In een recente zaak oordeelde het Hof van Justitie van de EU dat "gegevens" die "gevoelige gegevens" kunnen onthullen als "gevoelige gegevens" moeten worden beschouwd.
Op dit punt zijn cookiegegevens altijd behandeld als persoonsgegevens onder de GDPR en niet als gevoelige gegevens. Maar wat als cookies in het licht van deze uitspraak daadwerkelijk als gevoelige gegevens zouden worden beschouwd? Wat zouden de gevolgen zijn?
In dit artikel schetsen we waarom dit scenario niet vergezocht is en waarom het grote gevolgen zou hebben voor het gebruik van cookies.
- Waar gaat de zaak over?
- Wat betekent de uitspraak?
- De praktische gevolgen
- Wat betekent dit voor cookies?
- Slotopmerkingen
- Waar gaat de zaak over?
- Wat betekent de uitspraak?
- De praktische gevolgen
- Wat betekent dit voor cookies?
- Slotopmerkingen
Laten we erin duiken.
Waar gaat de zaak over?
De zaak in kwestie is aangespannen door de directeur van een Litouwse instelling die overheidsfinanciering ontving. Volgens de Litouwse wet inzake belangenconflicten moest hij bepaalde persoonlijke informatie - waaronder de naam van zijn echtgenote - aan een ethische commissie verstrekken voor publicatie.
De directeur weigerde de informatie te verstrekken. Hij stelde dat de bekendmaking van de naam van zijn partner op een voor het publiek toegankelijke website indirect zijn seksuele geaardheid zou onthullen, wat volgens de GDPR gevoelige gegevens zijn.
Hij legde zijn zaak voor aan een administratieve rechtbank en belandde later voor een prejudiciële beslissing bij het Hof van Justitie van de EU. Het Hof oordeelde uiteindelijk dat gegevens waaruit gevoelige gegevens kunnen worden afgeleid, zelf als gevoelige gegevens onder de GDPR moeten worden behandeld. 1
Wat betekent de uitspraak?
De GDPR beschermt persoonsgegevens in het algemeen, maar bevat strengere regels voor bijzonder gevoelige categorieën gegevens, zoals gezondheidsgegevens, politieke opvattingen, religieuze overtuigingen en seksuele geaardheid. 2 Zoals het Hof uitdrukkelijk opmerkt, is de naam van een persoon op zich geen gevoelig gegeven. Dergelijke gegevens kunnen echter de seksuele geaardheid van de persoon onthullen, wat wel degelijk gevoelige gegevens zijn. Daarom oordeelde het Hof dat de naam van iemands partner als gevoelig gegeven kan worden aangemerkt.
Deze uitspraak opent een groot blik wormen. Heel veel persoonsgegevens zijn op zich niet gevoelig, maar kunnen gevoelige informatie onthullen.
De praktische gevolgen
De online reclame-industrie verzamelt momenteel enorme hoeveelheden gegevens om internetgebruikers te profileren voor gepersonaliseerde advertenties, waarvan sommige gericht zijn op gebruikers op basis van seksuele geaardheid, gezondheidstoestand en politieke overtuiging (of door betrouwbare proxies van dergelijke gevoelige eigenschappen).
Het is moeilijk te geloven dat geen van de gegevens die voor dit soort reclame worden verwerkt gevoelige informatie kan onthullen. Dit geldt vooral voor grote, datagedreven techbedrijven als Google of Facebook. Wanneer grote hoeveelheden persoonsgegevens worden gecombineerd en ingevoerd in hun geavanceerde, AI-gestuurde algoritmen, kan zelfs schijnbaar "neutrale" informatie gevoelige gegevens over een gebruiker onthullen.
De gevolgen van deze uitspraak blijven wellicht niet beperkt tot grote techbedrijven. Stel dat een website cookies van derden verwerkt. De surfgewoonten van een gebruiker zijn op zich geen gevoelige gegevens, maar er zijn gemakkelijk voorbeelden te bedenken waaruit gevoelige conclusies kunnen worden getrokken. Wat als de gebruiker informatieve websites bezoekt over specifieke gezondheidstoestanden, online gemeenschappen met betrekking tot geestelijke gezondheid, of websites die pornografie hosten? En hoe zit het met de first-party cookies die door deze zeer "gevoelige websites" worden verwerkt?
