Waarom nu?

De ICO brengt haar standpunt over cookietoestemming in lijn met de Algemene Verordening Gegevensbescherming (AVG). Eerder dit jaar gaf de Nederlandse Autoriteit Persoonsgegevens al aan dat websites toegankelijk moeten blijven, ook al weigert een bezoeker tracking cookies. Ook de Franse toezichthouder heeft aangekondigd met een standpunt te komen. Begin dit jaar adviseerde de advocaat generaal het Hof van Justitie van de Europese Unie dat vooraf aangevinkte hokjes niet voldoende zijn voor het krijgen van toestemming voor het plaatsen van cookies.

Wat zegt de ICO?

  1. Toestemming moet voldoen aan de vereisten uit de AVG:
    • Niets doen kan niet leiden tot toestemming: er moet sprake zijn van een actieve handeling van de webbezoeker
    • Geen slikken of stikken model: het moet mogelijk zijn bepaalde cookies te accepteren en bepaalde cookies te weigeren
    • Privacy by default: de standaard instelling van een website moet zo zijn dat cookies standaard geweigerd worden, tenzij de bezoeker anders aangeeft.
  2. Als je onder de e-privacy wetgeving toestemming moet vragen voor het plaatsen van een cookie, moet je er eigenlijk vanuit gaan dat je meteen ook toestemming moet vragen om de gegevens van die cookie te verwerken.
  3. Daarnaast moet je ook toestemming vragen voor het verder verwerken van cookiedata bijvoorbeeld voor profilering of (re)targetting.
  4. Cookiewalls zijn verboden als ze toegang tot de website in zijn geheel blokkeren. Het is wel mogelijk om bepaalde delen van een site/ dienst achter een cookiewall te zetten.
  5. Instellingen of features afhankelijke toestemming mag. Dat wil zeggen dat als cookies nodig zijn om een bepaalde dienst of functionaliteit mogelijk te maken (denk aan onthouden taalvoorkeuren) je het inschakelen van deze feature ook mag combineren met het accepteren van de onderliggende cookies.
  6. Soms is het acceptabel om de cookievoorkeuren van de abonnee te laten prevaleren boven die van de individuele gebruiker. Bijvoorbeeld een werkgever die bedrijfsapparatuur op een bepaalde manier instelt.
  7. De informatie die wordt gegeven over het plaatsen van cookies moet voldoen aan de transparantievereisten uit de AVG (beknopt, transparant, begrijpelijk in een gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal opgesteld).
  8. Bedrijven die op een website third party (reclame) cookies plaatsen moeten bij naam worden genoemd.
  9. Er wordt specifiek uitgelegd welke cookies onder een milder regime vallen – dus waarvoor geen toestemming vereist is (functionele cookies, load balancing, winkelmandje onthouden en first party analytics bijvoorbeeld).
  10. Toestemming is niet eeuwigdurend. De ICO vindt dat een site-eigenaar na een bepaalde tijd opnieuw toestemming moet vragen aan webbezoekers. Dat vindt overigens ook “onze” AP – die denkt dat een bewaartermijn langer dan een half jaar als snel bovenmatig zal zijn.

Impact

De zienswijze van de ICO sluit nu eigenlijk meer aan op de zienswijze van de Nederlandse toezichthouder. Veel van bovenstaande aanbevelingen zijn op Nederlandse sites al gemeengoed. Een aandachtspunt blijft wel dat sommige sites nog altijd cookies plaatsen bij een eerste bezoek. Je ziet wel een banner waarin toestemming wordt gevraagd, maar alle cookies zijn al afgevuurd.

 

Verbod cookiewall discutabel

De toezichthouders spreken meer en meer uit tegen de cookiewall. Misschien lopen ze daarmee te hard van stapel. De zaak van de ‘vooraangevinkte hokjes’, die we eerder aanhaalde, speelt hier een belangrijke rol.  De zaak is aangespannen door de Duitse Consumentenbond tegen Planet49, een loterij organisator. De zaak ligt bij het Europese Hof van justitie, dat hierover werd geadviseerd door de Advocaat Generaal (AG). Die geeft aan dat  Planet49  veel fout doet, maar de AG vond wel dat het onder omstandigheden mogelijk is toestemming afhankelijk te maken van het afnemen van een dienst/ of deelname. De uitspraak laat nog even op zich wachten. Wordt dus vervolgd…