Cookiewall-verbod: Autoriteit Persoonsgegevens te kort door de bocht
Het is al jaren een punt van discussie: mag je toestemming als voorwaarde stellen voor toegang tot je website? Met andere woorden: mag een cookiewall (nog)? De Autoriteit Persoonsgegevens (AP) komt met een duidelijk statement: de cookiewall is onrechtmatig, bedrijven moeten bedrijfsproces aanpassen.
Trackingcookies mogen pas geplaatst worden nadat daarvoor toestemming is gegeven door de websitebezoeker. Dat staat in de Telecommunicatiewet. De definitie van toestemming wordt geleend uit de Algemene Verordening Gegevensbescherming (AVG). Toestemming is dus pas geldig wanneer het aan de voorwaarden uit de AVG voldoet. Eén van die voorwaarden is dat de websitebezoeker ‘vrij’ moet zijn om toestemming te geven.
In privacy-land bestaan uiteenlopende visies over wanneer je kunt spreken van vrije toestemming. Is het vrije toestemming als de websitebezoeker toestemming moet geven om toegang te krijgen tot de website? Tot nu toe werd aangenomen dat dit het geval is als er elders een alternatief is zonder cookiewall, zoals de NOS dat is voor nieuws. Hier is niet iedereen het mee eens. Sommige privacyvoorvechters vinden dat iedere website toegankelijk moet zijn zonder trackingcookies, ongeacht wat dit betekent voor het verdienmodel. Dit is een discussie die zowel op nationaal als op Europees niveau al lang gevoerd wordt, zonder eenduidig antwoord.
Twee toezichthouders bron van onduidelijkheid
De Autoriteit Consument en Markt (ACM) houdt toezicht op de Telecommunicatiewet, waarin de cookiebepaling staat. Het ligt dus voor de hand dat de ACM zich uitspreekt over de vraag of een websitehouder cookies mag plaatsen. Maar voor het plaatsen van cookies is meestal toestemming nodig. Dat begrip wordt geleend uit de AVG, die in Nederland gehandhaafd wordt door de AP. De vraag of ‘toestemming’ geldig is ligt dus bij de AP, de vraag of cookies geplaatst mogen worden (pdf) bij de ACM. Volgt u het nog? Als brancheorganisatie merken wij dat hierdoor veel onduidelijkheid is ontstaan binnen de sector. Welke toezichthouder heeft hier nu het laatste woord? Ook het convenant dat de AP en ACM sloten over hun samenwerking biedt hier weinig helderheid.
Uitspraak NPO
Sinds de invoering van de cookiebepaling werd slechts één keer ingegrepen door een toezichthouder. Het was de ACM die zich vijf jaar geleden voor het eerst uitsprak over de rechtmatigheid van een cookiewall. Het ging om de Nederlandse Publieke Omroep (NPO), die tot 2014 een cookiewall had. Bezoekers die online content wilden bekijken, werden verplicht om akkoord te gaan met het plaatsen van onder andere advertentiecookies.
De ACM oordeelde (pdf) dat van vrije toestemming geen sprake kan zijn, omdat het gaat om een publieke dienst. Dit standpunt is in 2015 door de wetgever overgenomen in de Telecommunicatiewet: “De toegang van de gebruiker tot een dienst van de informatiemaatschappij die wordt geleverd door of namens een krachtens publiekrecht ingestelde rechtspersoon wordt niet afhankelijk gemaakt van het verlenen van toestemming.”
Hieruit trok het bedrijfsleven de conclusie dat een cookiewall in de private sector, waarbij de websitebezoeker alternatieven heeft, wél rechtmatig kan zijn. Deze conclusie was met name belangrijk voor aanbieders van gratis producten en diensten, waar het verdienmodel afhankelijk is van online adverteerders.
Privacyexperts: toezichthouder is te kort door de bocht
Experts lijken eensgezind over het standpunt van de toezichthouder: het is een zeer strikte interpretatie van de AVG waarop heel wat af te dingen valt. Op NOS.nl reageert privacyjurist Nico van Eijk van het Instituut voor Informatierecht. Hij is van mening dat het standpunt van de Autoriteit Persoonsgegevens ver gaat. “Het draait om het kunnen maken van een vrije keuze, maar een cookiemuur hoeft daar niet per se mee in strijd te zijn. Neem media: zolang je nog naar een alternatief kunt waarbij je geen cookies hoeft te accepteren, heb je in principe nog een keuze. Als alle media dit doen, is het een ander verhaal.”
