Cookiemonsters achternagezeten door toezichthouder

Het jaar 2024 gaat (ook) in het teken staan van cookies en cookiebanners. Wij hebben het dan niet over koeken en lekkernijen, maar over virtuele cookies. In 2023 hebben er enkele belangrijke gebeurtenissen plaatsgevonden op het gebied van cookies. Nu heeft de Autoriteit Persoonsgegevens (‘AP’), de toezichthouder op het gebied van gegevensbescherming, begin februari 2024 aangekondigd strenger te zullen gaan handhaven op cookies en misleidende cookiebanners aan te zullen pakken. In deze blog geven wij u een korte update over de belangrijkste ontwikkelingen op het gebied van cookies.

Wat zijn cookies?

Cookies zijn kleine tekstbestanden die op een computer kunnen worden opgeslagen. Deze verzamelen informatie over de identiteit van de websitebezoeker, diens bezoek aan de website en diens (surf)gedrag bij andere websites. Er zijn verschillende soorten cookies, zoals functionele cookies, analytische cookies en tracking cookies. Cookies hebben veel handige functies. Zo kunnen functionele cookies worden geplaatst voor het bijhouden van uw online winkelmandje, kunnen analytische cookies worden geplaatst voor het analyseren van het gebruik van een website en kunnen tracking cookies worden geplaatst voor het volgen van het internetgedrag van websitebezoekers, aan de hand waarvan gepersonaliseerde advertenties kunnen worden aangeboden. De meesten zullen cookies herkennen van de pop-up die verschijnt – of die in de meeste gevallen zou moeten verschijnen – bij het eerste bezoek aan een website, die de websitebezoeker vervolgens snel wegklikt (meestal door op accepteren te klikken).

What about the cookies?

Het jaar 2023 stond in het teken van gepersonaliseerde advertenties op het internet. Deze gepersonaliseerde advertenties kunnen worden getoond doordat cookies de internetactiviteiten van personen volgen. Daarmee kunnen digitale profielen worden aangemaakt van personen. U herkent vast de situatie waarin u advertenties voorgeschoteld krijgt van de kledingwinkel waar u net daarvoor online heeft gewinkeld of van de website die u eerder heeft bezocht. Meta (eigenaar van Facebook en Instagram) stond het afgelopen jaar in het middelpunt als het ging om gepersonaliseerde reclame. Het Hof van Justitie van de Europese Unie heeft geoordeeld dat het toenmalige advertentiebeleid van Meta niet was toegestaan omdat zij onder meer geen (rechtsgeldige) toestemming vroeg voor het plaatsen van het gepersonaliseerde advertenties. Wij schreven over deze uitspraak in een eerdere blog. In november 2023 heeft ook de European Data Protection Board (‘EDPB’) een bindend besluit afgegeven waarin het Meta verbiedt om gepersonaliseerde advertenties op haar platforms te tonen zonder toestemming van haar gebruikers. Ook heeft de Nederlandse rechter in 2023 geoordeeld dat Criteo, een Frans advertentiebedrijf, tracking cookies heeft geplaatst zonder daarvoor toestemming te hebben van de websitebezoeker (zie hier en hier). Deze toestemming was nodig op basis van de geldende wetgeving op het gebied van cookies en gegevensbescherming. In Frankrijk kreeg Criteo hiervoor ook nog eens een boete opgelegd vanuit de Franse privacytoezichthouder.

In Nederland nu ook strenger toezicht op cookies

De Europese privacytoezichthouders (verenigd in de EDPB) en meer specifiek de AP, hebben aangegeven strenger te zullen gaan toezien op het gebruik van cookies. Begin 2023 heeft de EDPB al een ‘cookiebanner task force’ opgericht, die advies moet gaan geven op het gebied van cookiebanners. Ook de AP heeft nu aangekondigd in 2024 vaker te gaan controleren of websites op een juiste manier toestemming vragen voor het plaatsen van (tracking) cookies of andere volgsoftware (zie hier). Deze toestemming wordt doorgaans gevraagd via de ‘cookiebanner’. De AP geeft op haar website uitleg over hoe organisaties cookiebanners moeten inrichten om op een rechtmatige manier toestemming te vragen en geeft daarbij de nodige praktijkvoorbeelden.

Cookiebanner

Dat de initiële focus van de AP ligt op het controleren cookiebanners is dan ook goed te begrijpen. Bovendien laat de praktijk zien dat cookiebanners op dit moment niet goed zijn ingericht. Zo is de cookiebanner vaak zo ingericht dat personen snel op de optie ‘accepteren’ klikken. Daarnaast verstrekken ze vaak onjuiste of onvoldoende informatie. Dergelijke misleidende praktijken moeten tot het verleden gaan behoren. De AP heeft op haar website enkele vuistregels gegeven die moeten gaan helpen bij het opstellen van een correcte cookiebanner:

1. Geef voldoende informatie over het doel van de cookies, bijvoorbeeld het analyseren van het websitegebruik of het verzamelen van gegevens voor advertenties.
2. De vinkjes mogen niet automatisch aanstaan. Vooraf aangekruiste vinkjes kunnen niet gelden als geldige toestemming. Toestemming moet namelijk “vrij, specifiek, geïnformeerd en ondubbelzinnig” worden gegeven en door middel van een actieve handeling.
3. Gebruik duidelijke teksten en duidelijke woorden; geen vage of sturende bewoordingen.
4. Plaats alle opties op één laag, zodat de websitebezoeker niet hoeft door te klikken om cookies te weigeren.
5. Verberg de opties niet; de weiger-knop moet goed zichtbaar zijn.
6. De websitebezoeker moet niet extra hoeven te klikken, bijvoorbeeld door een extra bevestiging te vragen van de keuze.
7. Gebruik geen onopvallende links in de tekst.
8. Wees helder over het intrekken van toestemming. Maak duidelijk hoe de websitebezoeker gemakkelijk en te allen tijde de toestemming weer kan intrekken.
9. Denk aan uw grondslagen: verwar toestemming niet met het gerechtvaardigd belang.

Los van deze vuistregels is ons advies u te laten adviseren over uw cookiebanner, nu het wellicht lastig kan zijn om bovengenoemde vuistregels juist toe te passen. De AP heeft wel aangekondigd meer richtlijnen en best practices te zullen delen. De AP zal echter op dit moment al starten met het actief uitvoeren van onderzoeken naar cookiebanners en indien nodig handhavend optreden.

Wat kunt u nu doen?

De hoop (en verwachting) van de toezichthouders is dat met het versterkte toezicht websitebezoekers een bewustere keuze kunnen maken over het toestaan van (tracking) cookies. Dit heeft waarschijnlijk tot gevolg dat er minder tracking cookies geplaatst zullen worden. En dat zal weer gevolgen hebben voor de advertentie-industrie. Vraagt u zich af of uw cookiebanner en uw cookiebeleid op orde zijn? Neem dan gerust contact op met één van onze specialisten. *De afbeelding bij dit bericht is AI-gegenereerd.