U bent hier: Home / Nieuws / Nieuws / Branden de cookies aan?

Branden de cookies aan?

Illustration de l'actualité - cliquer pour agrandir
Wat moet u weten over cookies? Laura Cerrato, DPO van het Centrum voor Informatica voor het Brusselse Gewest, geeft u enkele tips ?

Het wettelijke kader

De cookiesindustrie is gereguleerd. Cookies? De cookies (en andere tracers) waarmee het gedrag van gebruikers van websites en andere mobiele apps wordt geanalyseerd. Er bestaan verschillende soorten: cookies van derden, functionele cookies, zogenaamde analytische cookies, ... De cookies van derden worden in het vizier genomen.

Het wettelijke kader:

  • de Europese ePrivacyrichtlijn (die zich ontwikkelt tot een verordening) is in 2012 omgezet in Belgisch recht en vereist absolute toestemming van de betrokkenen alvorens trackers te downloaden;
  • de Europese verordening gegevensbescherming (AVG) die voorschrijft dat elke verwerking van persoonsgegevens waarmee een betrokkene direct of indirect kan worden geïdentificeerd, een rechtmatige grondslag moet hebben (bv. uitdrukkelijke en specifieke toestemming), zonder welke geen verwerking kan plaatsvinden.

Een verhitte situatie

Wie heeft nog niet van de 'Planet 49'-zaak gehoord? In 2020 heeft het Hof van Justitie van de Europese Unie (HJEU) een definitieve uitspraak gedaan in dit dossier met referentie C-673/17. Het arrest stelt in wezen dat het vooraf aanvinken van vakjes op een cookiebanner verboden is, aangezien een geldige toestemming alleen kan zijn gebaseerd op een positieve en bevestigende handeling van de gebruiker. Deze beslissing had een domino-effect op de hele reclamesector, wat ertoe leidde dat Advertising Bureau Europe (IAB Europe) zijn transparantie- en toestemmingskader ('Transparency and Consent Framework' - TCF) destijds bijwerkte. 

En op 2 februari 2021 oordeelde de Belgische gegevensbeschermingsautoriteit (GBA) dat het 'Transparency & Consent Framework (TCF)'  van datzelfde IAB niet in overeenstemming was met de AVG en werd er een boete van 250.000 euro opgelegd.

Sinds 2021 richt NOYB - None of Your Business, de ngo van Max Scherms die erin is geslaagd om het Privacy Shield  ongeldig te laten verklaren, zich tegen Europese websites en de conformiteit van de cookiebanners. NOYB is zijn offensief begonnen op grond van artikel 80.1 van de AVG.
De werkwijze: de NOYB-organisatie stuurt ontwerpklachten naar beheerders van websites die als niet-conform zijn aangemerkt, en dringt er bij hen op aan om de cookiewetgeving na te leven. Indien zij niet reageren, zal de vereniging deze klachten doorsturen naar de bevoegde gegevensbeschermingsautoriteiten. 

En onlangs oordeelde de Oostenrijkse gegevensbeschermingsautoriteit dat Google Analytics in strijd is met hoofdstuk V van de AVG over internationale doorgiften. Het zou te lang duren om in detail de factoren van de niet-conformiteiten uit te leggen. Uw functionaris voor gegevensbescherming ('Data Protection Officer' - DPO)  is er om u te helpen.

Hoe blussen we dit brandje?

  • Controleer of uw cookiebanner technisch in overeenstemming is met de wettelijke normen (raadpleeg uw webontwikkelaar): 
    • Er mag geen enkele cookie worden gedownload zonder een actie van de websitebezoeker.
    • De bezoeker kan niet worden verhinderd om verder te surfen, ook al weigert hij de cookies of reageert hij niet op de cookiebanner. Er bestaat niet zoiets als een impliciete toestemming!
  • Zorg ervoor dat uw privacybeleid of speciale webpagina betreffende de cookies zo transparant mogelijk is en de door de geïnstalleerde cookies verzamelde informatie bevat, evenals de bijbehorende rechtsgrondslag en de internationale doorgiften die (eventueel) plaatsvinden met de bijbehorende risico's (art. 49, AVG). Uw DPO kan u helpen om u hiermee in overeenstemming te brengen.
  • Als u een e-mail van NYOB ontvangt, heeft u 1 maand de tijd om hieraan te voldoen. Anders zal een klacht tegen uw organisatie worden ingediend.

Met of zonder Google?

De Oostenrijkse uitspraak is beperkt tot het Oostenrijkse grondgebied. De beslissing staat het gebruik van Google Analytics in andere landen dus niet in de weg.
De verschillende gegevensbeschermingsautoriteiten hebben echter een uniforme interpretatie van de Europese verordening. Ze zullen dus een soortgelijk standpunt innemen. Er moet aan worden herinnerd dat een Oostenrijkse bezoeker een klacht over uw website kan indienen bij zijn eigen gegevensbeschermingsautoriteit.

Indien wordt beslist om door te gaan met Google Analytics en om uw compliance (die niet gegarandeerd is) als verwerkingsverantwoordelijke te verbeteren:

  1. activeer de functie 'IP anonymisation' van Google Analytics;
  2. vraag de specifieke toestemming voor het gebruik van Google Analytics en de daarmee gepaard gaande internationale gegevensoverdracht (naar de VS) in de cookiebanner;
  3. voer een passende overdrachtseffectbeoordeling (TIA - volgens de aanbevelingen van de EPBD 01/2020) over het gebruik van Google Analytics uit en documenteer dit;
  4. schakel Google Analytics uit voor de Oostenrijkse gebruikers en volg de ontwikkelingen in de andere EU-lidstaten op.

Er zijn ook alternatieven voor Google. Om maar een voorbeeld te noemen: Matomo.

Conclusie

Naast de wettelijke verplichtingen stellen de cookies een inhoudelijke kwestie aan de orde: de naleving van artikel 7 'De eerbiediging van het privéleven en van het familie- en gezinsleven' en artikel 8 'Bescherming van persoonsgegevens'. De overheidssector moet deze rechten waarborgen. Het ethische karakter van deze grondrechten moet ook deel uitmaken van het besluitvormingsproces. Aangezien dit geen absolute rechten zijn, moet de verwerkingsverantwoordelijke een afweging maken.
Wat antwoordt u aan een betrokkene die in verband met deze cookiekwestie een verzoek indient op grond van de AVG/e-Privacy? Indien de betrokkene geen afdoend antwoord ontvangt, kan hij een klacht indienen bij de gegevensbeschermingsautoriteit. Het gebruiksgemak of de kosteloosheid van een instrument, het ontbreken van een rechtsgrondslag voor de verwerking of een rechtmatig belang, ... zullen niet de juiste aan te voeren argumenten zijn.