Cookiebanners die je informeren dat ze je toestemming willen om cookies op je toestel te installeren: je ziet ze overal, maar zijn ze ook voldoende? Het Europees Hof van Justitie bevestigde met haar arrest van 1 oktober dat de gebruiker toch actiever zijn of haar instemming zal moeten uiten.

Twee soorten cookies

In de ogen van de Europese wetgever zijn cookies in te delen in twee categorieën. Enerzijds zijn er de cookies waarvoor effectief toestemming  moet worden gegeven. Anderzijds is er een uitzondering voorzien voor cookies die strikt noodzakelijk zijn.

We beginnen bij het vreemde eendje in de vijver: de strikt noodzakelijke of essentiële cookies.
Wanneer een website cookies op het toestel van de gebruiker plaatst of raadpleegt, moet men geen toestemming vragen? Voorwaarde is wel dat ze strikt noodzakelijk moeten zijn om de website effectief te kunnen gebruiken. Het gaat hierbij dus enkel om die specifieke cookies zonder dewelke de website niet naar behoren zou functioneren. Denk hierbij aan de cookies die de cookievoorkeur bijhouden of die het winkelwagentje onthouden, enz.

Alle andere cookies mogen pas geplaatst of geraadpleegd worden nadat eerst toestemming werd gevraagd (en gekregen!) van de gebruiker. De e-privacy-richtlijn verbindt aan deze toestemming een aantal voorwaarden. Zo moet het gaan om een vrije, specifieke en ondubbelzinnige wilsuiting. De toestemming moet ook voorafgegaan worden door duidelijk en volledige informatie. Het Europees Hof van Justitie gaf in haar voornoemd arrest verduidelijking bij deze voorwaarden. Oppassen dus wanneer jouw website analytische, functionele en/of advertentie cookies gebruikt.

Toestemming: de gebruiker klikt zelf

Het Hof vertelt ons in haar arrest wanneer er nu sprake is van een wilsuiting van de gebruiker. Vindt deze wilsuiting niet op de juiste wijze plaats, dan is er geen sprake van toestemming.

Volgens het Hof moet het begrip ‘wilsuiting’ letterlijk geïnterpreteerd worden. Meer nog, het moet gaan om een ondubbelzinnige wilsuiting. Dit wil zeggen dat de gebruiker een echte, actieve, handeling moet stellen waaruit zijn toestemming blijkt. Het is dus niet voldoende dat de gebruiker louter passief blijft.

De toestemming van de gebruiker mag niet verondersteld worden, maar moet effectief blijken uit een actieve gedraging van deze gebruiker.

Concreet houdt dit in dat het gebruik van standaard aangevinkte vakjes niet voldoende is. Het gebruik van dergelijke vakjes houdt namelijk in dat de gebruiker een actieve handeling moet stellen om zijn toestemming te weigeren. Blijft de gebruiker passief en doet hij/zij niks, dan gaat men er van uit dat toestemming werd gegeven. Zoals hierboven blijkt is dit volgens het Hof niet in lijn met de Europese Privacywetgeving. Het is zelfs net het omgekeerde.

Het mag duidelijk zijn dat websites met een cookiebanner die de gebruiker enkel informeert over de gebruikte cookies, met een verwijzing naar het cookiebeleid,  zeker niet volstaat. De gebruiker krijgt dan namelijk helemaal geen kans om zijn rechtsgeldige toestemming, al dan niet, te verlenen.

Informatie is ook voor cookies belangrijk

Vooraleer een gebruiker toestemming kan verlenen, moet de website voorzien in duidelijke en volledige informatie. Deze informatie moet ervoor zorgen dat de gebruiker begrijpt waarvoor hij toestemming geeft en ook de gevolgen daarvan kan bepalen. Om te begrijpen wat cookies juist zijn en wat de gevolgen zullen zijn moet de informatie dan ook voldoende gedetailleerd zijn.

Louter informeren over de identiteit van de verwerkingsverantwoordelijke (vaak de website-eigenaar) en de gebruikte cookies is niet voldoende. Men moet ook informeren over:
(1) de doeleinden waarvoor de cookies geplaatst worden; en
(2) de “levensduur” van de geïnstalleerde cookies: men kan namelijk veel informatie verzamelen indien de cookies voor lange perioden op het toestel van de gebruiker staan.
Het cookiebeleid moet eveneens melding maken van de mogelijke andere ontvangers van de gegevens verzameld door de cookies. Dit om tegenover de gebruiker een eerlijke verwerking van deze gegevens te waarborgen.

Ik verzamel toch helemaal geen persoonsgegevens?

Plaatst of raadpleegt een website cookies, dan verwerkt zij hierbij vaak persoonsgegevens. De informatie die de website verzamelt, koppelt zij dan ook vaak aan de gebruiker.

Maar, wat als de website dit niet doet en zij geen persoonsgegevens verwerkt? Verandert dit iets aan haar verplichtingen?

Het Hof neemt hier een duidelijk standpunt in en stelt dat dit geen verschil uitmaakt. De wetgeving heeft namelijk tot doel het privéleven van de gebruikers te beschermen. Het maakt geen verschil uit dat het niet om persoonsgegevens gaat. Het louter opslaan of ophalen van informatie uit het apparaat van de gebruiker zorgt ervoor dat met moet voldoen aan de hierboven beschreven voorwaarden.

Besluit

Het Hof maakt met haar arrest duidelijk dat er nog heel wat werk voor de boeg is. Website-eigenaars doen er goed aan om na te gaan of zij wel op een correcte wijze toestemming vragen aan hun gebruikers voor het plaatsen van cookies. Veel websites maken namelijk nog gebruik van een simpele cookiebanner zonder keuzemogelijkheid of van reeds aangevinkte keuzevakjes of sliders. Kijk ook zeker goed na of de cookiebanner duidelijke informatie geeft over de duurtijd van de cookies en de andere ontvangers van de cookie gegevens.

In de tussentijd werkt de Europese wetgever aan een nieuwe E-privacy-verordening. Deze zou de regels rond het gebruik van cookies in de toekomst nog strikter kunnen maken.

aternio adviseert u graag bij de implementatie van al deze regels en voorwaarden, of bij de opmaak van een uitgebalanceerd cookiebeleid.