Rechts

Uitspraak van het Hof van Justitie en toestemming voor cookies: oplossingen voor juridisch veilige gegevensbescherming


Uiterlijk sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) moet u als beheerder van een niet-private website belangrijke aspecten van gegevensbescherming in acht nemen. De vraag hoe om te gaan met cookies was aanvankelijk controversieel. Met zijn arrest (1 oktober 2019) heeft het Europese Hof van Justitie (HvJ) specifieke bepalingen opgenomen over cookies met betrekking tot toestemming voor verwerking. Toestemming voor het gebruik van cookies wordt ook wel cookietoestemming genoemd. Consent Management Providers (CMP’s) bieden vereenvoudiging in het juridisch veilige ontwerp van het gebruik van cookies. Geavanceerde cookie-oplossingen werken automatisch en stellen gebruikers in staat om het type en de reikwijdte van het gebruik van cookies toe te staan.

Uitspraak HvJ en de cookies: juridische betekenis in één oogopslag

De achtergrond van de uitspraak van het HvJ is de juridische kwestie Planet49. Onder het dossiernummer Az.:C-673/17 staat nu duidelijker hoe de toestemming voor het gebruik van cookies vorm moet krijgen. In principe moet de bezoeker van een website vrijwillig en uitdrukkelijk akkoord kunnen gaan met het gebruik van cookies. Volgens het arrest van het Hof van Justitie over cookies is het gebruik en de verwerking van bepaalde cookies alleen toegestaan na het geven van toestemming. Dit geldt niet voor cookies die absoluut noodzakelijk zijn voor de werking van de website.

In het arrest van het Hof van Justitie over cookies stelt het Europese Hof van Justitie dat de ePrivacy Verordening al voorziet in verplichte toestemming voor cookies die niet absoluut noodzakelijk zijn (vergelijk art. 5 lid 3 ePrivacy Richtlijn). Deze uitspraak van het HvJ over cookies is in principe al bekend uit eerdere uitspraken.

Opgemerkt moet worden dat de bekende § 15 par. 3 TMG (Telemediawet) moet niet worden opgevat als een implementatie van de ePrivacy-richtlijn. Evenmin kan een interpretatie van de TMG in overeenstemming met de richtlijn, noch een directe toepassing van de ePrivacy-richtlijn worden overwogen. Daarom is het gebruik en het verzamelen van cookies fundamenteel onderworpen aan de AVG . Volgens de AVG kan het gebruik gebaseerd zijn op een legitiem belang of op toestemming (vergelijk (Art. 6 Para. 1 lit. a AVG). Omdat dit alleen niet leidt tot een verplichte toestemmingsvereiste, verwijst het HvJ naar de ePrivacy-richtlijn.

Arrest van het Hof van Justitie over cookies en de gevolgen ervan: Toestemming voor gebruik

Effectieve toestemming is in de praktijk gebonden aan bepaalde eisen als gevolg van het HvJ-arrest over cookies. Het HvJ heeft essentiële uitspraken gedaan over cookies met betrekking tot de effectiviteit van toestemming voor het gebruik ervan. Deze hebben betrekking op de oude en de nieuwe wet op de gegevensbescherming in overeenstemming met de AVG.

In principe volgt uit het arrest van het Hof van Justitie over cookies dat toestemming voor het gebruik en de verwerking een actief gedrag van de gebruiker vereist. Als er geen actief gedrag is, is het onduidelijk of gebruikers voldoende kennis hebben van de situatie. Daaruit volgt dat een al
eerder aangevinkt het selectievakje voor cookies kan geen effectieve toestemming vertegenwoordigen . In de zin van een daadwerkelijke opt-in moet de bezoeker zelf actief worden en zijn toestemming geven door te klikken zodat cookies kunnen worden verzameld en verwerkt volgens de uitspraak van het HvJ.

Bovendien vereist toestemming voor cookies volgens de uitspraak van het HvJ in het algemeen aparte en niet-vooraf ingestelde klikopties voor alle denkbare gevallen. Aan een pure verzendknop kan voor specifieke gevallen geen toestemming worden ontleend.

Verder betekent het arrest van het Hof van Justitie over cookies dat, rekening houdend met de ePrivacy-richtlijn, benadrukt moet worden of de cookie-informatie al dan niet persoonsgegevens weergeeft. De richtlijn heeft dus een regelgevend gebied dat zelfs verder gaat dan de wetgeving inzake gegevensbescherming. Juridische experts wijzen er echter op dat de ePrivacy-richtlijn in Duitsland nog niet volledig is geïmplementeerd.

Naar aanleiding van het oordeel van het Hof van Justitie over cookies dient u als beheerder van een website ook nauwkeurige informatie te verstrekken over het gebruik van cookies. De informatie die nodig is in verband met de toestemming voor cookies omvat onder meer de verwerkingstijd van de gegevens. Evenzo moet als gevolg van het arrest van het HvJ over cookies informatie over toegang tot cookies door derden aan bezoekers worden gecommuniceerd. Dit omvat ook nauwkeurige informatie over de ontvangers van de gegevens of de categorieën van ontvangers. Uiterlijk sinds het arrest van het HvJ moet de bezoeker weten welke adverteerders de verzamelde gegevens verwerken.

Belang en noodzaak van toestemming voor cookies voor website-exploitanten

Vrijwel elke commerciële website verzamelt gegevens. Het gaat daarbij niet alleen om operationeel noodzakelijke gegevens, maar in de meeste gevallen ook om gegevens waarvoor volgens het cookie-arrest van het HvJ de uitdrukkelijke toestemming van uw bezoekers nodig is. Zelfs het gebruik van de eenvoudigste analysetools gaat gepaard met het verzamelen van talloze gegevens en het maken van bijbehorende cookies. Een bekend voorbeeld is de Google Analytics-tool. Deze vorm van dataverzameling komt ook voor wanneer iemand een widget op social media plaatst. Daarom vertrouwt elke exploitant van een website die klanten heeft binnen het AVG-gebied (EU en daarbuiten) op cookie-inhoudsbeheer . Volgens de cookie-uitspraak van het Hof van Justitie is een wettelijk conforme werking van de website alleen mogelijk als een correcte afhandeling van de cookietoestemming is gegarandeerd.

Cookietoestemming in de praktijk: implementatie als opt-in

Het arrest van het Hof van Justitie over cookies heeft al duidelijke en concrete effecten. Dit resulteert in een behoefte aan actie voor website-exploitanten. Dit betreft het type en de vormgeving van de cookietoestemming, d.w.z. de uitdrukkelijke toestemming voor het gebruik ervan. De informatie die aan gebruikers moet worden gecommuniceerd over het gebruik van cookies wordt ook beïnvloed.

In deze context moet toestemming in de praktijk worden vormgegeven als een echte opt-in . Dit betekent dat een actieve handeling van de gebruiker vereist is om toestemming te geven. Kortom, sinds 2009 voorzien de EU-richtlijnen voor gegevensbescherming erin dat bezoekers om hun toestemming worden gevraagd. In het verleden konden website-exploitanten deze vereiste echter interpreteren in de vorm van een opt-out . Dit betekent dat cookies over het algemeen werden geplaatst zonder dat de gebruiker iets hoefde te doen. De gebruiker

bezwaar kon maken tegen het gebruik van cookies, maar daartoe het initiatief moest nemen. Dit verandert met het oordeel van het Hof van Justitie over cookies: de overgang naar een opt-in zorgt ervoor dat de website over het algemeen geen cookies plaatst tenzij de gebruiker daarvoor kiest. Hierdoor kunnen er alleen cookies worden geplaatst als de bezoeker daarvoor toestemming heeft gegeven. Toestemming voor cookies mag volgens het HvJ dan ook niet worden verkregen door een hokje aan te vinken dat vooraf al is ingesteld .

Het is daarom raadzaam voor bedrijven en website-exploitanten in het algemeen om zich zo snel mogelijk aan te passen aan het oordeel van het HvJ over cookies en passende voorzorgsmaatregelen te nemen voor juridisch veilige cookie-inhoud. Oplossingen voor toestemmingsbeheer, die de gebruiker zowel uitgebreid informeren over het gebruik van cookies als zijn uitdrukkelijke toestemming vragen, maken het website-exploitanten aanzienlijk eenvoudiger.

Oplossingen voor toestemming voor cookies: standaarden en hoe ze werken

Er is een raamwerk ontwikkeld door IAB Europe (Interactive Advertising Bureau) beschikbaar voor toestemming voor het plaatsen en verwerken van cookies: het is het Transparency and Consent Framework (TCF) , dat zichzelf als standaard voor cookietoestemming aan het vestigen is. Het doel van de ontwikkeling van dit raamwerk is een alomvattende standaardisatie in de toestemmingsvraag . In april 2018 is de eerste variant van het raamwerk gepresenteerd. De huidige versie TCF 2.0 volgde in mei 2020. Zeker met het oog op het cookie-arrest van het HvJ is het kader van groot belang, omdat het het verkrijgen van de benodigde toestemming gemakkelijker maakt. Meer specifiek is de claim van de IAB om de informatie over de toestemming van een gebruiker voor het verwerken van cookies precies te begrijpen. Dit heeft invloed op de hele leveringsketen van het gebruik van cookies. In de meeste gevallen zijn meerdere serviceproviders betrokken bij het genereren van meerdere cookies. Deze hebben meestal betrekking op reclamebanners en andere marketingmaatregelen. Alle partijen die bij dit proces betrokken zijn, zijn afhankelijk van informatie over het al dan niet geven van toestemming voor het verwerken van cookies.

Enerzijds wordt in het kader van het cookietoestemmingsbeheer op basis van het IAB-raamwerk bepaald of een gebruiker überhaupt toestemming heeft gegeven voor het gebruik van cookies. In een tweede stap identificeert de Consent Manager welke specifieke toestemmingen de gebruiker heeft gegeven op de toestemmingsbanner. Bezoekers hebben de mogelijkheid om verschillende gebruiks- en verwerkingsdoeleinden voor de cookies in te stemmen of te weigeren. Op basis van de toestemmingsstructuur maakt een cookie consent manager een zogenaamde consent string aan, die op zijn beurt in een cookie wordt aangemaakt. Op basis van deze toestemmingsreeks hebben andere partijen (bijvoorbeeld andere aanbieders van toestemmingsbeheer) ook een manier om de toestemming van een bezoeker te achterhalen.

CMP: oplossingen voor toestemmingsbeheer voor websites en hun voordelen

De voordelen van het gebruik van een goede toestemmingsmanager zijn talrijk voor website-exploitanten. De wettelijk veilige vormgeving van de toestemming voor cookies volgens het HvJ kan zo worden gegarandeerd. Elke goede website streeft naar de best mogelijke gebruikerservaring. Aan de behoeften van bezoekers moet worden voldaan, zodat ze op de site blijven. De belangrijkste aspecten van lange retentie zijn een hoge acceptatiegraad en een laag bouncepercentage. Een goede aanbieder van toestemmingsbeheer draagt bij aan het minimaliseren van het bouncepercentage en daarmee het verhogen van het acceptatiepercentage. Zo draagt het bij aan een goede werking van de website. Klanten kunnen alleen worden gewonnen en blijvend op een website worden behouden als het bouncepercentage op de website laag is.

Met een doordachte oplossing voor toestemmingsbeheer zorg je niet alleen voor naleving van de eisen van de cookie-uitspraak van het Hof van Justitie, maar heb je ook realtime inzicht in de huidige acceptatie- en bouncepercentages. Het gedrag van websitebezoekers, klanten en potentiële klanten kan worden begrepen. Hieruit kunnen conclusies worden getrokken over mogelijk verbeterpotentieel.

Een internationale oriëntatie van de toestemmingsbanner is bij moderne cookietoestemmingsoplossingen een vanzelfsprekendheid. De pop-up verschijnt automatisch in de taal van het AVG-land van waaruit bezoekers uw website bezoeken. De aanbieder van toestemmingsbeheer geeft de informatie weer in in totaal 29 talen. Bovendien biedt een CMP een responsieve aanpassing aan het eindapparaat dat door bezoekers wordt gebruikt. De cookie-toestemmingsoplossing reageert op aspecten zoals schermgrootte en besturingssysteem (bijvoorbeeld iOS of Android) en toont bezoekers een geoptimaliseerde weergave.

Conclusie

Het arrest van het HvJ heeft ongetwijfeld de gegevensbeschermingspraktijk voor website-exploitanten gecompliceerd. Naast technische vragen moeten ontwerpaspecten en vooral de juridische dimensie van transparante gegevensverwerking in aanmerking worden genomen bij het ontwerpen van een wettelijk conforme cookiebanner. Welke website-exploitanten in het bijzonder de indruk wekken van betuttelende richtlijnen en specificaties, dient uiteindelijk de gebruikers als geïnteresseerden en klanten. In die zin zouden onlinedealers, uitgevers of bureaus de uitspraak van het HvJ moeten zien als een stimulans. Websitebezoekers weten steeds meer over de reikwijdte van gegevensoverdracht en eisen maximale duidelijkheid en transparantie in het cookiebeheer. Vanuit dit oogpunt kunnen website-exploitanten alleen profiteren van een slim toestemmingsbeheersysteem in klantcontact – door meer vertrouwen in combinatie met duidelijke bruikbaarheid.

Artikelen over vergelijkbare onderwerpen:


meer opmerkingen

Digital Services Act
Rechts

Is de Wet Digitale Diensten (DSA) ook op uw bedrijf van toepassing? Onlineplatforms hebben aanvullende verplichtingen

De Wet Digitale Diensten stelt aanvullende transparantie-eisen voor onlineplatforms. De definitie van een online platform onder de DSA kan op uw bedrijf van toepassing zijn. Als gevolg hiervan kan het zijn dat u moet voldoen aan de aanvullende transparantievereisten van de DSA. Lees verder om erachter te komen of uw bedrijf in deze categorie valt […]
A picture of a cookies with a red circle in the middle and the caption 1st party cookies and 3rd party cookies
Nieuw

Eliminatie van cookies van derden en aanpassing van uw CMP-instellingen voor het toestemmingsbereik

De aanstaande afschaffing van cookies van derden betekent een grote verandering in het gebruik van toestemmingsbereiken van consentmanager . Vanaf juni zal consentmanager geen cookies van derden meer instellen onder het domein consentmanager .net . Als gevolg van deze wijziging zullen sommige van onze opties voor het toestemmingsbereik, zoals accountspecifieke toestemming en CMP-specifieke toestemming, die […]