Cookiewalls niet toegestaan volgens AP

Iedereen zal bekend zijn met cookies. Cookies zijn kleine bestanden die de aanbieder van een website op de computer, telefoon of tablet van een bezoeker plaatst. Met cookies kan informatie worden verzameld of opgeslagen over het websitebezoek van de bezoeker. Het gebruik van cookies is geregeld in de Telecommunicatiewet. Daarin is bepaald dat bezoekers van een website moeten worden geïnformeerd over het plaatsen en uitlezen van cookies op hun apparaat en dat hiervoor in bepaalde gevallen toestemming is vereist. Daarnaast is op bijvoorbeeld tracking cookies (in combinatie met overige gegevens die over het websitebezoek worden verzameld) ook de Algemene verordening gegevensbescherming (AVG) van toepassing. Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) een normuitleg over cookiewalls waarin zij duidelijk maakt dat cookiewalls in strijd zijn met de AVG en daarom niet zijn toegestaan.

Verschillende soorten cookies

Er bestaan verschillende soorten cookies. Er zijn cookies die technisch noodzakelijk zijn om de website goed te laten werken. Deze zogeheten functionele cookies zijn bijvoorbeeld nodig om in te loggen, af te rekenen in een webshop of voor taalkeuzes. Voor deze cookies is geen toestemming vereist. Ook bestaan er analystische cookies. Deze verschaffen inzicht in het functioneren van een website. Zulke cookies mogen geen of maar weinig gevolgen hebben voor de privacy van bezoekers. Anders is er toestemming vereist. Dit is bijvoorbeeld het geval als er gebruik wordt gemaakt van Google Analytics. Wel kan Google Analytics met gebruik van deze handleiding van de AP zo worden ingesteld dat u de privacy van uw bezoekers zo goed mogelijk beschermt. Tot slot zijn er de tracking cookies. Bij tracking cookies gaat het om gegevens over het internetgedrag van gebruikers. Tracking cookies kunnen bijhouden welke websites iemand bezoekt. Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Op basis hiervan kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte advertenties tonen. Met tracking cookies worden doorgaans persoonsgegevens verwerkt. Omdat deze cookies niet noodzakelijk zijn voor de gevraagde dienst en voor het functioneren van de website, is voor het gebruik van tracking cookies toestemming van de websitebezoeker nodig.

Cookiewalls niet toegestaan

Een cookiewall houdt in dat mensen die een website willen bezoeken of app willen gebruiken, de vraag krijgen om cookies te accepteren voordat zij daartoe toegang krijgen. Geven zij geen toestemming, dan krijgen zij geen toegang. Zoals gezegd is voor het plaatsen van tracking cookies toestemming van de bezoeker nodig. Hetzelfde geldt voor andere ‘volgsoftware’ of digitale methodes om surfgedrag te volgen. Dit geldt voor een website, maar ook voor apps of andere diensten. De AVG stelt strenge eisen aan geldige toestemming. Een van de eisen is dat de toestemming vrij moet zijn gegeven. Toestemming wordt geacht niet vrij te zijn gegeven als de bezoeker geen echte of vrije keuze heeft, of het weigeren van de toestemming nadelige gevolgen heeft. Volgens de AP is er bij een cookiewall geen sprake van vrije toestemming. Immers, als toestemming wordt geweigerd, krijg je geen toegang tot de website. De ‘take it or leave it’ is geen echte of vrije keuze en er kan dus niet worden geweigerd zonder nadelige gevolgen. Hierdoor staan mensen volgens de AP onder druk hun persoonsgegevens af en dat is onrechtmatig.

Terecht verbod?

