Cookie Banner Taskforce
Op 9 augustus 2022 lanceerde de privacy-belangenorganisatie: None Of Your Business (“NOYB”) in totaal 226 klachten bij 18 verschillende nationale gegevensbeschermingsautoriteiten. Het onderwerp van deze grootschalige actie: misleidende en niet-conforme cookie banners.
Deze klachten werden ingediend tegen de meest hardleerse eigenaars van websites die, na een eerste golf van meer dan 500 klachten in mei 2021, hun banners niet afstemden op de desbetreffende wetgeving: de nationale omzettingen van de Richtlijn van 12 juli 2002 betreffende Privacy en Elektronische Communicatie (“e-Privacyrichtlijn”) in combinatie met de Algemene Verordening van 27 april 2016 betreffende Gegevensbescherming (“AVG”).
Als reactie op de klachten werd door de EDPB de zogenaamde “Cookie Banner Taskforce” ingericht om de juridische analyse van de klachten te ondersteunen, de nationale gegevensbeschermingsautoriteiten bij te staan en de communicatie hieromtrent te stroomlijnen.
Op 17 januari 2023 publiceerde de EDPB een rapport met bevindingen van de Taskforce inzake online inbreuken op de cookieregelgeving. Dit rapport bevat onder andere een overzicht van de meest voorkomende praktijken in niet-conforme cookiebanners:
- De afwezigheid van een knop om cookies af te wijzen op de 1e “laag” van de cookiebanner. Om een weigering te kunnen geven in dit soort banners moet worden doorgeklikt naar een volgende laag. De meeste toezichthoudende autoriteiten zien het als een inbreuk wanneer de mogelijkheid tot accepteren en weigeren niet op éénzelfde laag te vinden is;
- Het vooraf aanvinken van vakjes kan niet gelden als een actieve toestemming, toch wordt dit in de praktijk vaak gedaan;
- Sommige cookiebanners verschuilen links in hun tekst;
- De weigeringslink wordt soms verstopt in een tekst in de cookiebanner zelf zonder dat er een duidelijk onderscheid is met de rest van de tekst;
- De weigeringslink wordt ook soms buiten de cookiebanner, op de webpagina zelf geplaatst en op zodanige manier verscholen dat het niet vanzelfsprekend is dat weigering op die manier kan plaatsvinden;
- De knoppen om respectievelijk te accepteren, te weigeren of extra informatie te krijgen zijn wel aanwezig, maar worden door zodanige kleur- of contrastverschillen van elkaar onderscheiden, dat de betrokkene mogelijk verward zou kunnen zijn;
- Er wordt gewerkt met een cookiebanner die in de eerste laag slechts een bevestiging van lezing vraagt. In de tweede laag gaat het pas over het accepteren of weigeren van de cookies zelf.
- De optie voor weigering wordt opgedeeld tussen het plaatsen en gebruiken van cookies gebaseerd op toestemming en de plaatsing en het gebruik op basis van het gerechtvaardigd belang van de verwerkingsverantwoordelijke, dat regelmatig foutief wordt gekwalificeerd;
- Vaak worden cookies foutief als “essentieel” gekwalificeerd; en
- Een knop om toestemming in te trekken is vaak moeilijk te vinden op de website en ontbreekt soms zelfs volledig.
De regels in de e-Privacyrichtlijn en de AVG, alsook de problematiek met betrekking tot niet-conforme cookiebanners, komt met betrekking tot het gebruik en plaatsen van cookies neer op een ogenschijnlijk eenvoudige regel, namelijk dat de betrokkene bijna altijd toestemming moet geven voor de plaatsing ervan.
Toch blijkt dat dit in de praktijk niet altijd (op een correcte wijze) wordt nageleefd.
