Zijn uw cookiebanners AVG-proof?
Mediahuis, dat in Nederland onder andere De Telegraaf uitgeeft, moet de cookiebanners op een aantal van haar Belgische websites aanpassen. Het is voor gebruikers makkelijker om cookies te accepteren dan om ze te weigeren. Doet het dat niet, dan volgt er een boete van € 25.000 per website per dag.
Hoewel Mediahuis in Nederland soortgelijke cookiebanners gebruikt, zoals bij De Telegraaf, is het nog onduidelijk of de cookiebanners op de Nederlandse websites ook aangepast zullen worden. De Algemene Verordening Gegevensbescherming (AVG) geldt immers in heel Europa, maar er is nog geen bevestiging van aanpassingen aan de Nederlandse websites. De klacht van de Belgische Gegevensbeschermingsautoriteit (GBA) is dat het voor gebruikers makkelijker is om cookies te accepteren dan om ze te weigeren. Bezoekers kunnen alle cookies, inclusief trackingcookies van derden, met één klik accepteren. Willen ze de cookies echter weigeren, dan moeten ze extra stappen ondernemen. Volgens de GBA mogen niet-noodzakelijke cookies alleen worden geplaatst wanneer toestemming op een vrije, specifieke, ondubbelzinnige en geïnformeerde manier wordt gegeven. Dat is hier niet het geval, omdat cookies weigeren moeilijker is dan accepteren. Bovendien is de toestemming volgens de GBA niet ondubbelzinnig, omdat gebruikers pas na het doorklikken ontdekken dat ze cookies kunnen weigeren.
De AVG kent geen expliciete beschrijving van hoe cookiebanners vormgegeven dienen te worden, omdat de wet bewust 'technologieneutraal' is opgesteld. Wat wel vastligt, is dat de toestemming voor het verwerken van persoonsgegevens op een geïnformeerde manier moet worden verkregen. Toezichthouders hebben herhaaldelijk aangegeven dat een ‘alles weigeren’-knop net zo prominent en duidelijk moet worden weergegeven als de ‘alles accepteren’-knop.
De Nederlandse Autoriteit Persoonsgegevens (AP) heeft een eerder dit jaar een boete van € 600.000 euro opgelegd aan AS Watson (het bedrijf achter drogisterij Kruidvat) omdat zij volgden met tracking cookies, zonder dat men dat wist of daarvoor toestemming hadden gegeven.
De recente actie van de GBA komt doordat zij het afgelopen jaar meer aandacht is gaan besteden aan het gebruik van cookies.
Een van de klachten van de GBA tegen Mediahuis is dat de cookiebanners misleidend zijn door het gebruik van kleuren. De 'Accepteren'-knop is groen, terwijl de knop om door te klikken grijs is. Volgens de GBA moeten deze knoppen gelijkwaardig worden weergegeven, zowel qua kleur als qua design. Daarnaast uitte de GBA kritiek op de moeilijkheid om eenmaal gegeven toestemming in te trekken, waarbij meerdere kliks nodig waren om cookies te weigeren, terwijl accepteren met slechts één klik kon.
Wanneer voldoet de cookiebanner aan de AVG?
De Nederlandse Autoriteit Persoonsgegevens geeft meer uitleg over het onderwerp, zoals deze belangrijke 9 vuistregels voor het creëren van een heldere cookiebanner:
- Geef informatie over het doel
- Zet vinkjes niet automatisch aan
- Gebruik duidelijke tekst
- Zet verschillende keuzes op één laag
- Verberg bepaalde keuzes niet
- Laat iemand niet extra klikken
- Gebruik geen onopvallende link in de tekst
- Wees helder over het intrekken van toestemming
- Verwar toestemming niet met gerechtvaardigd belang
Toezicht AP op cookiebanners
Organisaties moeten goed met persoonsgegevens omgaan. De Autoriteit Persoonsgegevens (AP) houdt daar toezicht op en doet er regelmatig onderzoek naar. Als een organisatie zich niet aan de regels houdt, kan de AP ingrijpen. Ook als een organisatie met cookies persoonsgegevens verwerkt en daar niet op de juiste manier toestemming voor vraagt. Bijvoorbeeld door websitebezoekers te misleiden. Vanaf 2024 gaat de AP vaker onderzoeken hoe organisaties toestemming vragen voor cookies.
Heeft u geen tijd om de handleiding van de Autoriteit Persoonsgegevens door te nemen, of twijfelt u of uw cookiebanner AVG-proof is? Wij adviseren uiteraard graag hierover. Neem vrijblijvend contact met ons op voor de mogelijkheden.