logo
NL  /  EN

Google en Facebook krijgen miljoenenboetes om cookies

03 maart 2022
Nieuws

Google en Facebook hebben van de Franse privacy waakhond (Commission Nationale de l’Informatique et des Libertés (CNIL)) een boete ontvangen van respectievelijk € 150 en € 60 miljoen euro. Beide Tech reuzen zouden het gebruikers te moeilijk maken om tracking cookies te weigeren. Dit roept de vraag op hoe je dan wél rechtsgeldig toestemming vraagt voor cookies.

Wat zijn cookies precies?

Cookies zijn kleine bestanden die de aanbieder van een website op de apparatuur van een bezoeker plaatst, bijvoorbeeld op een computer, telefoon of tablet. Met cookies kan informatie worden verzameld of opgeslagen over het websitebezoek of over (het apparaat van) de gebruiker. Cookies kunnen in drie verschillende hoofdcategorieën worden ingedeeld:

  • Functionele cookies: deze cookies zijn technisch noodzakelijk om een website te laten functioneren, bijvoorbeeld om te onthouden wat er in een online winkelwagentje zit;
  • Analytische cookies: websites gebruiken analytische cookies om bezoekersstatistieken bij te houden. Het doel is om een beter inzicht te krijgen in het functioneren van de website;
  • Tracking cookies: ook wel ‘volgcookies’ genoemd. Tracking cookies volgen het surfgedrag van gebruikers over verschillende websites. In deze cookies staat alle informatie waarmee een gebruikersprofiel wordt gevormd waarna iemand gerichte advertenties te zien krijgt. Tracking cookies bevatten doorgaans persoonsgegevens.

Hoe vraag ik rechtsgeldig toestemming?

Voor functionele cookies en analytische cookies hoeft geen toestemming gevraagd te worden. Als bedrijven mensen willen volgen met tracking cookies, moeten zij daarvoor wél eerst op een rechtsgeldige manier toestemming vragen. Regels met betrekking tot cookies zijn neergelegd in de Telecommunicatiewet en de Algemene verordening gegevensbescherming (AVG). Volgens AVG is toestemming alleen geldig als deze vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven. Kort en goed betekenen deze eisen dat in de praktijk dat:

  • bezoekers van een website ook toestemming moeten kunnen weigeren (anders is het geen vrije keuze). Daaruit volgt dat een cookiewall, waarbij bezoekers geen toegang krijgen als zij tracking cookies weigeren, dus niet is toegestaan;
  • het duidelijk moet zijn waarvoor precies toestemming wordt gegeven. Bezoekers kunnen bijvoorbeeld worden geïnformeerd in een aparte cookieverklaring, of de cookieverklaring kan worden opgenomen als onderdeel van de privacyverklaring;
  • bezoekers voldoende informatie moeten krijgen over wat er met hun gegevens gebeurt als zij toestemming geven;
  • bezoekers daadwerkelijk en met een actieve handeling toestemming moeten geven (‘wie zwijgt, stemt toe’ geldt dus niet). Dit kan bijvoorbeeld door bezoekers een checkbox aan te laten vinken. Let op, deze checkbox mag niet al van tevoren zijn aangevinkt.

Google en Facebook voldeden niet aan al deze eisen. De cookiebanners boden weliswaar de mogelijkheid om met 1 click alle cookies te accepteren, maar voorzagen niet in eenzelfde soort oplossing om alle cookies in één keer te weigeren. Gebruikers die willen weigeren moesten meerdere stappen doorlopen: voor Google 5 clicks en voor Facebook minstens 3 clicks. Dit beïnvloedt de vrijheid waarmee gebruikers toestemmen. In feite is hierdoor sprake van een gestuurde toestemming.