Tear down that cookiewall!
Hoeveel websites hebben na 25 mei nog een cookiemuur? De dwingende pop-up die je dwingt om Ja te klikken, voldoet in ieder geval op één punt aan de nieuwe privacy verordening (AVG). Je moet een actieve handeling verrichten om toestemming te geven. Maar deze werkwijze voldoet waarschijnlijk niet aan de andere aangescherpte toestemmingsvereisten uit de verordening, en daarmee ook niet aan het toestemmingsvereiste uit de ePrivacy richtlijn voor het plaatsen en uitlezen van cookies.
Koppelingsverbod
De belangrijkste nieuwe voorwaarde aan toestemming is een koppelingsverbod tussen het (moeten) geven van toestemming, en het aangaan van een overeenkomst. Dat betekent dat een organisatie niet mag eisen dat je toestemming geeft voordat je van de dienst gebruik mag maken of het product kunt kopen. In de offline wereld behoeft dit geen uitleg. Een bakker mag niet eisen dat je jouw e-mailadres geeft en toestemming geeft om je forever leuke aanbiedingen te sturen als je een brood koopt. Maar op het internet is het gebruikelijk om mensen te dwingen toestemming te geven om overal op het internet gevolgd te worden, om hen onbeperkt te bestoken met zogenaamd relevantere advertenties. Die relevantie valt overigens vaak tegen. Je krijgt bijvoorbeeld een advertentie voor een vliegreis naar Rome op jouw favoriete nieuwswebsite, terwijl je die reis twee weken daarvoor al hebt geboekt via een prijsvergelijker. Of een advertentie voor een hondenkapper, terwijl je toch echt een kattenmens bent. Het idee is dat er meer geld verdiend kan worden met gepersonaliseerde advertenties dan met algemene advertenties. Om die advertenties af te kunnen stemmen op de vermeende voorkeuren van alle websitebezoekers en appgebruikers, zou het nodig zijn om hen op een zo groot mogelijk deel van het internet te volgen.
Flitshandel in persoonsgegevens
Geen advertentieplekje mag onbenut blijven. Daarom is er een duizelingwekkende hoeveelheid advertentienetwerken, veilinghuizen, meta inkopers en meta verkopers betrokken bij de flitshandel in geprofileerde persoonsgegevens. Dit heet Real Time Bidding, of Automated Trading. Via een cookiemuur op een website word je gedwongen om volgcookies te accepteren. Er wordt dus een koppeling gemaakt tussen jouw toestemming en de toegang tot de website. Maar wordt dit niet duidelijk verboden door de verordening?
Artikel 7(4) luidt als volgt: Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.
Geen nieuwe verplichtingen onder de AVG?
Websites kunnen zich op een aantal manieren verdedigen dat cookiemuren helemaal niet onder dit verbod vallen. In de eerste plaats door te betogen dat mensen maar ergens anders heen moeten surfen, als ze geen toestemming willen geven voor volgcookies. Het staat de ondernemer vrij om zelf zijn verdienmodel te bepalen, en eventueel toegang te weigeren aan mensen die die toestemming niet willen geven. Dat maakt de verleende toestemming op zich niet onvrij. Deze redenering werd in 2014 in de Tweede Kamer zelfs door de Socialistische Partij omarmd. Kamerlid Gesthuizen zei tegen de minister: “Daar kan ik tot op zekere hoogte nog wel mee leven. Het is immers een verdienmodel. […] De vraag is waar de grens ligt. De minister zegt dat het vooraf niet mogelijk is om een limitatieve opsomming te geven van de omstandigheden waarin de consequentie die aan het niet geven van toestemming wordt verbonden zo zwaar is dat dit de keuzevrijheid ondermijnt.”. Maar artikel 7(4) van de AVG laat nog maar heel weinig ruimte om mensen door te wijzen naar een alternatieve website. Voor elke website apart geldt immers dat de toestemming niet mag worden afgedwongen.
Onder verwijzing naar deze wetsgeschiedenis zouden de websitehouders ook kunnen opwerpen dat de verordening geen nieuwe verplichtingen mag opleggen ten opzichte van de ePrivacy richtlijn. De toestemming uit de ePrivacy richtlijn is volgens deze wetsgeschiedenis een stuk ‘makkelijker’ te krijgen dan de toestemming uit de nieuwe privacyverordening, en er mogen geen ‘nieuwe’ eisen worden gesteld. Maar dat betoog klopt niet. In artikel 95 van de verordening wordt uitgelegd wat de verhouding is tussen de twee rechtsinstrumenten.
