Op 18 januari heeft het Europees Comité voor gegevensbescherming een rapport gepubliceerd met de bevindingen van zijn taskforce voor cookiebanners. Het rapport verduidelijkt hoe geldig toestemming kan worden verzameld via een GDPR-conforme cookiebanner. Het komt grotendeels neer op één simpele regel: misleid de gebruiker niet.
Het document is niet juridisch bindend, maar zal zeker van invloed zijn op de handhaving van de cookieregels. In feite zou het wel eens het begin kunnen zijn van een harde aanpak van misleidende cookiebanners in heel Europa.
- Wat zijn de EDPB en de cookie banner task force?
- Over welke cookies hebben we het?
- Wat zegt het rapport?
- Zullen we een hardhandig optreden tegen cookiebanners zien?
- Conclusies
Laten we erin duiken!
Wat zijn de EDPB en de cookie banner task force?
Laten we beginnen met wat context. Het Europees Comité voor gegevensbescherming (EDPB) is een onafhankelijk orgaan van de Europese Unie dat zorgt voor een consequente handhaving van de EU-gegevensbeschermingswetgeving in alle lidstaten. Het bestaat uit vertegenwoordigers van alle gegevensbeschermingsautoriteiten in de Europese Economische Ruimte en de Europese Toezichthouder voor gegevensbescherming (in wezen een gegevensbeschermingsautoriteit die toezicht houdt op de EU-instellingen).
De raad publiceert regelmatig richtsnoeren, die niet juridisch bindend zijn maar in de praktijk grote invloed hebben. Het orgaan heeft ook andere bevoegdheden op basis van de GDPR, zoals het beslechten van meningsverschillen tussen gegevensbeschermingsautoriteiten (zoals in de recente besluiten over Meta, die we op onze blog hebben behandeld).
De EDPB heeft in 2021 de taskforce cookiebanners opgericht om te zorgen voor een coherente aanpak van een reeks klachten die waren ingediend door de privacy-ngo noyb, in een poging de autoriteiten aan te zetten tot een striktere handhaving van de GDPR en de e-privacyrichtlijn. De strategie lijkt vruchten af te werpen en noyb lijkt heel tevreden met het resultaat.
Het verslag van de taskforce is niet bindend en mag niet worden beschouwd als "de wet". Dat gezegd zijnde, de EDPB is samengesteld uit vertegenwoordigers van de gegevensbeschermingsautoriteiten, en de gegevensbeschermingsautoriteiten zelf beslissen over klachten over cookies, dus het document is een goede indicatie van hoe zaken voortaan kunnen worden behandeld.
Over welke cookies hebben we het?
Voor alle duidelijkheid: cookiebanners gaan over niet-essentiële cookies. Dit is een belangrijk onderscheid omdat de ePrivacy-richtlijn van de EU toestemming voor cookies verplicht stelt, tenzij ze noodzakelijk zijn voor communicatie of om een door de gebruiker gevraagde dienst te leveren (zogenaamde "essentiële" cookies).
Onlinedetailhandelaren gebruiken bijvoorbeeld cookies om de artikelen in het winkelwagentje van een gebruiker te volgen. Deze cookies gelden als essentiële cookies en behoeven geen toestemming. Ook voor cookies voor beveiligingsdoeleinden is geen toestemming nodig. Voor niet-essentiële cookies daarentegen, zoals webanalysecookies en marketingcookies, is altijd toestemming nodig. Daarom ziet u zoveel cookiebanners op internet.
Websites hebben uw toestemming nodig voor niet-essentiële cookies. Tegelijkertijd zijn ze (terecht) bang dat u niet toestemt in het volgen van uw gegevens wanneer u een transparante keuze wordt voorgelegd. Daarom zijn veel cookiebanners slim ontworpen om het weigeren van cookies zo verwarrend en vervelend mogelijk te maken. Dit is een voorbeeld van bedrieglijk ontwerp: duistere UI-ontwerpkeuzes die bedoeld zijn om de gebruiker ertoe aan te zetten een gewenste actie te ondernemen. We hebben dit onderwerp een tijdje geleden al behandeld op onze blog.
Het rapport van de taskforce leest als een mooie samenvatting van de meest voorkomende gevallen van misleidend ontwerp in cookiebanners en belichaamt een heel duidelijk standpunt: niet doen.
Wat zegt het rapport?