Toestemming
De AVG legt in klare taal vast waaraan een geldige toestemming moet voldoen om cookies te mogen plaatsen op de toestellen van websitebezoekers. De wettelijke bepaling klinkt als volgt:
“Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”
In deze definitie zijn vier elementen te onderscheiden die, wanneer ze allemaal voldaan zijn voorafgaandelijk aan het plaatsen van de cookies, leiden tot een volwaardige en geldige toestemming:
- Vrije toestemming kan enkel worden gegeven wanneer er geen nadelige gevolgen gekoppeld worden aan een weigering. Zo is het bijvoorbeeld niet toegestaan om een zogenaamde cookiewall op te werpen en de toegang tot een website te laten afhangen van de acceptatie van cookies. Een toestemming kan ook niet vrij zijn wanneer ze vervolgens niet meer op elk moment intrekbaar is;
- Specifieke toestemming vereist dat de betrokkene voor elke verwerking die zal plaatsvinden op basis van deze toestemming, een specifieke en enkel daarop van toepassing zijnde toestemming heeft kunnen geven. Toegepast op cookies wil dit zeggen dat de betrokkene voor ten minste elke te onderscheiden categorie van cookies een afzonderlijke toestemming of weigering moet kunnen geven. Het is met andere woorden niet correct om een algemene toestemming te bekomen voor het plaatsen en gebruiken van “cookies”, terwijl er minstens een onderscheid gemaakt kan worden tussen “essentiële” en “niet-essentiële cookies” in het geheel van cookies waarvan gebruik gemaakt wordt op de website;
- Geïnformeerde toestemming houdt in dat de betrokkene voldoende op de hoogte is van hetgeen waarvoor toestemming wordt gevraagd. De eigenaar van de website dient de betrokkene te informeren over de soorten cookies die gebruikt worden, waarvoor deze dienen, de verschillende doeleinden waarvoor ze gebruikt worden, door wie ze geplaatst worden en hoelang ze aanwezig zullen blijven. Pas daarna kan de betrokkene met kennis van zaken een beslissing maken;
- Ondubbelzinnige actieve toestemming kan door de betrokkene enkel gegeven worden wanneer er de kans is om een actieve handeling te stellen. Het typevoorbeeld hierbij is dat het vakje om toestemming te verlenen niet op voorhand aangevinkt mag zijn, maar dat de betrokkene dit zelf dient aan te klikken om van een rechtsgeldige toestemming te kunnen spreken.
Hoewel het belang van toestemming moeilijk te overschatten is bij een correct gebruik van cookies, is het bekomen van toestemming niet altijd noodzakelijk.
Zo is er geen toestemming nodig voor:
- Technische opslag van informatie of de toegang tot informatie opgeslagen in de eindapparatuur van een gebruiker met als uitsluitend doel de verzending van een communicatie via een elektronische-communicatienetwerk uit te voeren; of
- Cookies die strikt noodzakelijk zijn om een door de websitebezoeker uitdrukkelijk gevraagde dienst te leveren (bv. cookies voor het tijdelijk bewaren van de taalkeuze, cookievoorkeuren of de inhoud van het winkelmandje).
Checklist voor het correcte gebruik van cookies
Om ondernemingen verder aan te moedigen om cookies op een juiste wijze te gebruiken, publiceerde de GBA op 20 oktober 2023 een Cookie Checklist. In deze checklist wordt het belang benadrukt om – voorafgaandelijk aan het plaatsen en het gebruiken van niet-noodzakelijke cookies (en de daaruit voortkomende gegevens) – een geldige toestemming te capteren.
Daarnaast herinnert de GBA de website-eigenaars eraan dat zij, naast het bekomen van geldige toestemming, eveneens de volgende verplichtingen dienen na te leven:
- Voorzien in een mechanisme op basis waarvan de betrokkene te allen tijde een verleende toestemming kan intrekken. Een essentieel onderdeel van een vrije toestemming is immers dat deze ook zonder enige repercussie kan worden ingetrokken en wel op een even eenvoudige manier als dat deze initieel werd verleend.
- Verantwoordingsplicht van de website-eigenaar. De website-eigenaar dient de nodige documentatie bij te houden om aan te tonen dat de verwerking van persoonsgegevens door middel van cookies conform de geldende regelgeving verloopt (bv. een beperkte bewaartermijn van cookies voor het onthouden van cookievoorkeuren van de websitebezoeker, bijhouden van informatie die aantoont hoe het toestemmingsmechanisme werd aangepast doorheen de tijd, etc.). In dit kader raadt de GBA aan om het cookiebeleid dat gevoerd wordt te dateren, te voorzien van een versienummer en voorgaande versies te bewaren.
Indien u vragen heeft met betrekking tot cookies en het correcte gebruik ervan op uw website kan u steeds terecht bij ons Privacy & Data Protection team.