AP gaat handhaven op cookies, maar wat zijn eigenlijk de regels?

De Autoriteit Persoonsgegevens (AP) gaat handhaven op cookies. Ze krijgt er structureel een half miljoen euro per jaar bij voor cookie-toezicht. Dat is goed nieuws voor iedereen die zich ergert aan oneerlijke cookiebanners met een hele grote Ja-knop, terwijl je honderd keer moet klikken als je Nee wilt zeggen tegen alle cookies.

Maar dat extra geld is mogelijk slecht nieuws voor website eigenaren. Wij kunnen ons goed voorstellen dat de AP het extra geld gaat inzetten om een berg aan cookie-klachten weg te werken. En dan sta je er lelijk op, als de AP bij controle in 2024 vaststelt dat je niets hebt gedaan met een klacht van een bezoeker, en nog steeds geen geldige toestemming krijgt. Controleer dus snel of je via je website en app nu wel op de juiste manier informeert over alle cookies, en om toestemming vraagt waar nodig. Kijk bij het antwoord op vraag 5 voor een aantal handige gratis tools om precies te zien wat voor cookies jij gebruikt.

Bij Privacy Company helpen we eigenaren van websites en apps graag om de regels na te leven. We zetten hieronder de regels op een rij, in de vorm van vijf vragen en antwoorden.

1. Waar kan ik de regels vinden?   

Daar is jammer genoeg niet één duidelijke plek voor. In Nederland gelden de regels uit artikel 11.7a van de Telecommunicatiewet. Toezichthouder ACM geeft uitleg over het verschil tussen functionele, analytische en privacygevoelige volgcookies. Maar als je zaken doet in meerdere lidstaten, kom je verschillende wetten en regels tegen. Er is namelijk nog steeds géén ePrivacy Verordening met geharmoniseerde regels voor cookies. Elk land in de EU past de regels daarom op een eigen manier toe. En om het nog ingewikkelder te maken: met privacygevoelige cookies voor bijvoorbeeld advertenties verwerk je ook persoonsgegevens, is de Algemene Verordening Gegevensbescherming van toepassing, en moet je dus rekening houden met de uitleg van de dataprotectie autoriteiten.

Door de verschillen in wetgeving is het de dataprotectie autoriteiten nog steeds niet gelukt om gezamenlijke richtsnoeren op te stellen voor volgcookies. Normaal zouden de EDPB-richtsnoeren de eerste bron zijn waar je moet kijken. Je kunt in Nederland wel kijken op de website van de Autoriteit Persoonsgegevens, maar die uitleg is te beperkt, ook omdat de Autoriteit Persoonsgegevens maar een heel klein deel publiceert van de uitkomsten van klachten en onderzoeken. Om precies te weten wat je wel en niet mag doen, moet je ook kijken naar uitspraken van het Europees Hof van Justitie, naar uitspraken van rechtbanken, en naar besluiten van andere toezichthouders. Gelukkig heeft de NGO None Of Your Business (NOYB) de website GDPRhub.eu gebouwd waarin vrijwilligers uitspraken van toezichthouders en rechters samenvatten.

2. Wat is de hoogste boete die is opgelegd voor cookie-overtredingen?

De Franse toezichthouder CNIL heeft de hoogste boetes opgelegd voor het gebruik van volgcookies zonder toestemming. Eind 2021 kregen Google Ierland en Google Amerika samen een boete van 150 miljoen euro. In 2022 legde de CNIL een boete op van 60 miljoen euro aan Microsoft in verband met cookiegebruik in haar zoekmachine Bing is. Ook de eerstvolgende twee hoge boetes sinds januari 2022, van 8 miljoen euro voor Apple en 5 miljoen euro voor TikTok, zijn opgelegd door de CNIL. In 2022 bevestigde de Franse Raad van State nog twee andere megaboetes van de CNIL uit 2020 van respectievelijk 100 miljoen euro tegen Google en 35 miljoen euro tegen Amazon voor het ontbreken van toestemming voor volgcookies.

‍

Microsoft gebruikte zonder toestemming twee multi-purpose cookies in haar zoekmachine Bing, voor fraudebestrijding èn voor advertentiedoelen. De weigeroptie was verstopt onder 'meer informatie'. Er was dus geen gelijkwaardige keuze tussen Ja en Nee, en Microsoft had (per ongeluk) een cookie als 'noodzakelijk' ingedeeld, terwijl toestemming nodig was.

De Apple boete gaat over het uitlezen van unieke identifiers uit iOS versie 14.6 van de iPhone. De standaard-instelling op de telefoon was dat adverteerders het unieke advertentienummer konden gebruiken voor gerichte advertenties in de app store. Gebruikers konden dus niet actief toestemming geven, en moesten heel diep graven in de instellingen om de tracking uit te zetten. Omdat adverteerders konden selecteren op onder andere leeftijd en geslacht van de gebruikers, was er sprake van profiling.

De TikTok boete ging over het verschil in gemak tussen toestemming geven, met 1 klik, en toestemming weigeren. Bovendien hielp het weigeren niet: er werden alsnog advertentiecookies geplaatst als je Nee zei.

In 2021 heeft de Luxemburgse toezichthouder een recordboete van 750 miljoen euro opgelegd aan Amazon. De inhoud van dat besluit is helaas geheim, maar het is goed denkbaar dat die boete ook is opgelegd in verband met volgcookies. Het besluit wordt pas openbaar als Amazon is uitgeprocedeerd. Op 9 januari 2024 is de hoorzitting bij de Luxemburgse rechtbank over het beroep dat Amazon in oktober 2021 indiende (!).

