Voor “tracking cookies”  die gebruikt worden om je surfgedrag te volgen en het mogelijk maken gericht te adverteren is  altijd “ informed consent” (duidelijk geïnformeerde toestemming)  nodig.

Dat dit serieus genomen moet worden maakt de recente boete van 50 miljoen euro die de Franse autoriteit persoonsgegevens (CNIL) aan Google heeft opgelegd op 21 januari 2019 wel duidelijk (zie mijn eerdere blog). Daar ging het ook om “toestemming” die niet duidelijk geïnformeerd (Jip en Janneke taal) kon worden gegeven, niet specifiek voor ieder doel (granulaire toestemming) en niet ondubbelzinnig, het vinkje voor het kiezen stond ook al aan. We hebben het dan over tracking cookies en geen functionele cookies of analytische cookies, het surfgedrag van personen wordt uitgebreid gevolgd en doorverkocht zonder duidelijke informatie daarover en zonder toestemming van de betrokkenen.

Uit een recent onderzoek van de NOS (zie Nos-website) waarbij 10.000 websites werden bezocht bleken 1341 websites tracking cookies te plaatsen, naar ik begrijp zonder expliciete toestemming van betrokkenen.

Een deel van de websites plaatste bij het eerste bezoek nog geen cookies, maar pas als je doorsurfde op de site. Door door te surfen zou je er impliciet geen bezwaar tegen hebben dat er een tracking cookie zou worden geplaatst. De uitspraak tegen Google van de Franse autoriteit persoonsgegevens maakt duidelijk dat dat een niet te handhaven standpunt is.

Volgens de Nos op haar website hanteren Nu.nl, Libelle, Startpagina en Linda deze werkwijze. Daarbij gebruiken deze websites echter als extra argument dat de cookiemelding de bezoekers wel de mogelijkheid geeft zich te informeren en persoonlijke voorkeuren aan te geven. Dat is naar mijn mening op het randje en ook afhankelijk van hoe duidelijk de informatie met keuzemogelijkheden wordt gegeven en hoe specifiek. Je kan in de cookiemelding ook direct om toestemming vragen voor tracking cookies, maar daar zit het venijn, die toestemming die dan ook eigenlijk aangevinkt moet worden door de betrokkene krijg je dan niet zo makkelijk meer.

In de diverse concepten van de waarschijnlijk in 2020 te verwachten “ e-privacy verordening”  zie je het mogelijk worden dat toestemming via de browserinstellingen van je browser kan worden gegeven zodat een website al meteen ziet dat je bijvoorbeeld geen tracking cookies wenst. Daar is Google ook al op vooruitgelopen met haar ongetwijfeld goede juristen. De uitspraak van Franse Autoriteit Persoonsgegevens maakt echter duidelijk dat je dat heel makkelijk moet maken en niet zo dat je na zes schermen doorgelopen te zijn vervolgens nog niet weet waar je allemaal toestemming voor geeft.

Datahandelaren wees voorzichtig de Nederlandse Autoriteit Persoonsgegevens ziet u als één van de speerpunten van haar toezicht. Die boete opgelegd aan Google van 50 miljoen werd gegeven zonder waarschuwing en dat is wel schrikken. De Nederlandse Autoriteit Persoonsgegevens zal waarschijnlijk nog wel waarschuwen of een dwang onder last opleggen zoals ze bij het UWV gedaan heeft met de door haar in te voeren meerfactor-authenticatie voor haar inlogportal voor 31 oktober 2019. Maar maak het niet te gek! Het opzettelijk overtreden van privacyregels maakt je bedrijf kwetsbaar.

Wij denken graag met u mee!