Overtredingen van gegevensbescherming kunnen duur zijn. Maar niet alles is duidelijk geregeld. Cookies, bijvoorbeeld, kunnen een probleem worden. Het is niet altijd zinvol om ze zonder meer af te wijzen, noch voor de aanbieder, noch voor de gebruiker. Advocaat Linda Krüpe legt uit wat hier moet worden overwogen.
Voorlopig is het eeuwige getouwtrek over opt-in of opt-out cookies voorbij – het Federale Hof van Justitie heeft bepaald dat websitebeheerders alleen cookies op het eindapparaat van de gebruiker mogen plaatsen en lezen als de gebruikers daar uitdrukkelijk mee instemmen. De verschillend vormgegeven cookiebanners die men dagelijks tegenkomt, laten zien dat nog lang niet alle vragen zijn opgehelderd.
Voor de vraag of een websitebeheerder toestemming van de gebruiker nodig heeft voor het plaatsen en uitlezen van cookies, moet met name met drie factoren rekening worden gehouden: Zijn cookies technisch noodzakelijk? Hoe lang worden ze bewaard? Worden deze door de exploitant zelf of door een derde partij vastgesteld? Technisch noodzakelijke cookies zijn cookies die absoluut noodzakelijk zijn om een uitdrukkelijk door de gebruiker gevraagde dienst te leveren. Deze kunnen ook zonder toestemming van de gebruiker worden opgeslagen.
Hieronder vallen bijvoorbeeld “winkelwagencookies”, die de gebruiker identificeren om de door de klant gewenste winkelwagenfunctie te kunnen bieden, of “verificatiecookies”, die ervoor zorgen dat de gebruiker zich niet steeds opnieuw hoeft aan te melden. Als de exploitant cookies gedurende meerdere browsersessies wil opslaan, moet hij daarvoor gewoonlijk de toestemming van de gebruiker krijgen. Dit kan bijvoorbeeld gebeuren in de vorm van een – niet vooraf aangevinkt – selectievakje dat naast het registratieformulier wordt aangevuld met een opmerking zoals “Blijf ingelogd (gebruikt cookies)”.
Derde-partij-cookies die niet door de exploitant zelf worden geplaatst, maar bijvoorbeeld door adverteerders, zullen ook zeer waarschijnlijk toestemming vereisen – aangezien reclame meestal niet de dienst is waarom de gebruiker expliciet heeft gevraagd. Tegen deze achtergrond zijn er alternatieve traceringsmethoden in opkomst voor het verzamelen van gebruikersgegevens zonder toestemming, om op interesses gebaseerde en gepersonaliseerde reclame te kunnen blijven ontwerpen op een privacy-vriendelijke manier. Dit geldt des te meer omdat gegevensbescherming op het internet voor veel gebruikers steeds belangrijker wordt, zodat websites in de toekomst minder gebruikersgegevens beschikbaar zullen hebben voor gepersonaliseerde reclame. Aanbieders van zoekmachines integreren technologieën zoals Federated Learning of Cohorts (FLoC-API) als compromis tussen gegevensbescherming en personalisering. Hierdoor kunnen individuele gebruikersgegevens worden samengevoegd tot een in kaart gebrachte groep en kan het individu verloren gaan in de menigte.
Gegevensbescherming vanaf het begin
Het implementeren van de wettelijke voorschriften in de praktijk is een uitdaging – ten minste als dienstverleners juridisch aan de veilige kant willen staan en toch innovatieve, aantrekkelijke producten willen aanbieden. Paginabeheerders moeten daarom eerst een overzicht krijgen van welke cookies worden geplaatst en met welk doel, en hoe lang ze worden opgeslagen. In de eerste stap is het de moeite waard om “op te ruimen” volgens het motto “Wat je niet nodig hebt: gooi het weg!”. Vooral op gebieden waar de juridische situatie nog onduidelijk is, zoals permanente cookies. Dit bespaart een vermijdbaar restrisico en mogelijk hoge boetes.
Om gegevensbescherming en innovatie met elkaar te verzoenen, is het van essentieel belang dat gegevensbescherming door technologieontwerp (Privacy by Design) en gegevensbeschermingsvriendelijke standaardinstellingen (Privacy by Default) de norm wordt en dat het vertrouwen van de gebruiker centraal staat. Om dit te bereiken is het zinvol dat verschillende gebieden nauw samenwerken op een interdisciplinaire manier, zelfs in de vroege ontwikkelingsfase van producten: Zo bepalen juristen bij het ontwerp van cookiebanners het juridische kader, zorgen technici er onder meer voor dat er geen cookies worden geladen zonder voorafgaande toestemming, en zorgen gebruikerservaring- en gebruikersinterfacedesigners ervoor dat de banner er visueel begrijpelijk en aantrekkelijk uitziet – bijvoorbeeld door intuïtieve bruikbaarheid voor de gebruiker.
In principe moet de websitebeheerder de gebruiker in staat stellen gemakkelijk de gevolgen te begrijpen van de toestemming die hij of zij heeft gegeven. De informatie moet duidelijk en gedetailleerd genoeg zijn om de gebruiker in staat te stellen het doel van de verwerking en de werking van de gebruikte cookies te begrijpen. Dit houdt ook in hoe lang de gegevens worden opgeslagen en of derden – bijvoorbeeld reclamebedrijven – toegang hebben tot de opgeslagen gegevens. Momenteel voldoen veel van de banners die gebruikers te zien krijgen niet aan deze vraag naar transparantie.