Op dit moment is het moeilijk in te schatten hoe ruim de uitspraak zal worden toegepast in toekomstige jurisprudentie. Maar in het licht van de redenering van het Hof is het moeilijk te beargumenteren dat in geen van de bovenstaande scenario's gevoelige gegevens worden verwerkt.
Dit geldt ook voor de verstrekking van de gegevens aan derden: als een website gevoelige cookiegegevens verwerkt via Google Analytics, zouden de website en Google respectievelijk de beheerder en de verwerker van gevoelige gegevens zijn.
Wat betekent dit voor cookies?
Meer gegevens kunnen als gevoelig worden beschouwd en zullen onder de GDPR aan strengere regels worden onderworpen. Het is zelfs mogelijk dat sommige gegevensverwerkingen niet meer rechtmatig zijn onder de strengere regelgeving voor gevoelige gegevens.
Als cookiegegevens - of ten minste sommige - als gevoelige gegevens zouden worden beschouwd, zouden zij de uitdrukkelijke toestemming van de gebruiker vereisen 3 - dat wil zeggen een "versterkte" vorm van "basistoestemming" onder de GDPR. Er zijn andere manieren om hieraan te voldoen, maar vanuit praktisch oogpunt zal het verkrijgen van uitdrukkelijke toestemming van de gebruiker in de meeste scenario's de enige optie zijn.
Dit lijkt misschien geen groot probleem, aangezien toestemming van de gebruiker al verplicht is voor cookies onder de ePrivacy-richtlijn. 4 Toestemming voor cookies wordt echter verzameld op manieren die op zijn zachtst gezegd niet ideaal zijn. "Cookiemoeheid" is een bekend fenomeen waardoor de meeste gebruikers het cookiebeleid accepteren zonder erop te klikken, laat staan het te lezen. Bovendien gebruiken veel cookiebanners misleidende ontwerpen om het voor de gebruiker zo vervelend mogelijk te maken toestemming te weigeren. Gezien de algemene eis van de GDPR dat toestemming vrij en geïnformeerd moet zijn 5, zijn deze praktijken op zijn zachtst gezegd problematisch.
Als cookies - of ten minste cookies voor bepaalde websites - in de toekomst uitdrukkelijke toestemming vereisen, kunnen de toezichthoudende autoriteiten een strenger standpunt innemen ten aanzien van cookies in het algemeen en de vereisten voor "basis"-toestemming serieuzer gaan nemen. Zelfs als de autoriteiten niet zo ver gaan om uitdrukkelijke toestemming te eisen, kunnen het recente arrest en de discussie die het heeft losgemaakt, de vele tekortkomingen van de implementatie van cookies aan het licht brengen.
Slotopmerkingen
Op dit moment kan niemand de toekomstige gevolgen van de uitspraak precies inschatten, omdat er nog geen richtsnoeren of andere jurisprudentie is. We hebben geen kristallen bol, maar we hebben goede redenen om aan te nemen dat deze uitspraak grote golven door het juridische landschap zal sturen.
Als de uitspraak al dan niet algemeen wordt aangenomen, is het volgens ons niet alleen een kwestie van binnen de wet blijven. Het gaat verder dan dat. Wij vinden dat elke website-eigenaar de privacy van zijn bezoekers moet respecteren.
Wij geloven in het creëren van een onafhankelijk web dat vriendelijk is voor websitebezoekers. Daarom hebben we Simple Analytics gebouwd, een privacy-eerst Google Analytics alternatief dat cookieloos is ontworpen en geen persoonlijke gegevens verzamelt terwijl het de inzichten verschaft die u nodig heeft. Als dit resoneert met u, voel je vrij om ons te proberen.
#1 Het Hof verwees in deze zaak eigenlijk naar zowel de GDPR als de oudere gegevensbeschermingsrichtlijn, maar stelde dat er geen significant verschil is tussen de relevante artikelen van de GDPR en de richtlijn. Het is volkomen veilig om deze zaak te behandelen als een GDPR-zaak, zoals we doen in onze post [^2]: Art. 9 GDPR [^3]: Art. 9(2)(a) GDPR. [^4]: Artikel 5, lid 3, van Richtlijn 2002/58, zoals gewijzigd bij Richtlijn 2009/136. [^5]: Artikel 4, lid 11, GDPR.