De eindbaas van alle Europese toezichthouders, de European Data Protection Board (EDPB) heeft de richtlijnen voor het gebruik van cookies aangescherpt. Vorige week werden deze aangescherpte regels voor cookies in een zogenaamde Guideline openbaar gemaakt ().
Verbod op cookiewalls
Het belangrijkste statement uit de nieuwe regels is dat ook de Europese toezichthouder aan geeft dat een zogenaamde cookiemuur niet toegestaan is. Een cookiemuur is een blokkade voor de toegang tot de content op een website. De content is alleen te lezen als de websitebezoeker toestemming geeft voor het plaatsen van cookies. “Om op een vrije manier instemming te geven, mag de toegang tot diensten en functionaliteiten geen voorwaarde zijn voor gebruikers om informatie op te slaan, dan wel toegang te verkrijgen tot informatie die reeds is opgeslagen”, aldus de EDPB.
De ePrivacy verordening waar het gebruik van cookies geregeld wordt, kent een dergelijk verbod niet. Een dergelijk verbod kon niet op voldoende steun van de lidstaten regelen. Nu wordt het verbod dus geregeld via de General Data Protection Regulation (GDPR)/ de Algemene Verordening Gegevensbescherming (AVG). De GDPR stelt dat toestemming voor de verwerking van persoonsgegevens in vrijheid moet worden gegeven. Als een website alleen gebruikt kan worden na toestemming voor het plaatsen van cookies, wordt niet voldaan aan het vereiste in vrijheid gegeven toestemming.
De Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (AP) gaf vorig jaar al aan dat een cookiemuur niet voldoet aan het vereiste van toestemming die in alle vrijheid gegeven is. De aangescherpte regels voor cookies stroken dus met de opinie van de AP.
Doelbinding
Ook voor de toestemming voor het plaatsen van cookies waarmee persoonsgegevens worden verwerkt geldt de doelbinding uit de GDPR. Dat wil zeggen dat de persoonsgegevens alleen verwerkt mogen worden voor het doel waarvoor de toestemming is gevraagd. Of omgekeerd: voor alles wat je met de persoonsgegevens doet moet je apart toestemming vragen. Een voorbeeld. Het gebruik van de persoonsgegevens voor het maken van een gepersonaliseerd advertentieprofiel of voor het maken van een gepersonaliseerd contentprofiel zijn twee aparte doelen. Voor beiden zal dus separaat toestemming moeten worden gevraagd.
Niet voor elk cookie is toestemming nodig.
Overigens is niet voor alle cookies toestemming nodig. Voor functionele cookies is geen toestemming nodig en in sommige gevallen is dat voor analytische cookies ook niet nodig mits Google Analytics goed is ingesteld.
In de gratis whitepaper “Cookies, wat mag en wat moet? Lees je meer hierover, daarnaast behandel ik naast de verschillende soorten cookies, ook de overige tracking software en komt natuurlijk de Facebook duim aan bod.
Geen risico lopen met cookies?
Download dan het gratis whitepaper “Cookies, wat kan en wat mag?”.
Efficienter werken met de AVG?
In mijn boek Lean privacy, efficiënt werken met de AVG beschrijf ik hoe organisaties efficiënt(er) kunnen voldoen aan de AVG en tegelijkertijd klantvertrouwen en – waarde kunnen creëren met persoonsgegevens en privacy.