Menu

Filter op
content
PONT Data&Privacy

0

Is het verbod van cookiemuren door de Autoriteit Persoonsgegevens terecht?

Websites die bezoekers alleen toegang geven als deze akkoord gaan met het plaatsen van tracking cookies voldoen niet aan de Algemene verordening gegevensbescherming (AVG), vindt de Autoriteit Persoonsgegevens. Veel websites maken gebruik van een zogeheten cookiemuur: in een pop-up wordt om toestemming gevraagd voor het plaatsen en lezen van cookies, maar als er geen toestemming wordt gegeven kan de bezoeker de site niet bezoeken.

19 maart 2019

Deze normuitleg heeft niet alleen een grote impact op de verdienmodellen van veel websites; de restrictieve uitleg van het criterium ‘vrije wilsuiting’ door de Autoriteit Persoonsgegevens wijkt af van het standpunt dat de wetgever voor ogen had bij de totstandkoming van de cookieregels.

Cookiemuur staat vrije wilsuiting niet in de weg

De definitie van “toestemming” in de AVG schrijft voor dat sprake moet zijn van een vrije wilsuiting. De internetgebruiker moet met andere woorden keuzevrijheid hebben. De Autoriteit Persoonsgegevens stelt zich op het standpunt dat bij cookiemuren op websites de toestemming niet vrij is gegeven omdat websitebezoekers zonder het geven van toestemming geen toegang tot de website krijgen. De websitebezoeker heeft dan kennelijk geen vrije keuze, aldus de Autoriteit Persoonsgegevens.

Deze discussie over cookiemuren en (vrije) toestemming is niet nieuw. Bij de wijziging van de cookieregels in 2014 is dit onderwerp uitvoerig besproken. De wetgever heeft destijds het standpunt ingenomen dat een algemeen verbod op cookiemuren voor commerciële websites onwenselijk en dat cookiemuren niet indruisen tegen het vereiste dat toestemming vrij moet zijn:

Het niet, of alleen tegen betaling, kunnen gebruiken van de website die de bezoeker opvraagt is op zichzelf nog niet voldoende om aan te nemen dat de bezoeker geen vrije keuze kan maken om al dan niet met het gebruik van cookies in te stemmen. Een cookiemuur is over het algemeen dan ook een rechtmatige manier om aan het toestemmingsvereiste in de cookiebepaling te voldoen.”

Natuurlijk zijn er ook situaties waarin de keuzevrijheid van de websitebezoeker wordt ondermijnd:

Daar is in ieder geval sprake van als de bezoeker zo afhankelijk is van de via een bepaalde website aangeboden diensten en informatie, dat er door het gebruik van de cookiemuur geen sprake meer kan zijn van een vrije wilsuiting, bijvoorbeeld als aan het niet-toestemming geven, de consequentie wordt verbonden dat de internetgebruiker een wettelijk recht (bijvoorbeeld nummerbehoud bij het overstappen naar een andere telefonie-aanbieder) niet kan uitoefenen, een wettelijke plicht (bijvoorbeeld belastingaangifte) niet kan naleven, of minder goede medische zorg krijgt.”

Maar of hiervan sprake is, moet aan de hand van de omstandigheden van het concrete geval worden beoordeeld. Het zal dan meestal gaan om websites van een monopoliehouder of van de overheid, waarop een dienst of informatie wordt verstrekt die de internetgebruiker nergens anders kan krijgen. Een algeheel verbod op cookiemuren op voorhand, zonder beoordeling van de concrete omstandigheden, zoals de Autoriteit Persoonsgegevens doet, gaat daarom te ver. Een cookiemuur biedt in de meeste gevallen wel degelijk een mate van keuzevrijheid die resulteert in vrij gegeven toestemming. De websitebezoeker behoudt immers de volledige controle over de situatie. Websites plaatsen doorgaans alleen de cookies nadat de bezoeker de bewuste en geïnformeerde toestemming heeft gegeven om cookies te plaatsen. Daarnaast kan de websitebezoeker de toestemming weigeren door de website te verlaten en voor een van de vele alternatieven te kiezen. Deze mening is overigens ook de Oostenrijkse privacy toezichthouder toegedaan.