Dit komt overeen met de reactie van ICT-Recht jurist Arnoud Engelfriet op RTLnieuws.nl: “Het is een zeer strikte en ik denk te strenge interpretatie als je zegt dat alle cookiewalls per definitie in strijd zijn met de AVG. Maar als je zo’n cookiewall gebruikt, dan moet je wel een stevig verhaal hebben waarom jij die toestemming afdwingt.”
Ontwikkelingen in Brussel
De huidige ePrivacy Richtlijn die in Nederland geïmplementeerd is in de Telecommunicatiewet ligt momenteel bij de Europese Wetgever op de tekentafel. De Europese Commissie kwam begin 2017 met een voorstel voor een Verordening die de bestaande Richtlijn moet vervangen. Deze ePrivacy Verordening moet naast de AVG zorgen voor verdere harmonisatie in Europa.
Duidelijk is dat de cookieregels op de schop gaan. Echter is nog lang niet duidelijk hoe dit eruit moet komen te zien. Ook hier is de cookiewall een groot punt van discussie. In de eerste versies van het voorstel voor de ePrivacy Verordening was bepaald dat het gebruik van een website niet afhankelijk gemaakt mag worden van het accepteren van cookies. Na kritiek vanuit de lidstaten lijkt dit te worden aangepast, zodat onder bepaalde voorwaarden een cookiewall alsnog mogelijk is. Bijvoorbeeld als een nieuwswebsite ook een betaalde variant heeft zonder cookiewall. Hier is het laatste woord nog niet over gesproken. De verdeeldheid over het cookievraagstuk is de belangrijkste oorzaak waardoor de ePrivacy Verordening vertraging heeft opgelopen. De bedoeling van de Europese Commissie was om deze in werking te laten treden op 25 mei 2018, samen met de AVG. Op dit moment is er zoveel vertraging dat het onwaarschijnlijk is dat er vóór de Europese verkiezingen dit voorjaar een akkoord zal worden bereikt.
Standpunt van de Autoriteit Persoonsgegevens: cookiewall ≠ geldige toestemming
Op 30 november 2018 gaf de Autoriteit Persoonsgegevens aan dat het ‘zeer de vraag’ is of deze manier van toestemming verkrijgen ‘binnen de eisen van de privacywet past’. Op 7 maart maakte de AP bekend dat ze er over uit zijn: een cookiewall is een overtreding van de AVG, want de websitebezoeker is niet ‘vrij’ om toestemming te geven. Hierbij lijkt geen ruimte voor nuances over de (monopolie)positie van de organisatie in de markt en eventuele cookievrije alternatieven. Aan de NOS gaf Aleid Wolfsen, voorzitter van de AP, aan dat bedrijven met een cookiewall hun website moeten aanpassen. “Als ze dat niet doen, starten we een onderzoek, en dan kunnen we formeel optreden.”
Impact op verdienmodellen
Het verbieden van cookiewalls kan verstrekkende gevolgen hebben voor de consument. Consumenten zijn gewend aan goede online producten en diensten, zonder daar altijd voor te moeten betalen. Het verdienmodel is dan vrijwel altijd gebaseerd op advertenties. Die advertenties worden gepersonaliseerd, omdat deze anders slechts een fractie van de waarde hebben. Wat nu gebeurt is dat het verplicht maken van ‘afrekenen’ wordt verboden, terwijl er wel ‘gewinkeld’ moet kunnen worden.
Dit kan grote gevolgen hebben voor het aanbod van online content op het internet. Een probleem dat DDMA al eerder heeft aangekaart. Het risico bestaat dat de internetgebruiker hiervoor nog vaker zal uitwijken naar online platformen voor nieuws. Deze organisaties hebben geen cookiewall nodig om gepersonaliseerd te adverteren. Deze ontwikkeling kan leiden tot een verschraling van het aanbod.
Headerafbeelding: Erol Ahmed via Unsplash.