EDPB-taskforce: hier moet je op letten bij het inrichten van je cookiebanner

Achtergrond

Voor het ontstaansproces van dit rapport moeten we kort terug naar het begin van 2021, toen None Of Your Business (NOYB), de stichting van privacy-activist Max Schrems, bij verschillende organisaties in totaal 560 klachten indiende over het gebruik van cookiebanners op hun websites. De klachten betroffen meerdere onderdelen, zoals het ontbreken van voldoende informatie, het niet hebben van een weigerknop of het gebruik van verschillende kleuren.

Een aantal van de aangeschreven organisaties gaf gehoor aan het verzoek om hun cookiebanner te wijzigen, maar de overgrote meerderheid veranderde niets. Daarop diende NOYB uiteindelijk 422 klachten in bij de desbetreffende nationale toezichthouders. De EDPB, bestaande uit alle Europese privacytoezichthouders, besloot vervolgens een taskforce op te richten om alle ingediende klachten te coördineren. Hiermee willen ze een uniforme aanpak realiseren vanuit de verschillende nationale toezichthouders. Inmiddels heeft de taskforce op 17 januari een conceptrapport gepubliceerd met minimale voorwaarden waaraan cookiebanners moeten voldoen en waarmee nationale toezichthouders klachten kunnen beoordelen.

Overwegingen

Mede gebaseerd op de ingediende klachten is de taskforce tot een aantal belangrijke punten gekomen die van belang zijn bij het inrichten van een cookiebanner én de verzameling van persoonsgegevens die hierbij plaatsvindt:

• Geen weiger-knop – Het ontbreken van een weiger-knop in de eerste laag wordt door de meerderheid van de leden als een inbreuk gezien. Volgens hen is dit niet in lijn met de vereisten voor geldige toestemming omdat er geen actieve handeling plaatsvindt. Dit betekent dat als je in de eerste laag enkel een knop met ‘accepteer (alle) cookies’ en een knop met ‘meer informatie’ aanbiedt, je geen geldige toestemming uitgevraagt.

• Vooraf aangevinkte hokjes – Het alvast aanvinken van hokjes in een tweede laag, die zichtbaar wordt als iemand op de knop ‘instellingen’ of ‘meer informatie’ in de eerste laag heeft geklikt, leiden ook niet tot geldige toestemming. De taskforce verwijst hierbij naar de Algemene Verordening Gegevensbescherming (AVG) die expliciet stelt dat ‘reeds aangekruiste vakjes’ geen geldige toestemming op kunnen leveren.

• Aansporing tot het geven van toestemming – Je mag cookiebanners volgens de taskforce niet op een manier ontwerpen waarbij gebruikers de indruk krijgen dat ze verplicht zijn of duidelijk aangespoord worden om toestemming te geven. Te veel aansporen is bijvoorbeeld als de accepteerknop heel duidelijk als knop wordt aangeboden maar de weigerknop veel minder visuele aandacht krijgt. Denk aan het gebruik van een link als weigerknop of het helemaal buiten de banner plaatsen daarvan.

• Kleuren/contrast van knoppen – De taskforce stelt dat een standaard vaststellen voor de kleuren of contrast-instellingen, die wel of juist niet gebruikt mogen worden, niet kan worden opgelegd. Per geval zal moeten worden beoordeeld of een banner gebruikmaakt van misleidende kleuren en/of contrast. Wel maken ze duidelijk dat het in ieder geval misleidend is om een minimaal verschil in contrast tussen de tekst en de achtergrond van de knop te maken waardoor de tekst lastig te lezen is.

• Toestemming vs. gerechtvaardigd belang voor gepersonaliseerde advertenties – In sommige gevallen berusten organisaties de verdere verwerking van persoonsgegevens (bijvoorbeeld voor gepersonaliseerde advertenties) op de rechtsgrond gerechtvaardigd belang. De taskforce stelt dat verdere verwerking nooit op grond van het gerechtvaardigd belang kan plaatsvinden als het plaatsen van de cookies in eerste instantie niet is gebeurd op grond van geldige toestemming. De taskforce is nog in gesprek over dit soort praktijken om een consistente aanpak te waarborgen.

• Essentiële cookies – De taskforce benoemt dat men er soms te snel vanuit gaat dat een cookie essentieel is. Op Europees niveau is het te moeilijk om een lijst op te stellen met welke cookies essentieel zijn en welke niet, omdat de kenmerken van cookies regelmatig veranderen. Daarnaast bevestigt de taskforce dat cookies die worden gebruikt om de cookievoorkeuren van een gebruiker bij te houden als essentieel worden gezien.

In Nederland is het onder de Telecommunicatiewet overigens ook mogelijk om analytische cookies te plaatsen zonder toestemming, mits deze weinig tot geen inbreuk op de privacy maakt én deze gegevens niet gebruikt kunnen worden om gebruikers anders te behandelen.

• Geen permanente intrekmogelijkheid – Website-eigenaren moeten zorgen voor een gemakkelijk toegankelijke optie waarmee gebruikers hun toestemming te allen tijde kunnen intrekken. Hoe ze deze optie moeten aanbieden kan de taskforce niet op een specifieke manier opleggen, ook dit moet per geval worden beoordeeld. Voorbeelden die ze geven zijn een zwevend pictogram of  een zichtbare link die permanent zichtbaar is óf op een standaard plaats staat of zweeft.

Ben je lid en heb je vragen over het compliant inrichten van je cookiebanner óf wil je graag dat wij even meekijken? Laat het ons dan weten via legal@ddma.nl óf bel met 020 452 8413.

Romar van der Leij

Voormalig Legal counsel | DDMA

Sara Mosch

Legal counsel