ‘vrij’ wordt geen verdere uitleg gegeven. Dus dit houdt zeker niet per definitie een verbod op een cookiewall in. De legitimiteit van de cookiewall kwam voort uit de discussie of toegang tot websites in het algemeen gekwalificeerd kan worden als zo’n essentiële dienst van de informatiemaatschappij, dat het weigeren van die toegang iemand beperkt in zijn vrije keuze. In de oude voorstellen staat dat breedband internet- en communicatiediensten essentiële diensten zijn die burgers in staat stellen om deel te nemen aan de digitale economie. Toestemming voor het verwerken van persoonsgegevens van internetgebruik is niet geldig is als er geen oprechte en vrije keuze is, of geen mogelijkheid om toestemming terug te trekken. Die overweging is in het nieuwe voorstel geschrapt. Dus hiermee lijkt weer meer ruimte voor de cookiewall.

 

En nu…

We zijn er overigens nog niet. Want als de Europese Raad van Ministers het eens wordt over deze tekst, begint een nieuwe onderhandelingsronde. Een zogenaamde ‘triloog’ met het Europees Parlement en de Europese Commissie. Wordt ongetwijfeld vervolgd.