3. Hoe zit het met Google Analytics cookies?

Er zijn 11 bekende uitspraken (te vinden via GDPRhub.eu) over het gebruik van Google Analytics, door de EDPS en de Finse, Franse, Italiaanse, Noorse, Oostenrijkse en Zweedse toezichthouders. De meeste van deze uitspraken gaan over onrechtmatige doorgifte van persoonsgegevens via cookies en IP-adressen naar de Verenigde Staten. Dat is sinds 10 juli 2023, het nieuwe adequaatheidsbesluit van de Europese Commissie, niet meer zo'n groot probleem. Maar de uitspraken gaan ook over het toestemmingsvereiste voor cookies, omdat Google met de Analytics cookies en de IP-adressen gedrag van gebruikers op meerdere websites kan volgen, ondanks allerlei pseudonimiseringsmogelijkheden. De uitspraken van de toezichthouders zijn wat ons betreft technisch onvoldoende onderbouwd. We hopen van harte dat de Autoriteit Persoonsgegevens eindelijk haar belofte nakomt om 'begin 2022' normuitleg te geven. In haar gearchiveerde website heeft de AP deze belofte trouwens gewijzigd: naar 'in de loop van 2022'.

‍

‍

4. Mag ik een cookiemuur gebruiken?

Een cookiemuur is een grote pop-up op een website dat je toestemming moet geven voor volgcookies om de inhoud van de site te mogen lezen, of dat je moet betalen. Volgens de Autoriteit Persoonsgegevens mag je niet afdwingen dat bezoekers volgcookies moeten accepteren om de site te kunnen bezoeken: bezoekers moeten echt vrij zijn om toestemming te geven, of niet. Ook de Belgische toezichthouder legt uit dat het gebruik van cookiemuren is verboden. Zie ook de prachtige cookie checklist infographic. Maar er is in Europa nog steeds geen eenduidige norm voor de cookiemuur. De Oostenrijkse toezichthouder oordeelde eerst dat de krant Der Standard wel degelijk een keuze mocht bieden tussen volgcookies of betalen om de website te bezoeken, maar heeft onlangs het tegenovergestelde standpunt ingenomen. Volgens de Deense toezichthouder mogen media wel een redelijke prijs vragen voor toegang, maar geen keuze tussen volgcookies of betalen (onderzoek naar Jysk Fynske Meddler en GulogGratis). En één van de regionale Duitse toezichthouders (uit Nedersaksen) vond dat het Duitse e-zine Heise wel degelijk een cookiemuur mocht hanteren, omdat bezoekers tegen betaling dezelfde dienst konden krijgen, maar dan zonder volgcookies. 

5. Wat moet ik in ieder geval doen als privacy officer of Functionaris Gegevensbescherming?

We raden je de volgende zes stappen aan:

1. Bezoek de websites en gebruik de apps van je eigen organisatie. Hoe ziet de cookietoestemmingsvraag eruit? Er moet echt een gelijkwaardige keuze zijn tussen Ja en Nee, meteen als je voor het eerst een website bezoekt of app installeert, zonder verschil in kleur en vorm (geen dark patterns).
2. Als je een cookie consent manager gebruikt van een externe leverancier, die voor jouw organisatie om toestemming vraagt, vertrouw dan niet blind op de indeling in functionele, analytische en reclamecookies. Controleer zelf de cookies èn het uitgaand verkeer op je websites met de inspector modus van je browser. Of gebruik 1 van de volgende drie handige gratis tools om jouw website te controleren:
   1. https://webbkoll.dataskydd.net/.‍
   2. De uitstekende open source inspectie software van collega-toezichthouder EDPS.
   3. De open source Kwetsbaarheden Analyse Tool van Brenno de Winter, OpenKAT, [URL: https://openkat.nl/] die net is aangevuld met de cookie-tooling van Privacy Company technoloog Floor Terra.
3. Lees de voorwaarden van het Europees Hof van Justitie uit het Planet49 arrest (C-637/17, ECLI:EU:C:2019:801) hoe je moet informeren over cookies, dus inclusief de naam van het cookie, het doel en de geldigheidsduur. Onthoud dat je óók over noodzakelijke (sessie-)cookies moet informeren, niet alleen over advertentiecookies.
4. Hou rekening met de gevoelige aard van informatie over surfgedrag, je kunt er al snel bijzondere persoonsgegevens uit afleiden, en die mag je alleen verwerken met uitdrukkelijke toestemming. Dat kun je nalezen uit de uitspraak van de Rechtbank Amsterdam over de massaclaim tegen Meta van maart 2023 (ECLI:NL:RBAMS:2023:1407) en het arrest over Meta van het Europees Hof van Justitie, (zaak C-252/21, Duitse mededingingsautoriteit tegen Meta, ECLI:EU:C:2023:537).
5. Hou rekening met het feit dat je snel gezamenlijk verantwoordelijk bent met de partijen die volgcookies op je website plaatsen. Omdat het intrekken van toestemming even makkelijk moet zijn als het geven ervan, moet je als websitehouder in staat zijn om het verwijderingsverzoek door te geven aan alle partijen die het cookie hebben kunnen uitlezen. Als je gebruik maakt van open veilingen, die op hun beurt weer open veilingen toestaan, heb je geen idee wie al die derde partijen zijn, en wat ze met je cookies doen, en kun je dus eigenlijk niet aan dit vereiste voldoen.
6. Stop met het gebruik van tracking pixels in nieuwsbrieven, of vraag er duidelijke (aparte) toestemming voor op het moment dat mensen zich inschrijven.

Wil je meer hulp, neem dan gerust contact met ons.