Artikel 95 AVG: Deze verordening legt natuurlijke personen of rechtspersonen geen aanvullende verplichtingen op met betrekking tot verwerking in verband met het verstrekken van openbare elektronische-communicatiediensten in openbare communicatienetwerken in de Unie, voor zover zij op grond van Richtlijn 2002/58/EG [de ePrivacy richtlijn] onderworpen zijn aan specifieke verplichtingen met dezelfde doelstelling.
De ePrivacy richtlijn volgt de definitie van toestemming uit de dataprotectierichtlijn, en vanaf 25 mei 2018, de definitie uit de AVG. Uit de bijbehorende overweging 173 van de AVG blijkt dat met verplichtingen uit artikel 95 de hoofdstukken 3 en 4 van de verordening worden bedoeld, met verplichtingen van de verantwoordelijken en de rechten van betrokkenen. Maar het is een voorwaarde dat je een grondslag moet hebben voor elke verwerking, zoals toestemming. Een voorwaarde is niet hetzelfde als een verplichting. Daarom kunnen websitehouders met cookiemuren zich vanaf 25 mei 2018 niet (meer) beroepen op een lichter toestemmingsvereiste.
Volgcookies noodzakelijk voor een overeenkomst?
Er is nog een ander probleem met de cookiemuren. Om onder het koppelverbod uit te komen moet een websitehouder bewijzen dat bezoekers toestemming moeten verlenen omdat het plaatsen en uitlezen van volgcookies noodzakelijk is voor het uitvoeren van de overeenkomst. Maar dat is niet zo geloofwaardig. Het begrip ‘noodzaak’ is juridisch nauw afgebakend. Noodzaak wordt beoordeeld aan de hand van de twee onderdelen proportionaliteit en subsidiariteit. Proportionaliteit wil zeggen dat de impact van de verwerking in verhouding moet staan tot het legitieme doel. Subsidiariteit betekent dat je alternatieve manieren moet gebruiken als die veel minder impact hebben. Het tonen van gepersonaliseerde advertenties vergt een grootschalige verwerking van gegevens van gevoelige aard over het surfgedrag, waarbij mensen automatisch worden ingedeeld in profielen. Die profilering heeft grote risico’s voor betrokkenen. Denk aan het risico van discriminatie; dat mensen bijvoorbeeld worden uitgesloten van advertenties voor bijvoorbeeld huurwoningen of banen op grond van (vermeend) geslacht, geloof of herkomst. Of het risico van politieke beïnvloeding door clickbait; artikelen die geschreven zijn om meer advertenties te kunnen tonen. Of het risico van benadeling omdat mensen sites over bijvoorbeeld darmproblemen niet meer durven te bezoeken, uit angst dat ze gestigmatiseerd worden als stomadrager.
De verwerking lijkt dus niet evenredig aan het doel om een paar millicent extra te verdienen met gepersonaliseerde advertenties. En er bestaan wel degelijk technologische alternatieven voor websitehouders om geld te verdienen met online advertenties zonder mensen overal op internet te volgen. Zie bijvoorbeeld deze brief van het Amerikaanse Pagefair advertentienetwerk aan de vertegenwoordigers van de lidstaten in de EU.
Hoe krijg je wel geldige toestemming?
Zelfs als het koppelingsverbod toch niet van toepassing zou zijn, en mensen in staat zouden zijn om via een cookiemuur ‘vrije’ toestemming te geven, dan voldoet de toestemming in veel gevallen toch nog niet aan de verordening. Het proces van Real Time Bidding leidt ertoe dat geen enkele website nog overzicht heeft welke partijen de persoonsgegevens gebruiken, en voor wat voor eigen doelen. Zelfs als een websitehouder een lange lijst opneemt van bijvoorbeeld 100 advertentienetwerken die mogelijk betrokken kunnen zijn, dan nog weet niemand aan welke onderliggende netwerken de gegevens worden doorverhandeld. Bezoekers kunnen dus geen specifieke, geïnformeerde toestemming geven voor Real Time Bidding. Gelukkig zijn er ook concrete oplossingen voor websitehouders. Ze kunnen in de cookiemuur een duidelijke deur bouwen met een ‘Nee’ knop tegen de volgcookies. Bij een ‘Nee’ mogen ze ook echt geen volgcookies plaatsen. Ze kunnen er ook voor kiezen om alleen contextuele advertenties te plaatsen of te werken met een gesloten systeem van een beperkt aantal adverteerders die de gegevens niet doorverhandelen.