Over de vraag of cookiewalls onder alle omstandigheden ontoelaatbaar zijn valt te twisten. Zo bepaalt de Telecommunicatiewet dat een cookiewall enkel verboden is voor overheidswebsites. Ook in de aankomende ePrivacy Verordening worden cookiewalls naar verwachting niet als zodanig, maar slechts in bepaalde gevallen ontoelaatbaar geacht. Bijvoorbeeld als er geen of weinig andere keuze is dan gebruik te maken van die specifieke website. Bovendien is de uitleg van de AP niet in lijn met de Conclusie van de Advocaat Generaal van het Europese Hof van Justitie in de Planet49 zaak (C-673/17; ECLI:EU:C:2019:246). In deze zaak mocht de toestemming voor het verwerken van persoonsgegevens wel als voorwaarde worden gesteld in ruil voor de toegang tot een dienst (het zonder betaling meedoen met een loterij). Hier valt een vergelijking te trekken met de toestemming bij cookiewalls op websites.

Het is al met al dus nog maar de vraag of het standpunt van de AP op langere termijn stand zal houden. Dit neemt echter niet weg dat we op dit moment te maken hebben met de strikte uitleg van de AP. Dit creëert op zijn minst juridische onzekerheid. De AP heeft al aangegeven dat zij de controle op de juiste naleving zal intensiveren en heeft een aantal specifieke partijen hier al een brief over gestuurd.

Toestemming vragen zonder cookiewall

Hoe kan er dan wel om toestemming worden gevraagd? Bezoekers of gebruikers moeten de mogelijkheid hebben om tracking cookies te weigeren. Dit kan bijvoorbeeld door het gebruik van een informatiebalk of pop-up met een duidelijke keuze tussen ‘ja’ en ‘nee’. Verwijzen naar bijvoorbeeld de algemene voorwaarden of een privacyverklaring is onvoldoende. Hetzelfde geldt als ervan wordt uitgegaan dat toestemming wordt gegeven als wordt doorgegaan met het gebruik van de website nadat een informatiebalk in beeld is verschenen. Ook leveren volgens de AP vooraf aangevinkte selectievakjes voor het accepteren van cookies geen geldige toestemming op. Dit laatste volgt ook uit de Conclusie van de AG in de Planet49 zaak. Belangrijk is verder dat er nog geen tracking cookies (of analytische cookies die gevolgen hebben voor de privacy) worden geplaatst voordat de bezoeker hierover is geïnformeerd en een keuze heeft gemaakt.

Indien u vragen heeft over het gebruik van cookies en het op de juiste manier informeren en vragen om toestemming, kunt u contact opnemen met Richella Soetens, advocaat IT, IE & Privacy bij De Clercq Advocaten Notariaat (r.soetens@declercq.com).

1 jaar AVG

Op 25 mei 2019 is het precies één jaar geleden dat de veelbesproken Algemene verordening gegevensbescherming (AVG) van toepassing werd. Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) tevens haar jaarverslag over 2018. Tijd de balans op te maken. Wat is de opbrengst geweest van één jaar AVG? Zijn er hoge boetes uitgedeeld? Voor wat voor soort overtredingen? En waar moet u in 2019 op letten?

Jaarverslag 2018

2018 was voor de AP een hectisch jaar, zo mag uit het jaarverslag gerust worden opgemaakt. Niet alleen werd daarin de AVG van toepassing, ook nam de AP veel nieuwe medewerkers aan en werd een nieuwe organisatiestructuur opgetuigd en geïmplementeerd.

De AP geeft aan dat zij er bewust voor heeft gekozen in 2018 de nadruk te leggen op het bevorderen van de naleving van de privacyregels. Enerzijds door veel te investeren in voorlichting en advisering. Anderzijds door bij overtredingen eerder te zoeken naar het beëindigen van de overtreding dan naar het sanctioneren daarvan.

Enkele in het oog springende cijfers over 2018:

  • De AP ontving ruim 11.000 klachten en bijna 21.000 datalekmeldingen.
  • 720 klachten en 298 datalekmeldingen werden afgehandeld door middel van een interventie, zoals een brief of gesprek waarin de AP uitleg gaf over de privacyregels.
  • De AP rondde 16 onderzoeken af en startte 17 handhavingstrajecten. Deze hebben geleid tot sancties voor onder meer Uber, de Belastingdienst en het UWV.* Aan Uber werd een boete opgelegd van EUR 600.000 voor het te laat melden van een datalek. UWV kreeg een last onder dwangsom opgelegd omdat zij de toegangsbeveiliging van het werkgeversportaal niet had uitgerust met meerfactorauthenticatie. De Nationale Politie kreeg een last onder dwangsom opgelegd voor de gebrekkige beveiliging van een IT-systeem. Een dwangsom van EUR 48.000 werd ingevorderd bij InsingerGilissen Bankiers, wegens het niet voldoen aan een inzageverzoek. Tot slot werd de Belastingdienst verboden om met ingang van 1 januari 2020 nog langer het BSN te gebruiken in het btw-nummer.
  • Verschillende audits werden uitgevoerd, in zowel de publieke als de private sector, zoals of een FG was aangemeld, of een verwerkingsregister was aangelegd en of een privacybeleid was opgesteld.

Elders in Europa

Hoe stellen de toezichthouders elders in Europa zich op? In verschillende lidstaten zijn inmiddels de eerste boetes opgelegd voor overtredingen van de AVG. Hieronder treft u een bloemlezing aan:

  • De Poolse toezichthouder legde in maart 2019 een boete van EUR 220.000 op aan een Pools bedrijf wegens schending van de informatieplicht. Het bedrijf had een omvangrijke database aangelegd met persoonsgegevens welke het bedrijf uit publieke bronnen had verzameld. Echter zonder betrokkenen daarover te informeren.   
  • De Franse toezichthouder legde in januari 2019 een boete van EUR 50.000.000 op aan Google wegens een gebrek aan transparantie, schending van de informatieplicht en het niet-rechtsgeldig verkrijgen van toestemming.
  • De toezichthouder van Malta legde in februari 2019 een boete van EUR 5.000 op aan het Maltese Kadaster, omdat het Kadaster een online portaal niet goed had beveiligd.
  • De Duitse toezichthouder (meer specifiek die van Baden-Württemberg) legde in september 2018 een boete van EUR 20.000 op aan een Duits sociaal netwerk. Het sociaal netwerk had melding gemaakt van een datalek waarbij wachtwoorden en e-mailadressen van gebruikers waren gelekt. Uit vervolgonderzoek van de toezichthouder bleek dat wachtwoorden niet versleuteld waren opgeslagen, waarmee inbreuk was gemaakt op de verplichting passende beveiligingsmaatregelen te treffen.
  • De Oostenrijkse toezichthouder legde in september 2018 een boete van EUR 5.280 op aan een wedkantoor dat gebruik maakte van een video surveillance systeem. De toezichthouder oordeelde dat geen rechtsgrond aanwezig was en dat de opnamen te lang werden bewaard.      

Wat brengt 2019?

In haar jaarverslag stelt de AP nadrukkelijk dat de focus in 2019 zal verschuiven van voorlichting naar handhaving. In 2019 zal steviger worden ingezet op handhaving. Waar de AP bij de afhandeling van een klacht nu nog vaak aanstuurt op het beëindigen van de (mogelijke) overtreding, zal zij in 2019 vaker overgaan tot onderzoek en het opleggen van sancties. Als aandachtsgebieden voor 2019 noemt de AP i) de beveiliging en grondslagen voor verwerking van persoonsgegevens in de zorg, ii) niet-gemelde datalekken en iii) handel in persoonsgegevens.

Heeft u vragen over de AVG of aanverwante wet- en regelgeving? Neemt u dan contact op met Jeroen van Helden, advocaat IT, IE & Privacy bij De Clercq Advocaten Notariaat (j.vanhelden@declercq.com).

*De overtredingen dateren vaak uit het pre-AVG tijdperk en zijn dus beoordeeld en gesanctioneerd volgens de Wet bescherming persoonsgegevens en niet volgens de AVG.

De rechtmatige verwerking van persoonsgegevens

In deze AVG-reeks brengen wij u in vogelvlucht op de hoogte van de belangrijkste verplichtingen op grond van de Algemene Verordening Gegevensbescherming (AVG). Worden in uw bedrijf op enig moment gegevens van natuurlijke personen vastgelegd, bijvoorbeeld omdat u werkgever bent, u een (online) winkel heeft of omdat u cliënten bedient? Dan verwerkt u persoonsgegevens en heeft u op grond van de privacywetgeving verschillende verplichtingen. In deze blog wordt uitgelegd onder welke voorwaarden de verwerking van persoonsgegevens rechtmatig wordt geacht.

Rechtsgronden

Persoonsgegevens mogen niet zomaar worden verwerkt. Voor iedere verwerking dient een (rechtmatige) grondslag te zijn; een rechtsgrond. Bestaat deze niet, dan mogen de persoonsgegevens niet worden verwerkt. Deze verplichting bestond al onder de Wet bescherming persoonsgegevens (Wbp) en geldt (vrijwel) onveranderd onder de AVG. Er zijn zes gronden die hieronder kort zullen worden toegelicht.

  1. de betrokkene heeft toestemming gegeven voor de verwerking.

De toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig worden gegeven:

Vrij: dit betekent dat de betrokkene niet mag worden gedwongen gegevens te moeten verstrekken om van een bepaalde dienst gebruik te mogen maken;

Geïnformeerd: de betrokkene moet worden geïnformeerd over de verstrekking (middels een privacyverklaring) en daarin moet onder andere worden aangegeven voor welke doeleinden de gegevens worden verwerkt;

Specifiek: de toestemming moet gelden voor alle verwerkingen die hetzelfde verwerkingsdoeleinde of dezelfde verwerkingsdoeleinden dienen (zie voor de uitleg van dit begrip hieronder). Heeft een verwerking meerdere doeleinden, dan dient de betrokkene zijn toestemming van elk daarvan verlenen;

Ondubbelzinnig: de betrokkene moet op een actieve wijze toestemming geven. Bijvoorbeeld door het klikken op een vakje, het selecteren van bepaalde instellingen of een andere verklaring. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit geldt daarom niet als toestemming.

De verwerkingsverantwoordelijke dient aan te kunnen tonen dat de betrokkene toestemming heeft gegeven. De betrokkene heeft overigens het recht zijn/haar toestemming te allen tijde in te trekken. De verwerking van persoonsgegevens die op de toestemming berust, dient dan direct te worden gestopt.

  1. de verwerking is noodzakelijk voor de uitvoering van een (te sluiten) overeenkomst.

Het dient bij deze grondslag te gaan om een rechtmatige (voorgenomen) overeenkomst waarbij de betrokkene partij is. Daarnaast is het van belang dat de persoonsgegevens die worden verwerkt, noodzakelijk zijn om de afspraken die zijn gemaakt in de overeenkomst na te kunnen komen. Denk bijvoorbeeld aan de afspraak tussen een werkgever en een werknemer, waarbij de eerstgenoemde zich verplicht tot het betalen van salaris. Om dat te kunnen doen, heeft de werkgever het bankrekeningnummer van de werknemer nodig. Deze gegevens mogen dus worden verwerkt op basis van voornoemde grondslag.

  1. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting.

Voor deze grondslag is het van belang dat voor de verwerkingsverantwoordelijke een wettelijke plicht bestaat om gegevens te verwerken. Voorbeelden hiervan zijn terug te vinden in de werkgevers-werknemers relatie. Een werkgever is bijvoorbeeld verplicht op grond van de wet een kopie van het identiteitsbewijs van de werknemer te bewaren. Ook is een werkgever verplicht bepaalde gegevens van een werknemer te verstrekken aan de Belastingdienst. Deze (en andere) verplichtingen zijn vastgelegd in verschillende wetgeving en om aan deze verplichtingen te voldoen is het noodzakelijk de betreffende persoonsgegevens te verwerken.

  1. de verwerking is noodzakelijk ter bescherming van vitale belangen.

De verwerking van persoonsgegevens is rechtmatig indien het noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of van een ander natuurlijke persoon essentieel is. Dit doet zich over het algemeen voor als zich een acuut gevaar voordoet en de verwerking niet op basis van een andere grondslag kan worden gebaseerd. In de toelichting op de Wbp wordt een dergelijke situatie als volgt omschreven:

“Gedacht kan worden aan het geval van een grootschalige ramp waarbij terstond maatregelen in de sfeer van de hulpverlening moeten worden getroffen. Het is dan ondoenlijk eerst alle betrokkenen te informeren en toestemming te vragen alvorens de hulpverlening te starten. Hetzelfde geldt voor hulpverlening aan bewoners van een in brand staand huis.”

  1. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag.

Deze grondslag heeft betrekking op overheidsinstanties die, op basis van wetgeving, persoonsgegevens verwerken. Denk bijvoorbeeld aan de belastingdienst, de Autoriteit Financiële Markten en de politie.

  1. de verwerking is noodzakelijk voor de behartiging van gerechtvaardigde belangen.

Bij deze laatste grondslag gaat het (over het algemeen) over het gerechtvaardigd belang van de verwerkingsverantwoordelijke. Een gerechtvaardigd belang kan aanwezig zijn indien sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke. Dus bijvoorbeeld in een werkgevers-werknemersrelatie of wanneer de betrokkene een klant is van de verwerkingsverantwoordelijke. Voorbeelden van een gerechtvaardigd belang zijn fraudevoorkoming, direct marketing of netwerk- en informatiebeveiliging.

De grondslag bevat, in tegenstelling tot de andere grondslagen, de verplichting voor de verwerkingsverantwoordelijke tot het afwegen van zijn gerechtvaardigde belangen tegenover de belangen of de grondrechten en de fundamentele vrijheden van de betrokkenen. Wegen de belangen van de betrokkene zwaarder, dan is de verwerking niet toegestaan op basis van deze grondslag. Dit kan zo zijn in het geval waarin de betrokkene redelijkerwijs geen verdere verwerking verwacht. Bijvoorbeeld als de betalingsgegevens van een rekeninghouder door een bank worden verstrekt aan een commerciële partij.

Image removed.

Rechtsgronden, gerechtvaardigde belangen, verwerkingsdoeleinden en verwerkingen

In de praktijk blijkt soms verwarring te bestaan met betrekking tot verschillende begrippen die verband houden met de verwerking van persoonsgegevens. Er dient onderscheid te worden gemaakt tussen een rechtsgrond, een gerechtvaardigd belang, een doeleinde en een verwerking.

Er bestaan zes rechtsgronden die zijn vastgelegd in de wet. Deze rechtsgronden zijn voor iedere verwerkingsverantwoordelijke van belang. Zoals hiervoor besproken dient altijd een grond aanwezig te zijn, anders mogen gegevens niet worden verwerkt.

Een gerechtvaardigd belang is één van de rechtsgronden en houdt verband met een individuele verwerkingsverantwoordelijke. Een voorbeeld is het waarborgen van de beveiliging van een gebouw.

Een verwerkingsdoeleinde is specifieker en hangt samen met de verwerking van persoonsgegevens. Teneinde een gebouw te beveiligen (gerechtvaardigd belang) krijgt al het personeel een persoonlijke toegangspas (verwerkingsdoeleinde).

Daarnaast worden gegevens verwerkt. Dit is het verzamelen van de persoonsgegevens en het uiteindelijk (digitaal) plaatsen van de persoonsgegevens ‘op’ een toegangspas. Het gaat in dit geval dus om de specifieke verwerkingshandelingen die worden verricht om een verwerkingsdoeleinde te bereiken.

Tot slot

Heeft u vragen over het (rechtmatig) verwerken van persoonsgegevens en/of de AVG? Wij beantwoorden deze graag. Neem contact op met Jennifer Quik (j.quik@vandiepen.com).