Impact op verdienmodellen en ondernemersvrijheid

De meeste websites zijn toegankelijk zonder dat daarvoor moet worden betaald. Dit is in veel gevallen slechts mogelijk omdat de website gefinancierd wordt uit advertentie-inkomsten. In 2015 heeft de regering zich op het standpunt gesteld dat als een websitebezoeker niet bereid is de “prijs” van de website, het toestaan van tracking cookies, te betalen, het de aanbieder van de website in beginsel vrij moet staan om de verdere toegang te weigeren. De regering heeft nadrukkelijk geen afbreuk willen doen aan de ondernemersvrijheid met betrekking tot de mogelijkheden van de aanbieder van een website om een tegenprestatie te verlangen voor het gebruik van zijn website.

De economische waarde van de Europese online advertentiemarkt wordt geschat op 23,5 miljard euro in 2020. Daarvan komt ruim 21,4 miljard voort uit gepersonaliseerde advertenties. Indien veel minder advertenties kunnen worden getoond, zouden bedrijven zo'n 35 procent aan advertentie-inkomsten mislopen, zo blijkt uit een Duits onderzoek. Dit geldt vooral voor mediabedrijven die hun content gratis aanbieden en hun omzet voornamelijk uit gerichte advertenties halen. De verwachting is dan ook dat de impact op het Nederlandse medialandschap groot zal zijn.

De regering is het niet eens met de toezichthouder

In reactie op het standpunt van de wetgever heeft de Autoriteit Persoonsgegevens (toen nog het College Bescherming Persoonsgegevens) destijds, zoals nu weer, laten weten dat het gebruik van een cookiemuur niet in overeenstemming is met de privacywetgeving. Maar de wetgever liet toen al uitdrukkelijk weten het daar niet mee eens te zijn:

In het kader van het toestemmingsvereiste gaat het CBP in op het afhankelijk stellen van toegang tot de website van het geven van toestemming voor het plaatsen/lezen van cookie (de cookiemuur). Het CBP wijst daarbij op de laatste volzin van overweging 25 van de e-Privacyrichtlijn: «Aan toegang tot specifieke inhoud van een website kan nog altijd de voorwaarde worden verbonden dat een cookie of soortgelijke voorziening, indien gebruikt voor een legitiem doel, bewust wordt aanvaard.» Hieruit lijkt het CBP, a contrario, uit af te leiden dat het afhankelijk maken van de toegang tot de gehele website van het geven van toestemming voor het gebruik van cookies, niet is toegestaan. De regering deelt deze lezing echter niet.”

Cookiewet staat cookiemuur toe

De Nederlandse cookiewet, die gebaseerd is op de Europese ePrivacy-richtlijn, bevat wel een verbod op cookiemuren, maar deze is alleen van toepassing op websites van de overheid. Omdat deze websites met overheidsgeld zijn gefinancierd en dus reeds zijn betaald, kan de websitebezoeker niet worden gedwongen om nogmaals met zijn privacy voor toegang tot deze websites te betalen. Een dergelijk verbod voor commerciële websites volgt niet uit de wet.

Ook de opvolger van de ePrivacy-richtlijn, de ePrivacy-verordening, die nu bij de Europese Raad wordt besproken, zal naar alle verwachting geen algemeen verbod bevatten op het gebruik van cookiemuren.

En nu?

De normuitleg van de Autoriteit Persoonsgegevens leidt ertoe dat een verdienmodel op basis van advertenties nauwelijks meer mogelijk is. Voor nieuwswebsites die hun content vooral gratis aanbieden, en dus advertentie-inkomsten moeten genereren om de investeringen in journalistiek terug te kunnen verdienen, zal dit waarschijnlijk betekenen dat het aanbod achter betaalmuren verdwijnt. Gratis mediadiensten zullen dan uit het online landschap verdwijnen.

Het is dan ook zeer de vraag of het standpunt van de Autoriteit Persoonsgegevens, gelet op de wetsgeschiedenis en de nieuwe ePrivacy-verordening, die waarschijnlijk dit jaar in werking zal treden, stand zal houden.

Dit artikel is ook te vinden in de dossiers AVG en e-Privacy

Meer artikelen van SOLV Advocaten

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.