Je toestemming of je leven!

Je toestemming of je leven!

Wanneer toestemming niet meer vrij is

Als je erbij stilstaat hoeveel websites je dagelijks bezoekt, dan is de kans vrij groot dat je (letterlijk en figuurlijk) tegen een cookiewall aanloopt. Voor de duidelijkheid: met een cookiewall bedoel ik dan een beeldvullend scherm dat de toegang tot de website blokkeert en waarin je vriendelijk – doch dringend – wordt verzocht om eerst alle cookies, inclusief de tracking cookies, te accepteren voordat je de website kunt bezoeken. Er is veel discussie over de toelaatbaarheid van deze cookiewalls. De Autoriteit Persoonsgegevens (AP) heeft een document gepubliceerd waarin ze aangeeft dat dit soort cookiewalls niet is toegestaan. De reden hiervoor is dat toestemming niet ‘vrij’ wordt gegeven. Veel bedrijven, maar ook advocaten en juristen, zijn het hiermee niet eens. Veel websites zijn volgens hen afhankelijk van advertentie-inkomsten. Ze zijn van mening dat ze zelf moeten kunnen bepalen of zij iemand op hun website toelaten of niet. Wie heeft gelijk?

Om deze vraag te kunnen beantwoorden, ga ik terug naar de kern van de discussie: wanneer is er sprake van ‘vrije’ toestemming? En vooral: wanneer is toestemming niet meer ‘vrij’? En wat betekent dat voor cookiewalls?

Wat is ‘vrije toestemming’?

Wat verstaan we nu eigenlijk onder ‘vrije toestemming’? De Algemene verordening gegevensbescherming (AVG) bevat een uitgebreide definitie van ‘toestemming’:

“Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.”

Een vrije toestemming (vrije wilsuiting) is slechts één van de voorwaarden voor een geldige toestemming onder de AVG. Oftewel: als je geen vrijwillige toestemming hebt gegeven, is het volgens de AVG niet geldig.

De AVG bevat meer regels voor het geven van toestemming door een bezoeker die naast elkaar gelden. Je moet bijvoorbeeld:

1. gedocumenteerd kunnen aantonen dat er toestemming is gegeven;
2. het verzoek om toestemming in een begrijpelijke, gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal presenteren;
3. een duidelijk onderscheid maken tussen het verzoek om toestemming en andere zaken (zoals algemene voorwaarden);
4. de gegeven toestemming altijd weer kunnen laten intrekken;
5. het intrekken van toestemming even eenvoudig maken als het geven van die toestemming; en
6. toetsen of de toestemming vrij is gegeven en echt nodig is.

Hoewel alle voorwaarden voor ‘toestemming’ de moeite waard zijn om te bespreken, zal ik hier verder alleen ingaan op de voorwaarde van ‘vrijheid’.

Om te kunnen spreken van ‘vrije’ toestemming moet je jezelf de volgende vijf vragen stellen:

1. Heb ik echt toestemming nodig?
2. Heeft de betrokkene de keuze om toestemming te weigeren?
3. Heeft de betrokkene de controle over de toestemming (bijvoorbeeld om deze in te trekken)?
4. Voelt de betrokkene zich op geen enkele manier gedwongen?
5. Zijn er geen nadelige gevolgen voor de betrokkene als er geen toestemming wordt gegeven?

Als je de bovenstaande vragen allemaal met ‘ja’ kunt beantwoorden, dan is er sprake van een ‘echte’ vrije toestemming. In alle andere gevallen is de toestemming waarschijnlijk niet geheel vrijwillig en daardoor niet geldig. Het concept van vrije toestemming lijkt op het eerste gezicht zo simpel. In de praktijk blijkt het toch nog niet zo eenvoudig om hieraan te voldoen, vanwege allerlei commerciële belangen (advertentie-inkomsten).

In de praktijk merk ik dat veel organisaties de neiging hebben om te snel voor ‘toestemming’ te kiezen als grondslag voor een gegevensverwerking. Vervolgens gaan ze de mist in door deze toestemming op een of andere manier af te dwingen. Als hiervan sprake is, dan is er alleen geen sprake van een geldige toestemming en wordt er in strijd met de AVG gehandeld.

Hoe zit het nu met die cookiewalls?

Nu komen we weer terug bij de cookiewall-kwestie. De Telecommunicatiewet (Tw) bepaalt dat voor bepaalde cookies die een privacy-impact hebben, zoals tracking cookies, voorafgaande toestemming nodig is. Door plaatsing van tracking cookies kan een website een klein stukje tekst (code) op je computer plaatsen en later weer opvragen. Hierdoor krijg je bijvoorbeeld een unieke user-ID toegewezen en word je surf- en klikgedrag bijgehouden. Op basis hiervan kan de website jou ‘gepersonaliseerde’ advertenties tonen. De gedachte hierachter is: hoe persoonlijker de advertenties, hoe groter de kans dat je erop klikt (click through) en iets koopt. En hoe meer er wordt geklikt, hoe meer advertentie-inkomsten voor de website.

Veel websites hebben hun businessmodel gebaseerd op de maximalisatie van advertentie-inkomsten. Zij hebben er dus veel belang bij dat de websitebezoekers deze tracking cookies ‘accepteren’, of ze deze nu willen of niet. Veel websites bieden daarom maar één keuze: accepteer alle cookies. Je kunt de cookiewall niet wegklikken, of een andere keuze maken. Maar wat als de websitebezoeker geen gepersonaliseerde advertenties wil, maar wel de website wil bezoeken? Dan is het vaak dikke pech: geen toestemming, geen toegang.

Het weigeren van de toegang tot een website, als je geen tracking cookies wil accepteren, kan echter worden gezien als een negatieve consequentie, waardoor de websitebezoeker zich gedwongen kan voelen om dan maar tracking cookies te accepteren. Dat is naar mijn mening moeilijk een vrije keuze te noemen. Zeker als je weet dat de website ook prima functioneert zonder tracking cookies.

Een ander veelgehoord argument is dat er genoeg websites bestaan, dus je hebt de vrije keus om naar andere websites te gaan. Als ik tegen een dergelijke ‘forcerende’ cookiewall aanloop, dan besluit ik ook vaak de betreffende website maar niet meer te bezoeken (uit principe, zal wel een beroepsdeformatie zijn). Ik vraag me dan weleens af: zou de website niet juist advertentie-inkomsten mislopen door al die weglopende bezoekers?

Ik zie helaas dat veel nieuwswebsites deze ‘forcerende’ cookiewalls toepassen. En hoe meer websites dit toepassen, hoe minder vrije keuze aan websites er uiteindelijk overblijft. Soms ga ik, enigszins gefrustreerd, dan toch ‘akkoord’ met de plaatsing van tracking cookies, om een bepaalde website maar te kunnen bezoeken, maar niet erg van harte. Er is dan eigenlijk sprake van ‘onvrijwillige toestemming’, wat volgens de AVG geen geldige toestemming is.

Wie toestemming vraagt, moet ‘nee’ kunnen accepteren

De rode lijn is: wie toestemming vraagt, moet ook ‘nee’ kunnen accepteren. Je moet voor tracking cookies een echte vrije keuze bieden (wel of niet accepteren), zonder dreiging met mogelijke negatieve gevolgen (blokkering van toegang tot de website). Alleen als de keuze volledig vrijwillig is, kan er sprake zijn van ‘echte’ vrije toestemming.

Wil je meer weten over de regels voor je website of online platform, of over e-commerce-recht in het algemeen? Laat hieronder een bericht achter, of neem contact met me op.