EDPB website

EDPB: ‘Cookiemuur is geen vrije keus en dus niet toegestaan’

Laatst bijgewerkt: 11 mei 2020
Leestijd: 3 minuten, 23 seconden

De European Data Protection Board (EDPB) heeft de richtlijnen van de Europese cookieregelgeving aangescherpt. In de nieuwe versie staat dat het voor websites niet is toegestaan om hun content te blokkeren met een zogeheten cookie wall. Dat geeft gebruikers niet de vrijheid om een geïnformeerde keuze te maken.

Dat schrijft de overkoepelende organisatie van alle nationale privacytoezichthouders in de EU in de aangescherpte richtlijnen.

Cookieregelgeving

Het is al weer enkele jaren geleden dat de Europese Commissie nieuwe richtlijnen oplegde ten aanzien van het gebruik van cookies. Sinds 2018 geldt de ePrivacy richtlijn. In een notendop zegt deze richtlijn dat website-eigenaren bezoekers vooraf duidelijk moet informeren over welke cookies ze op de computer van bezoekers plaatst voordat ze de inhoud van de site lezen. Denk aan marketing cookies, analytische cookies, functionele cookies, tracking cookies, flash cookies en third party cookies.

Website-eigenaren zijn niet verplicht om vooraf toestemming te hebben van bezoekers voor alle bovengenoemde cookies. In de ePrivacy richtlijn staat dat cookies die weinig of geen inbreuk maken op onze privacy, geen expliciete toestemming vereisen van bezoekers. Het gaat daarbij bijvoorbeeld om analytische, functionele en beveiligingscookies. Dat geldt niet voor onder meer tracking en third party cookies. Met deze cookies worden het surfgedrag van gebruikers in kaart gebracht en gerichte advertenties voorgeschoteld.

Cookiemuur

Als je een website bezoekt, verschijnt er een pop-up venster in beeld. Daarin vermelden website-eigenaren dat hun site gebruik maakt van cookies, al dan niet met een lijst van welke cookies precies en voor welke doeleinden deze worden gebruikt. In de disclaimer of privacy statement van sites, die ze verplicht zijn om op te nemen, kunnen bezoekers alle details hierover lezen. Op basis daarvan kunnen ze besluiten om al dan niet akkoord te gaan met deze voorwaarden.

Wat volgens de EDPB niet mag is een blokkade opwerpen waarmee bezoekers moeten instemmen alvorens ze de website kunnen raadplegen. Alle content is dan niet-toegankelijk en kan alleen worden gelezen als ze van tevoren instemmen met het plaatsen van cookies. Dit wordt ook wel een cookie wall of cookiemuur genoemd. In de nieuwste editie van de richtlijnen van de Europese toezichthouder voor gegevensbescherming staat nadrukkelijk dat dit niet mag. “Om op een vrije manier instemming te geven [voor het opslaan van cookies, red.], mag de toegang tot diensten en functionaliteiten geen voorwaarde zijn voor gebruikers om informatie op te slaan, dan wel toegang te verkrijgen tot informatie die reeds is opgeslagen”, aldus de EDPB.

Een website-eigenaar mag dus geen script plaatsen op zijn site waardoor de content ontoegankelijk wordt voor gebruikers en eisen dat ze vooraf instemmen met zijn cookiebeleid om toegang te krijgen. De EDPB oordeelt dat dit geen vrije keus is, omdat bezoekers geen keuze wordt voorgeschoteld. Het enige dat ze kunnen doen is namelijk de cookies accepteren.

Autoriteit Persoonsgegevens

De aanscherping van de richtlijn komt overeen met wat de Autoriteit Persoonsgegevens (AP) vorig jaar over deze kwestie zei. De privacytoezichthouder zei dat het voor website-eigenaren niet is toegestaan om content te blokkeren met een cookiemuur. “Op grond van de Algemene Verordening gegevensbescherming (AVG) is een cookie wall (cookiemuur) niet toegestaan. Dat komt omdat u met een cookie wall géén geldige toestemming kunt krijgen van uw bezoekers of gebruikers voor het plaatsen van tracking cookie. Bij een cookie wall hebben websitebezoekers geen echte of vrije keuze. Weliswaar kunnen ze tracking cookies weigeren, maar dat kan niet zonder nadelige gevolgen. Want tracking cookies weigeren, betekent dat ze geen toegang krijgen tot de website. Daarom zijn cookie walls onder de AVG verboden”, aldus de AP destijds.

Staatssecretaris van Economische Zaken Mona Keijzer moest in november 2019 nog erkennen dat het volgens de ePrivacy verordening niet nadrukkelijk verboden was om een cookiemuur in te stellen. Een expliciet verbod op cookiemuren kon toen niet rekenen op de steun van voldoende lidstaten, zo schreef ze in een Kamerbrief over de Telecomraad.

Als je meer wil weten over de Europese regelgeving op het gebied van cookies, lees dan dit artikel. Wil je weten hoe je cookies op je computer of smartphone beheert en verwijdert? Lees dan onze uitgebreide handleiding over dit onderwerp.

Tech-journalist
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
2
Reacties
  1. Ik zie cookiemeldingen heel vaak fout gaan. Zo ook bij jullie! Een cookiemelding moet voldoen aan een aantal eisen. De cookiemelding van VPNGids (onderin de footer) is wel vriendelijk voor de lezer, maar ook misleidend. Uit onderzoek van NNgroup blijkt dat nog geen kwart van de paginabezoekers het einde van de pagina haalt(in de praktijk nog lager, dus gegarandeerd 75% van jullie bezoekers zal nooit meekrijgen dat jullie cookies plaatsen. Ook geven jullie de bezoekers geen optie om cookies uit te zetten. Al dan niet heel omslachtig. Ik ben ook benieuwd hoe jullie aantonen dat bezoekers daadwerkelijk toestemming hebben gegeven. Aangezien jullie een handeling nalaten.

    Lees ook info van autoriteit persoonsgegevens:
    Volgens de Algemene verordening gegevensbescherming (AVG) is toestemming alleen geldig als deze vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven.

    Dat betekent dat:

    de bezoekers van uw website ook toestemming moeten kunnen weigeren (anders is het geen vrije keuze);
    het duidelijk moet zijn waarvoor u precies toestemming vraagt;
    uw bezoekers voldoende informatie moeten krijgen over wat er met hun gegevens gebeurt als zij toestemming geven;
    uw bezoekers daadwerkelijk en met een actieve handeling toestemming moeten geven (‘wie zwijgt, stemt toe’ geldt niet).

    Dus het plaatsen van dit artikel is wel een beetje hypocriet.

    • Beste Klaasjan,
      Je hebt gelijk wat betreft de informatie van de Autoriteit Persoonsgegevens. Echter zijn daarmee niet alle regels rondom het gebruik van cookies samengevat. Niet alle websites zijn namelijk verplicht een cookiemelding te geven, omdat lang niet alle cookies inbreuk maken op de privacy van bezoekers. Op VPNGids verzamelen wij enkel geheel geanonimiseerde analytische gegevens. Er is dus geen sprake van het verzamelen van persoonlijke gegevens of het schaden van de privacy van onze lezers, waardoor wij vallen onder een uitzondering van het cookiemeldingbeleid. De enige manier waarop wij persoonlijke gegevens (kunnen) verzamelen, is als lezers die vrijwillig aan ons geven door, bijvoorbeeld, een contactformulier in te vullen. Hier is een handeling voor nodig, waarmee je toestemming geeft. Als je meer wilt weten over cookies, kun je eventueel ook ons artikel over dit onderwerp raadplegen. Hopelijk heb je iets aan deze informatie!

Een reactie plaatsen