Achtergrond
Om te beginnen is het goed om kort toe te lichten waarom het initiatief van de ‘Cookie Pledge’ eigenlijk is ontstaan. De huidige regels voor cookies en soortgelijke technieken stammen alweer uit 2009 en zijn in Nederland in werking sinds 2012. Het laat zich raden dat in een snel ontwikkelend digitaal landschap de regels inmiddels enigszins achterhaald zijn. Zo vond ook de Europese Commissie in 2017(!) al, toen het een voorstel indiende voor vernieuwde uniforme Europese regels: de ePrivacy-verordening. De onderhandelingen over deze verordening lopen op z’n zachtst gezegd niet soepel en de verwachting is dat het voorstel het niet meer gaat halen.
Daarbij is de discussie omtrent het inzetten van tracking based advertising de laatste jaren gegroeid. Dit heeft zelfs geleid tot een oproep van Europarlementariërs om gepersonaliseerde advertenties in zijn algemeenheid te verbieden in de Digital Services Act. Het verbod kwam er niet, maar het verscherpte wel de focus op de inzet van tracking-technologieën.
Om de kloof tussen achterblijvende wetgeving en snelle digitale ontwikkelingen te overbruggen, stelde Eurocommissaris Didier Reynders voor om gezamenlijk met de sector actie te ondernemen. De ‘Cookie Pledge’ is een vrijwillig initiatief waarbij de stakeholders van de advertentie-industrie samen met de Europese Commissie onderzoeken hoe websitebezoekers meer controle kunnen krijgen over de verwerking van hun persoonsgegevens online. Hierbij wordt ook gekeken naar manieren om dit proces begrijpelijker te maken. Hoewel het instrument geen wettelijke status of handhaving heeft, kan het wel bijdragen aan het instellen van een nieuwe norm in de sector. Uiteindelijk zal deze norm worden beoordeeld door rechters en toezichthouders.
Inmiddels zijn de gesprekken tussen de stakeholders, waaronder DDMA via onze koepelorganisatie FEDMA, al enige tijd aan de gang en staan de eerste principes op papier. Deze principes zien met name op de manier waarop er in cookiebanners wordt geïnformeerd over advertentiemodellen, welke onderdelen de cookiebanner moet bevatten en de technische (samen)werking aan de achterkant.
EDPB zit scherp in de wedstrijd
Wanneer het op (e)Privacy aankomt, mag de Europese koepel voor privacy toezichthouders (EDPB) niet ontbreken op het strijdtoneel. Het is dan ook niet geheel verrassend dat het toezichtsorgaan de tijd heeft genomen om uitgebreid te reageren op de opgestelde principes, helemaal gezien de recente publicatie van een concept-guideline over cookies en soortgelijke technieken. Hieronder volgen de belangrijkste opmerkingen uit de cookie pledge-opinie.
Voordat de EDPB ieder principe langsloopt, merken ze in het algemeen een paar overkoepelende punten op. Zo wordt benadrukt dat toestemming een bevestigende handeling moet inhouden, dat er geen cookies of soortgelijke technieken geplaatst worden vóórdat toestemming is verkregen én dat toestemming altijd in te trekken moet zijn (iets wat lang nog niet op iedere website mogelijk is).
De belangrijkste opmerkingen van de EDPB:
- Informatie over strikt noodzakelijke technieken – die uitgezonderd zijn van toestemming, zoals een winkelwagentje – hoeven niet op de eerste laag. Wél wordt benadrukt dat het noodzakelijk is om hierover te informeren.
- Het is belangrijk dat toestemming vrij wordt gegeven. Hierbij zijn de volgende punten van belang:
- Het machtsverschil tussen de websitehouder en de websitegebruiker mag niet te groot zijn;
- Toestemming mag niet impliciet vervat zijn in andere voorwaarden;
- De toestemming moet gericht zijn op een specifiek doel, zoals het tonen van advertenties;
- Het moet mogelijk zijn om toestemming te weigeren of in te trekken zonder negatieve gevolgen voor de gebruiker van de website.
- Een ‘paywall’ is een optie, mits hiervoor een passende vergoeding wordt gevraagd. Hiermee volgt de EDPB de lijn van het Europees Hof in de Meta-zaak.
- Bij een ‘paywall’ moet naast de opties toestemming voor tracking en betalen om tracking te voorkomen, ook altijd minimaal één minder ingrijpend advertentiemodel aan worden geboden. De EDPB stelt voor om contextual advertising als specifiek voorbeeld op te nemen.
- Bij het gebruik van minder ingrijpende advertentiemodellen moet, ondanks dat dit mogelijk anoniem is, alsnog geïnformeerd worden over het inzetten van de techniek.
- In het geval van een ‘accepteer’- of ‘accepteer alles’- knop, moet er altijd een ‘weiger’-knop zijn om geldige toestemming te verkrijgen.
- Binnen één advertentiemodel is het niet nodig om per tracker afzonderlijk toestemming te verkrijgen. Het is wel essentiel dat websitegebruikers in de tweede laag de optie hebben om verschillende trackers (en derde partijen) uit te schakelen. De EDPB benadrukt hierbij dat een ‘groot aantal’ partners waarschijnlijk geen geldige toestemming zal opleveren. Hoeveel partners zij onder ‘een groot aantal’ verstaan, is niet duidelijk.
- Binnen één advertentiemodel is het niet nodig om afzonderlijk toestemming te verkrijgen voor analytische cookies. Wel merkt de EPDB op dat dit enkel gaat om cookies die ‘intrinsiek verbonden’ zijn aan het advertentiemodel. Het koppelen van de vergaarde analytische informatie aan andere diensten valt hierbuiten. Daarnaast is het ook hier van belang dat de inzet van deze analytische doeleinden wordt toegelicht in de tweede laag van de cookiebanner.
- Er moet geïnformeerd worden over welke partijen de tracking-technieken plaatsen en daarmee gegevens verzamelen.
- Een websitegebruiker mag niet opnieuw worden gevraagd om toestemming te geven binnen één jaar na het laatste verzoek. De EDPB voegt toe dat deze termijn vervalt op het moment dat een websitegebruiker zijn cookies verwijdert.
- Het technisch vastleggen van een weigering van toestemmingkan worden gezien als een noodzakelijke en daarmee uitgezonderde techniek. Wel wijst de EDPB erop dat dit privacyvriendelijk ingericht kan worden, zonder unieke identifiers.
Wat betekent dit voor jou
Zoals gezegd kent noch de cookie pledge noch de opinie van de EDPB formele rechtskracht. Wel laat deze opinie zien welke kant we mogelijk opgaan als sector. Eerder heeft een taskforce van de EDPB namelijk al richtlijnen opgesteld voor nationale toezichthouders, om klachten over cookiebanners af te handelen. Elementen zoals een weigerknop in de eerste laag en het niet benoemen van gerechtvaardigd belang als grondslag, zullen vrijwel zeker terug gaan komen in handhaving. In dit stadium blijft het daarentegen nog steeds aan jouw organisatie om zelf een juiste afweging te maken en de cookiebanner zo compliant mogelijk in te richten.
Wil je hulp bij deze afweging? Of heb je een andere juridische vraag? Neem dan contact met ons op!
Wil je meer weten over cookies, check dan onze webpagina: Cookies – DDMA
- Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
- Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
- Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.