De gebruiker is ook verantwoordelijk
Een begrijpelijke uitleg over het doel van de verwerking en de werking van de gebruikte cookies voldoet pas volledig aan zijn doel wanneer internetgebruikers zich anderzijds een mening vormen over wat zij persoonlijk onder informationele zelfbeschikking verstaan en dit begrip in verband brengen met de economische betekenis van gegevens. Sommigen zullen blij zijn met de handige service wanneer de navigatie-app automatisch de snelste route op weg naar het werk toont, of wanneer reclamebanners tijdens het surfen op internet platte aanbiedingen uitspuwen die voldoen aan de individuele zoekcriteria op een ander portaal. Anderen daarentegen zullen zich ongemakkelijk voelen of geven er de voorkeur aan dergelijke zoekopdrachten zelf te controleren. Pas wanneer gebruikers deze vragen hebben beantwoord, kunnen zij bewust omgaan met cookiebanners en beslissen met welke gegevensverwerking zij instemmen.
Tightrope
Een verantwoorde omgang met cookies wordt aan beide kanten – websitebeheerders en gebruikers – bemoeilijkt door de verwarrende juridische situatie: de ePrivacy-richtlijn van 2002 voorzag in een opt-out-regel op Europees niveau, zodat cookies konden worden geplaatst zolang de gebruiker daar niet actief bezwaar tegen maakte. Aangezien de e-privacyrichtlijn in 2009 werd gewijzigd door de zogenaamde “cookierichtlijn”, werd deze verordening, die ook nu nog van toepassing is, in het tegendeel gewijzigd: Opt-Out werd Opt-In, zodat nu voorafgaande geïnformeerde toestemming is vereist voor het plaatsen en lezen van cookies op het eindapparaat van de gebruiker.
Zoals alle EU-richtlijnen is ook deze richtlijn niet rechtstreeks van toepassing, maar had zij in Duits recht moeten worden omgezet – maar dat is niet gebeurd. In plaats daarvan bleef de nationale Duitse “opt-out-regeling” in de Telemediawet ongewijzigd. Rechtsonzekerheid in Duitsland was het gevolg totdat het Federale Hof van Justitie vorig jaar de Europese verordening bevestigde.
Het opt-out-mechanisme technisch aanpassen is één uitdaging; de toestemming van de gebruiker verkrijgen, rekening houdend met de hoge wettelijke eisen, is een andere. In dit verband winnen ook ontwerpen voor gebruikersinterfaces zoals “nudging”, waarbij gebruikers ertoe worden aangezet toestemming te geven, en “dark patterns”, waarbij gebruikers worden misleid in strijd met hun belangen, aan belang. Het visuele ontwerp van cookiebanners met als doel het gewenste klikgedrag van gebruikers te bereiken, moet binnen het wettelijke kader blijven. Wat het concrete ontwerp ook is, het moet gegevensbeschermingsvriendelijk en transparant zijn.
Gegevensbescherming als een kans zien
Dit conflict benadrukt het belang van het fundamentele recht op informationele zelfbeschikking aan de ene kant en de waarde van gegevens voor economische processen aan de andere kant. Om in dit spanningsveld te overleven en innovatief te blijven, moeten bedrijven gegevensbescherming niet alleen als een kostenfactor maar ook als een groeifactor heroverwegen en begrijpen. Dit is althans het geval indien zij erin slagen het belang van “vertrouwensproducten” in het bedrijf te verankeren en dit begrip ook naar buiten uit te dragen. Alleen een bedrijf dat terecht de reputatie heeft verdiend op een bijzonder verantwoordelijke manier met de persoonsgegevens van zijn gebruikers om te gaan, zal hun vertrouwen winnen. En alleen gebruikers die het bedrijf vertrouwen, zullen het hun gegevens toevertrouwen of hun toestemming geven. Een innovatief bedrijf kan de op deze manier verkregen gegevens winstgevend gebruiken.
Volgende open juridische vragen
De ePrivacy-verordening zal definitieve duidelijkheid verschaffen over open juridische vragen betreffende cookies en tracking op het internet in de vorm van rechtstreeks toepasselijke wetgeving. Eigenlijk had de verordening samen met de GDPR in werking moeten treden. Het wetgevingsproces is echter jarenlang blijven steken in de Raad van de Europese Unie. Nu heeft het Portugese voorzitterschap van de Raad de e-privacyverordening naar een hoger plan getild: De Raad van de EU kon in februari van dit jaar overeenstemming bereiken over een standpunt, zodat nu over de definitieve tekst van de e-privacyverordening kan worden onderhandeld in de trialoogbesprekingen met de Commissie en het EU-Parlement. Een nauwe uitwisseling tussen politiek en bedrijfsleven zal nodig blijven om de open juridische vragen op te helderen en een evenwicht te vinden tussen het enorme belang van gegevens voor economische processen en de informationele zelfbeschikking van elk individu.