AP verbiedt de toepassing van een Cookiewall

De Autoriteit Persoonsgegevens (AP) heeft in een recente publicatie aangegeven dat zogenaamde cookiewalls niet voldoen aan de Algemene Verordening Persoonsgegevens (AVG).

Cookiewall

Wanneer je een cookiewall toepast op een website krijg je pas toegang tot de site wanneer je toestemming verleent voor het gebruik van cookies. Met andere woorden: geen toestemming betekent geen toegang. Op grond van de AVG moeten organisaties een grondslag hebben om persoonsgegevens te verwerken. Als bedrijven, middels hun website mensen willen volgen met tracking cookies moeten zij daarvoor toestemming vragen.

Websitebezoekers moeten erop kunnen vertrouwen dat hun persoonsgegevens goed worden beschermd, volgens de regels uit de privacywet

De AP geeft in haar publicatie aan dat door toepassing van de cookiewall de toestemming niet vrij kan worden gegeven. Websitebezoekers krijgen immers zonder het geven van toestemming geen toegang tot de website. Op grond van de AVG is toestemming niet ‘vrij’ als iemand geen echte of vrije keuze heeft.

Alternatief

In een toelichting geeft de AP aan dat er alternatieven kunnen worden geboden zoals het laten doen van een betaling om zonder cookies toegang te krijgen tot een site.

Weigert iemand tracking cookies? Dan moet u deze persoon toch toegang geven tot uw website of app, bijvoorbeeld na betaling.

ePrivacy verordening

Wat zegt de aankomende ePrivacy verordening eigenlijk van de toepassing van een cookiewall? De ePrivacy verordening (ePV) beschermt privacyrechten op het vlak van elektronische communicatie.  Deze Verordening gaat de ePrivacy Richtlijn vervangen die we kennen als de Telecommunicatiewet (Tw) en bekend staat als de cookiewet. De verordening zet de AVG niet buiten spel, maar vormt als “lex specialis” een aanvulling op de AVG voor wat digitale communicatie en privacy op het Internet. De ePrivacy Verordening (ePV) regelt onder meer het gebruik van cookies. Uit de considerans van de ePV (voorstel versie van 20 september 2018) blijkt dat een cookiewall in sommige situaties is toegestaan. Het is nog even wachten op een definitieve versie van de verordening.

Te algemeen?

Ik ben van mening dat de AP wel wat kort door de bocht gaat in deze publicatie. Ik kan me categorieën van websites voorstellen voor welke dit zeker opgaat. Ik denk hierbij bijvoorbeeld aan overheidswebsites of sites zoals die van de NS. Je kunt gebruikers niet onthouden van de informatie die via deze kanalen wordt gegeven. Daarentegen kan ik me voorstellen dat je als commerciële partij selectief mag zijn in wie je de toegang tot je site verleent. Dit als voortvloeisel uit het beginsel van contractvrijheid.


"Het blog Juridict.nl verschaft inzicht in het domein Recht en ICT. Dit zowel vanuit juridisch- als vanuit ICT perspectief."