Zo moet geldige toestemming voor cookies eruit zien

4 oktober 2019, 06:00

De hoogste Europese rechter deed op 1 oktober uitspraak in de Planet49-zaak. Hierin is beoordeeld hoe geldige toestemming voor het plaatsen van cookies eruit moet zien. Het is een belangrijke uitspraak, die raakt aan een aantal bekende discussiepunten over cookies. Wat betekent dit voor jou als marketeer?

De zaak draaide om een website van het Duitse bedrijf Planet49 waar mensen door deelname aan een winactie kans maakten op een prijs. Hiervoor moesten zij eerst hun naam en adres invullen. Onderaan het formulier stonden twee ‘checkboxes’:

  • Een leeg hokje dat aangevinkt moest worden voor deelname. Hiermee gaf de deelnemer toestemming om benaderd te worden door partners van Planet49 met een aanbieding.
  • Een vooraf aangevinkt hokje waarmee de deelnemer toestemming gaf voor het plaatsen van advertentiecookies. Het ging dus niet om een cookiebanner, maar een hokje op het formulier. Dit hokje kon leeggemaakt worden, deelname was dan nog steeds mogelijk.

Onderaan het formulier kon men met een klik op een knop de deelname bevestigen.

De klacht

Een Duitse consumentenorganisatie startte een procedure tegen Planet49. Volgens de organisatie kon dit formulier geen geldige toestemming voor het plaatsen van cookies opleveren. Als reden gaven zij aan dat de toestemming niet vrij zou zijn gegeven en de websitebezoeker onvoldoende geïnformeerd zou zijn over datgene waarvoor toestemming gegeven wordt.

“Toestemming moet ondubbelzinnige wilsuiting zijn”

Het Duits Federaal Hof van Justitie heeft hierover vragen gesteld aan het Europese Hof van Justitie, omdat zij niet zeker waren over de manier waarop hier de AVG en haar voorloper (de Richtlijn uit 1995) uitgelegd moeten worden in samenloop met de e-Privacy Richtlijn. De gestelde vragen waren:

  1. Is er sprake van daadwerkelijke toestemming wanneer […] wordt toegestaan door middel van een vooraf aangevinkt selectievakje dat door de gebruiker moet worden uitgevinkt in geval hij weigert zijn toestemming te verlenen?
  2. Maakt het […] enig verschil of de opgeslagen of opgevraagde gegevens persoonsgegevens zijn?
  3. Is […] sprake van daadwerkelijke toestemming in de zin van artikel 6, lid 1, onder a), van [verordening 2016/679] (de AVG)?
  4. Welke informatie dienen door de aanbieder van diensten aan de gebruiker te worden verstrekt in het kader van de […] te verstrekken duidelijke en volledige informatie? Valt daaronder ook de informatie hoelang de cookies actief blijven en of derden toegang tot de cookies hebben?

De uitspraak

De zaak gaat om de situatie van vóór de AVG. Dit is een belangrijk detail, maar heeft voor de relevantie van de uitspraak geen gevolgen, omdat de wet niet veranderd is op de onderdelen die van belang zijn in deze zaak. Waar dit wel het geval is, wordt het door de rechters benoemd.

Uit de uitspraak van het Hof volgen de volgende conclusies over toestemming:

  1. Toestemming is niet rechtsgeldig verleend wanneer dit wordt toegestaan door middel van een standaard aangevinkt selectievakje, dat een gebruiker moet uitvinken in geval hij weigert zijn toestemming te verlenen. Dit is namelijk een opt-out mogelijkheid, geen opt-in.
  2. Toestemming moet een ondubbelzinnige wilsuiting zijn, die wordt afgeleid uit een actieve handeling. Dit kan dus niet volgen uit passief gedrag. Het Hof benadrukt dit twee keer:

    – “Toestemming door middel van een standaard aangevinkt selectievakje impliceert echter geen actieve gedraging van de gebruiker van een website.”

    – “Aan deze voorwaarde kan echter uitsluitend worden voldaan wanneer deze betrokkene met een actieve gedraging duidelijk blijk geeft van zijn toestemming.”

  3. Toestemming moet specifiek zijn, in die zin dat deze precies op de verwerking van de betrokken gegevens gericht moet zijn, en kan niet worden afgeleid uit een algemene wilsuiting die op iets anders betrekking heeft. In dit geval de bevestiging van deelname aan een loterij.

“Websites moeten informeren over levensduur van geplaatste cookies”

Uit de uitspraak van het Hof volgen de volgende conclusies over de informatieplicht:

  1. Websitehouders moeten informeren over de levensduur van de geplaatste cookies. Hierbij wordt verwezen naar de informatieplicht over de bewaartermijn uit de AVG. Als het noemen van een termijn niet mogelijk is, moet worden uitgelegd hoe die termijn bepaald wordt.
  2. Websitehouders zijn verplicht te informeren over toegang van derde partijen tot de cookiedata. Volgens het Hof is die informatie noodzakelijk voor websitebezoekers om een keuze te maken om al dan niet toestemming te geven.
  3. Het Hof gaat niet zo ver dat websitehouders alle derde partijen die toegang hebben tot cookiedata moeten noemen. Het noemen van categorieën derden is volgens de rechters (in de context van deze zaak) voldoende. Dit is een meevaller, want het is hierdoor minder lastig om een duidelijk en begrijpelijk cookiestatement te schrijven.

Geen uitspraak over cookiewall

Het grootste vraagteken in het debat over cookietoestemming gaat over het verplicht maken van toestemming. Ook bekend als de ‘cookiewall’. Dit was onderdeel van de oorspronkelijke Planet49 klacht, maar werd door de Duitse rechters niet voorgelegd aan het Europese Hof. Het Hof heeft ervoor gekozen om daarom niet op dit punt in te gaan. Vermoedelijk speelt hier mee dat de rechters niet op de stoel van de wetgever willen zitten. In het wetgevingstraject van de e-Privacy Verordening wordt al ruim twee jaar gedebatteerd over dit onderwerp. Er zal in de e-Privacy Verordening vanuit de wetgever duidelijk gemaakt worden onder welke voorwaarden websitehouders toestemming verplicht mogen stellen. Voor het antwoord op deze vraag zal dus gewacht moeten worden op de definitieve e-Privacy Verordening.

Zijn vooraf aangevinkte hokjes nu verboden?

In de Planet49-uitspraak is een specifieke situatie beoordeeld waarin de deelnemer aan een loterij een hokje moest uitvinken om géén toestemming te geven voor het plaatsen van cookies. Dat een vooraf aangevinkt hokje daarin geen geldige toestemming oplevert, betekent niet dat aangevinkte hokjes nergens meer toegestaan zijn.

“De uitspraak betekent niet dat aangevinkte hokjes nergens meer toegestaan zijn”

Denk bijvoorbeeld aan de uitzondering op de opt-inregel voor klanten, ook wel de soft opt-in genoemd. Die zie je bijvoorbeeld terug op webformulieren die je als klant van een webshop invult. Daar wordt bij het e-mailveld een opt-outmogelijkheid voor de nieuwsbrief aangeboden. Dit lijkt op e-mailtoestemming, maar is in feite alleen het aanbieden van het recht van verzet. De uitleg van het Hof in de Planet49-zaak gaat over toestemming, en is dus niet van toepassing op de klantrelatie-uitzondering voor e-mail. In zo’n situatie is een vooraf aangevinkt hokje dus wel toegestaan.

Verandert er veel door deze uitspraak?

In Nederland kennen we met artikel 11.7a in de Telecommunicatiewet al langer één van de meest ‘strenge’ cookiebepalingen van Europa. Hierdoor zijn de gevolgen van de Planet49 uitspraak groter in andere EU-landen. Zo werd het in Duitsland nog toegestaan om zonder toestemming cookies te plaatsen als de gegevens gepseudonimiseerd werden. In Nederland kan de uitspraak aanleiding zijn voor de Autoriteit Consument en Markt (ACM) en Autoriteit Persoonsgegevens (AP) om zich uit te spreken over organisaties die impliciete toestemming, vooraf aangevinkte hokjes of cookiebanners met enkel informatie hanteren. Alhoewel er in de uitspraak voor Nederland weinig verrassingen staan, is het toch belangrijk om deze uitspraak goed door te nemen en te bekijken of de cookiebanners op je website nog in orde zijn.

Matthias De Bruyne
Legal Counsel bij DDMA

Matthias De Bruyne is legal counsel bij DDMA, branchevereniging voor data en marketing. In deze functie helpt hij DDMA-leden te voldoen aan de geldende (Europese) privacywetgeving. Hij biedt juridische ondersteuning bij vraagstukken die spelen binnen marketingcampagnes en geeft advies en voorlichting over de juridische ontwikkelingen op het gebied van (onder meer) privacy, data security, telecom, reclame, kansspelen en consumentenrecht. Hierbij ligt de focus op de praktische vertaalslag van wetgeving, regels en richtlijnen naar de marketingpraktijk.

Categorie
Tags

3 Reacties

    wouterblom

    Beste Matthias, Dank voor de juridische verhandeling.

    “Zo moet geldige toestemming voor cookies eruit zien” is de belofte van het stuk.

    Dus zou je ons door 1 of 2 scenario’s kunnen meenemen hoe toestemming er uit zou moeten zien? Bijvoorbeeld voor de oplossing van cookiebot (welke veel geïmplementeerd is voor het MKB). De grote publischers zijn niet zo interessant. Dat is hun probleem. Wat moet een normale website of wellicht webshop doen van een bedrijf dat niet zijn geld verdient met het delen van advertenties cookies van derden?


    4 oktober 2019 om 07:31
    Fvanaken

    Erg handig artikel, bedankt!


    7 oktober 2019 om 11:19

Marketingfacts. Elke dag vers. Mis niks!