Ten eerste is de overgrote meerderheid van de gegevensbeschermingsautoriteiten het erover eens dat cookiebanners de gebruiker op de eerste laag een "reject all"-optie moeten bieden (of een begrijpelijke, duidelijk geformuleerde optie met hetzelfde effect).
Dit is belangrijk. Veel banners bieden niet direct een afwijzingsoptie, maar presenteren de gebruiker in de eerste laag keuzes zoals alles accepteren versus aanpassen. Om cookies te weigeren, moet de gebruiker op de aanpassingsoptie klikken en naar een tweede laag van de banner gaan met meer gedetailleerde informatie, waar uiteindelijk de optie wordt geboden om niet-essentiële cookies te weigeren. Cookiebanners zonder een onmiddellijk toegankelijke afwijzingsoptie zijn verwarrend en gebruiken op oneerlijke wijze klikmoeheid tegen de gebruiker. We kunnen niet wachten tot ze verdwijnen.
Voor alle duidelijkheid: de gebruiker meer verfijnde controle bieden over cookies is prima, zolang je in de eerste laag maar een afwijzingsoptie aanbiedt. Dus een eerste laag met een keuze in drie richtingen zoals alles aanvaarden/afwijzen/aanpassen is prima, mits alle drie de opties even zichtbaar en toegankelijk zijn.
Het rapport veroordeelt ook andere gangbare praktijken, waaronder:
- het gebruik van vooraf aangevinkte vakjes om geldige toestemming te verzamelen. Er bestaat al jurisprudentie over het gebruik van vooraf aangevinkte vakjes1, maar sommige websites gebruiken ze toch.
- hetverbergen van de afwijzingsknop met kleine lettertypes, kleuren met een laag contrast en dergelijke.
Kortom: elke slimme truc om de gebruiker cookies te laten accepteren, is waarschijnlijk illegaal.
Zullen we een hardhandig optreden tegen cookiebanners zien?
We kunnen de toekomst niet voorspellen, maar we hopen het wel, en we hebben goede redenen om dat te denken.
Zoals we hebben uitgelegd, beschrijft het verslag een gemeenschappelijke basis die door de gegevensbeschermingsautoriteiten zelf is gevonden. Het document is misschien niet bindend, maar de gegevensbeschermingsautoriteiten zullen zich er waarschijnlijk aan houden bij de handhaving van de regels.
Bovendien zijn er bemoedigende ontwikkelingen in Frankrijk. Rond dezelfde tijd dat het rapport werd gepubliceerd, heeft de Franse DPA (CNIL) TikTok en Microsoft beboet voor het schenden van de ePrivacy-richtlijn (we schreven hier over de zaken). In beide gevallen ging het om het ontbreken van een afwijzingsknop in de eerste laag van cookiebanners - toevallig een van de punten die door de EDPB-taakgroep worden aangepakt. De CNIL is een invloedrijke gegevensbeschermingsautoriteit en haar beslissingen kunnen een belangrijk voorbeeld zijn voor anderen.
Last but not least zullen een paar terughoudende gegevensbeschermingsautoriteiten de handhaving niet kunnen tegenhouden. In tegenstelling tot de GDPR laat de ePrivacy-richtlijn geen ruimte voor forum shopping, omdat de bevoegdheidsregels radicaal anders zijn. De gegevensbeschermingsautoriteiten mogen bedrijven beboeten voor elke e-privacyschending die binnen het rechtsgebied van hun staat wordt begaan, ongeacht waar een bedrijf is gevestigd. Lidstaten met een gebrek aan handhaving zijn dus geen veilige haven voor niet-conforme bedrijven die op de Europese markt actief zijn.
Conclusies
Conclusie: als u webanalyse- of marketingcookies op uw website gebruikt, moet u zich houden aan de aanwijzingen in het verslag en een transparante en conforme cookiebanner aanbieden. Dit betekent dat uw cookies gemakkelijk te verwerpen zijn en zal er waarschijnlijk toe leiden dat veel gebruikers ze verwerpen. Daar is geen ontkomen aan.
Tenzij u cookies natuurlijk helemaal schrapt en alle informatie krijgt die u nodig hebt, zonder de privacy van uw gebruikers aan te tasten. Dat is onze visie: wij van Simple Analytics streven ernaar onze klanten inzichten te verschaffen zonder gebruikers te volgen of persoonlijke gegevens te verzamelen. Als dit u goed in de oren klinkt, probeer ons dan gerust eens uit!
#1 HvJEU C-673/17 Planet49.