- Lid geworden
- 2 aug 2016
- Reacties
- 22.290
- Reactiescore
- 5.437
- Punten
- 713
- Leeftijd
- 67

Kan een website bij het plaatsen van trackingcookies zich
op gerechtvaardigd belang beroepen?
woensdag 26 augustus 2020, 14:03 door Arnoud Engelfriet, 0 reacties
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht?
Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Sinds een tijdje valt het me op dat er steeds meer cookie-popups zijn die schermen met de
term "gerechtvaardigd belang" als reden waarom ze cookies mogen plaatsen. Ook trackingcookies, terwijl dat toch
gewoon onder toestemming valt volgens de AVG? Waar komt die term vandaan en hoezo is het niet misleidend
om jouw commerciële belang op voorhand "gerechtvaardigd" te noemen?
Antwoord: Die term is inderdaad wat misleidend, zeker gezien hoe mensen de term nu gebruiken namelijk als
schaamlap voor alles dat ze maar willen. Maar 'gerechtvaardigd' betekent niet dat jij het goed moet vinden, het
betekent dat het binnen de wet past, van de wet te rechtvaardigen is.
In de kern komt het erop neer dat er situaties zijn waarin jij ook gewoon een belang hebt, bijvoorbeeld de
bescherming van jouw eigendom (een grondrecht, immers). Dat belang moet je dan kunnen beschermen, zoals
door cameratoezicht.
De AVG zegt dan dat dat mag, mits je maar zo veel mogelijk de privacy van passanten beschermt.
Daar zit dan een hele belangenafweging in, inclusief zo mogelijk een opt-out op basis van persoonlijke
omstandigheden. Maar in de kern zegt de AVG dus dat het mag, "in principe" zoals de AVG dat noemt.
Het lastige is natuurlijk wanneer een belang "gerechtvaardigd" is. De AVG gaat daar niet op in, en er is ook
geen jurisprudentie hierover van het Hof van Justitie. Onze eigen Autoriteit Persoonsgegevens publiceerde
in haar normuitleg hier wel een formulering over:
[Gerechtvaardigd] houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een
rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in
beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden.
De insteek is dus dat een belang ergens te herleiden moet zijn tot de wet, zoals in mijn voorbeeld van het
eigendomsrecht dat ik wil beschermen. Een ander belang zou kunnen zijn dat ik een rechtsvordering wil
instellen tegen jou, omdat jij mijn schadeclaim niet betaalt. Daarvoor heb ik jouw persoonsgegevens nodig,
en dat zou ik dan onder deze grondslag kunnen doen.
Bij al die cookiedingen wordt er geschermd met "direct marketing" als gerechtvaardigd belang, omdat de AVG
dat expliciet noemt als een voorbeeld. Daar zet de AP tegenover:
Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële
belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het
(koop)gedrag van (potentiële) klanten, etc
Over wat een "zuiver commercieel belang" is, heb ik het eerder gehad. Ik las dat als dat je "ik wil geld verdienen
anders ga ik failliet" niet als belang mag opvoeren, maar de AP lijkt het te interpreteren als "iedere motivatie
waarin 'ik wil geld verdienen' staat, is ongeldig". Dat gaat wel héél ver, met name omdat grondrechten wél als
gerechtvaardigd belang kunnen dienen en de vrijheid van ondernemerschap een grondrecht is. Net als de
vrijheid van meningsuiting; als ik jouw privacy mag schenden door iets te publiceren, waarom dan niet door
jou te tracken?
Specifiek bij cookies werkt dit trouwens bijna nooit. De Telecommunicatiewet eist toestemming voor ieder
plaatsen of uitlezen van informatie, ongeacht wat de AVG eventueel zegt over de persoonsgegevens-aspecten
van die informatie. Dus een cookie plaatsen of een remote software update uitvoeren mag alleen met toestemming.
De Nederlandse uitzondering daarop is dat cookies die geen of geringe privacy-inbreuk maken, géén
toestemming nodig hebben. Daarmee kun je dus bijvoorbeeld third-party analytics inzetten, hoewel daar
trackingcookies bij komen kijken. Als je dat goed dichttimmert, dan is dat legaal zonder toestemming - en dán kun
je je dus op gerechtvaardigd belang beroepen. Ik zou dus zeggen vrijheid van informatiegaring -
weten hoe je site bezocht wordt.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt.
Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites
van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken,
De wet op internet en Security: Deskundig en praktisch juridisch advies.
Bron: