Op bijna iedere website staan ze: ‘cookies’. Ook op websites waar je in het verleden al akkoord bent gegaan met het gebruik daarvan. Eigenlijk is niet duidelijk waarvoor je akkoord geeft, maar je doet het toch maar. Immers, natuurlijk wil je gebruik maken van ‘een goed werkende website’! Maar wordt er wel op de juiste manier om toestemming gevraagd? En moet het mogelijk zijn om een website te bezoeken terwijl er geen toestemming is gegeven? Hoe zit het nu precies met die cookies?
Toestemming
De bezoeker van een website moet (opnieuw) toestemming geven voor het gebruik van (bepaalde) analytische cookies (voor websitestatistieken) en tracking cookies (voor afgestemde advertenties). Voor het gebruik van functionele cookies, die zorgen voor een goed werkende website, is geen toestemming van de websitebezoeker vereist. Het vragen van toestemming heeft allemaal te maken met de inwerkingtreding op 25 mei jl. van de inmiddels befaamde Algemene Verordening Gegevensbescherming (“AVG”). Volgens de AVG dient de toestemming 1) expliciet, 2) vrijelijk, 3) specifiek, 4) geïnformeerd en 5) ondubbelzinnig te zijn.
Over de invulling van vrijwel elk van deze vereisten kan gediscussieerd worden. Eén van de belangrijkste discussies gaat over de vraag wat wordt bedoeld met ‘vrijelijk’. Hoe ver kun je als onderneming gaan om toestemming van websitebezoekers te verkrijgen? Is het bijvoorbeeld toegestaan om websitebezoekers te weren indien ze geen toestemming geven?
Vrijelijk
Om cookies te kunnen gebruiken dient de gebruiker van de website daarover vooraf te worden geïnformeerd en daarvoor toestemming te geven. Veel websites proberen hieraan te voldoen door middel van een zogenaamde cookie-bar die tevoorschijn komt als je een website bezoekt. Indien je niet akkoord gaat of gewoon nergens op klikt, kan de website nog steeds gebruikt worden. Er worden in die situatie (als het goed is) geen cookies gebruikt.
Er zijn echter ook websites die in plaats van een cookie-bar een zogenaamde cookie-wall gebruiken. Ook in deze situatie moet de websitebezoeker toestemming geven voordat er gebruik wordt gemaakt van cookies. Verschil met de cookie-bar is echter dat de website niet bezocht kan worden indien er geen toestemming wordt gegeven. Maar wordt de toestemming dan nog wel vrijelijk verkregen?
In de AVG is hierover opgenomen dat toestemming niet vrijelijk wordt gegeven indien de gebruiker geen echte of vrije keuze heeft, of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen. Voorstanders van een cookie-wall stellen dat het de vrije keus van de gebruiker is om de website te bezoeken of niet, en om dus wel of niet met cookies te worden geconfronteerd. Tegenstanders van cookie-walls beargumenteren echter dat de toestemming bij het gebruik van een cookie-wall niet vrijelijk is omdat deze wordt afgedwongen nu anders de website niet bezocht kan worden.
In een poging om onduidelijkheden over dit onderwerp weg te nemen, heeft een daartoe opgerichte werkgroep zich uitgelaten over het begrip ‘vrijelijk’. Deze werkgroep stelt dat het hoogst onwenselijk is dat toestemming wordt gevraagd voor bepaalde handelingen, die niet noodzakelijk zijn voor de uitvoering van de beoogde service. Met het oog op het cookie-vraagstuk kan betoogd worden dat (met name) tracking cookies niet noodzakelijk zijn om de website te laten werken. Daarvoor zorgen functionele cookies. Tracking cookies daarentegen zijn primair gericht op het verkrijgen van advertentie-inkomsten. Volgens deze lijn dient daarom een (deels) werkende website beschikbaar te worden gesteld indien een gebruiker geen toestemming geeft voor cookies die niets met de werkbaarheid van de website zelf te maken hebben. Het gebruik van een cookie-wall die dit voorkomt is dan ook niet toegestaan.
Als deze uitleg van ‘vrijelijk’ wordt gevolgd, zul je merken dat lang niet alle websites voldoen aan de regels. Dit kan grote gevolgen hebben voor de ondernemingen achter deze websites. Zo kunnen onder de AVG hoge boetes worden opgelegd.
Gebruik je zelf cookies op je website en/of heb je hier vragen over? Neem gerust contact op met Rolf Hebbink.