Onlangs werd een gekende grote nieuwswebsite, veroordeeld door de gegevensbeschermingsautoriteit voor het schenden van verplichtingen inzake transparantie en toestemming in termen van cookies. Cookies zijn kleine bestanden die de eigenaar van een website op de computer van websitebezoekers plaatst. Hiermee kunnen dan informatie en gegevens over het websitebezoek of de apparaten van de websitebezoekers worden opgeslagen en later geraadpleegd.

Er werd door de betreffende website stapsgewijs geprobeerd te voldoen aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG) van de EU, beter gekend als de GDPR-wetgeving. Desalniettemin waren er nog steeds problemen met de derde versie van de website. Wat betreft het cookiebeheer wordt er terecht vermeld dat er toestemming moet worden gevraagd voor cookies die niet strikt noodzakelijk zijn. Er wordt echter ten onrechte verwezen naar “ons gerechtvaardigd belang” als rechtvaardiging voor cookies die gebruikt worden “met het oogmerk om uw gebruik van de website te vereenvoudigen en om statistische gegevens met betrekking tot het gebruik van de website te verzamelen” waarbij ze dan dus geen toestemming vragen.
Verder werd er bij het cookievenster opgemerkt dat dat bepaalde vakjes bij de voorkeuren inzake cookies reeds aangekruist waren en dit geldt volgens overweging 32 van de AVG niet als toestemming. Er staat ook enkel een “OK” knop om cookies te aanvaarden, niet om ze te weigeren en tenslotte wordt de tekst van het cookievenster op de Franstalige versie van de website nog steeds in het Nederlands weergeven.

Wat zegt de wet?

Er zijn heel wat regels waar u hier rekening mee dient te houden. Om er voor te zorgen dat u dit soort fouten niet kan worden aangerekend, vooral wat betreft een cookiebanner op uw website, moeten deze vereisten gevolgd worden:

• Er moet dus toestemming worden verleend voor het plaatsen en raadplegen van cookies (Art. 129 WEC). De enige uitzondering zijn de strikt noodzakelijke
  • Volgens overweging 32 AVG kan deze toestemming worden uitgedrukt door het aanklikken van een vakje bij een bezoek aan een website. Reeds aangekruiste vakjes, stilzwijgen of inactiviteit gelden niet als toestemming.
  • De toestemming moet ook verleend worden met betrekking tot “een of meer specifieke doeleinden” (Art. 6, lid 1, a AVG). Voor elk doel moet er dus een afzonderlijke opt-in voorhanden zijn zodat de gebruiker een keuze heeft ten aanzien van elk van de afzonderlijke doeleinden.
  • De website moet de gebruiker ook informatie verschaffen over de manier waarop hij zijn wilsuiting ten aanzien van cookies kan uitdrukken en hoe hij alle, bepaalde of geen cookies mag aanvaarden.(Richtsnoeren van de Groep Gegevensbescherming)
• De uitzondering voor het vragen van toestemming geldt enkel voor strikt noodzakelijke statistische cookies vallen hier niet onder. Statistische cookies worden gebruikt om statistieken te verzamelen over bijvoorbeeld het bezoekersaantal van de website of de duur van de sessie enzovoorts. Cookies die eventueel volgens de website operators essentieel zijn voor het verstrekken van de dienst die de website aanbiedt, vallen nog steeds niet onder de definitie van “strikt noodzakelijk” zoals bedoeld in art. 129, 2° WEC.
  • “strikt noodzakelijk” moet geïnterpreteerd worden als enkel in het belang van de websitebezoekers en niet in het exclusief belang van de verstrekkers van de informatiedienst. (EDPB Richtsnoeren 2/2019)
  • Zolang een bepaalde cookie dus volgens de website operator essentieel is voor het verstrekken van zijn dienst maar dit niet per se absoluut noodzakelijk is om de door de website bezoeker gevraagde informatieve dienst te leveren, zijn cookies niet “strikt noodzakelijk”. Bepaalde statistische cookies zouden dus wel “strikt noodzakelijk” kunnen zijn als ze aan de voorwaarde voldoet.
• Het intrekken van de toestemming moet even gemakkelijk zijn als het geven: Volgens Art. 7.3 AVG heeft een gebruiker het recht om ten allen tijde zijn toestemming in te trekken en het intrekken ervan moet even eenvoudig zijn als het geven ervan. Als er dus bijvoorbeeld een “OK” knop is voor het geven van toestemming, zou er ook een “OK” knop moeten zijn voor het weigeren van toestemming. In ieder geval mag het niet te ingewikkeld en moeilijk zijn om toestemming te weigeren.
• Er moet ‘specifieke’ toestemming kunnen worden gegevens: Aangezien toestemming moet worden verleend met betrekking tot “een of meer specifieke doeleinden” moet er een meer specifieke keuze zijn dan een simpel “alles” of “niets”. Er moet wel niet per se apart toestemming worden gevraagd voor elke aparte cookie. De toestemming moet wel verkregen worden per soort Zo heb je functionele cookies (deze zijn vaak strikt noodzakelijk om de website gebruiksvriendelijk te maken), analytische of statistische cookies en ook nog tracking cookies van derden waardoor deze informatie kunnen verzamelen in plaats van de eigenaar van de website.