Kan een website bij het plaatsen van trackingcookies zich op gerechtvaardigd belang beroepen?

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Reacties
22.290
Reactiescore
5.437
Punten
713
Leeftijd
67
detail.png

Kan een website bij het plaatsen van trackingcookies zich
op gerechtvaardigd belang beroepen?

woensdag 26 augustus 2020, 14:03 door Arnoud Engelfriet, 0 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht?
Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Sinds een tijdje valt het me op dat er steeds meer cookie-popups zijn die schermen met de
term "gerechtvaardigd belang" als reden waarom ze cookies mogen plaatsen. Ook trackingcookies, terwijl dat toch
gewoon onder toestemming valt volgens de AVG? Waar komt die term vandaan en hoezo is het niet misleidend
om jouw commerciële belang op voorhand "gerechtvaardigd" te noemen?

Antwoord: Die term is inderdaad wat misleidend, zeker gezien hoe mensen de term nu gebruiken namelijk als
schaamlap voor alles dat ze maar willen. Maar 'gerechtvaardigd' betekent niet dat jij het goed moet vinden, het
betekent dat het binnen de wet past, van de wet te rechtvaardigen is.

In de kern komt het erop neer dat er situaties zijn waarin jij ook gewoon een belang hebt, bijvoorbeeld de
bescherming van jouw eigendom (een grondrecht, immers). Dat belang moet je dan kunnen beschermen, zoals
door cameratoezicht.
De AVG zegt dan dat dat mag, mits je maar zo veel mogelijk de privacy van passanten beschermt.

Daar zit dan een hele belangenafweging in, inclusief zo mogelijk een opt-out op basis van persoonlijke
omstandigheden. Maar in de kern zegt de AVG dus dat het mag, "in principe" zoals de AVG dat noemt.

Het lastige is natuurlijk wanneer een belang "gerechtvaardigd" is. De AVG gaat daar niet op in, en er is ook
geen jurisprudentie hierover van het Hof van Justitie. Onze eigen Autoriteit Persoonsgegevens publiceerde
in haar normuitleg hier wel een formulering over:

[Gerechtvaardigd] houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een
rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in
beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden.


De insteek is dus dat een belang ergens te herleiden moet zijn tot de wet, zoals in mijn voorbeeld van het
eigendomsrecht dat ik wil beschermen. Een ander belang zou kunnen zijn dat ik een rechtsvordering wil
instellen tegen jou, omdat jij mijn schadeclaim niet betaalt. Daarvoor heb ik jouw persoonsgegevens nodig,
en dat zou ik dan onder deze grondslag kunnen doen.

Bij al die cookiedingen wordt er geschermd met "direct marketing" als gerechtvaardigd belang, omdat de AVG
dat expliciet noemt als een voorbeeld. Daar zet de AP tegenover:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële
belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het
(koop)gedrag van (potentiële) klanten, etc


Over wat een "zuiver commercieel belang" is, heb ik het eerder gehad. Ik las dat als dat je "ik wil geld verdienen
anders ga ik failliet" niet als belang mag opvoeren, maar de AP lijkt het te interpreteren als "iedere motivatie
waarin 'ik wil geld verdienen' staat, is ongeldig". Dat gaat wel héél ver, met name omdat grondrechten wél als
gerechtvaardigd belang kunnen dienen en de vrijheid van ondernemerschap een grondrecht is. Net als de
vrijheid van meningsuiting; als ik jouw privacy mag schenden door iets te publiceren, waarom dan niet door
jou te tracken?

Specifiek bij cookies werkt dit trouwens bijna nooit. De Telecommunicatiewet eist toestemming voor ieder
plaatsen of uitlezen van informatie, ongeacht wat de AVG eventueel zegt over de persoonsgegevens-aspecten
van die informatie. Dus een cookie plaatsen of een remote software update uitvoeren mag alleen met toestemming.

De Nederlandse uitzondering daarop is dat cookies die geen of geringe privacy-inbreuk maken, géén
toestemming nodig hebben. Daarmee kun je dus bijvoorbeeld third-party analytics inzetten, hoewel daar
trackingcookies bij komen kijken. Als je dat goed dichttimmert, dan is dat legaal zonder toestemming - en dán kun
je je dus op gerechtvaardigd belang beroepen. Ik zou dus zeggen vrijheid van informatiegaring -
weten hoe je site bezocht wordt.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt.
Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites
van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken,
De wet op internet en Security: Deskundig en praktisch juridisch advies.



Bron:
 
E

Ex forumlid 201

Guest
In hetzelfde kader 'cookiewalls'

AP zei:
Mag een organisatie een cookiewall gebruiken?
Nee, dat mag niet. Op grond van de Algemene verordening gegevensbescherming (AVG) is een cookiewall (cookiemuur) niet toegestaan. Dat komt omdat u met een cookiewall géén geldige toestemming kunt krijgen van uw bezoekers of gebruikers voor het plaatsen van tracking cookies.
Toestemming voor tracking cookies
U moet toestemming vragen om tracking cookies te plaatsen. Dit geldt als u een website heeft, maar ook bij apps of andere diensten. Met tracking cookies kunt u het (internet)gedrag van mensen door de tijd heen volgen. Vaak zijn dit advertentiecookies.
Cookiewall
Een cookiewall houdt in dat mensen die een website willen bezoeken of app willen gebruiken, de vraag krijgen om cookies te accepteren voordat zij toegang krijgen tot de website. Geven zij geen toestemming, dan krijgen zij geen toegang.
Let op: het verbod op cookiewalls ziet niet alleen op het plaatsen van cookies. Niet alleen cookies vallen onder deze beschrijving, maar ook daarmee vergelijkbare technieken waarvoor eveneens toestemming gevraagd moet worden. Dit zijn technieken zoals Javascripts, Flash cookies, HTML5-local storage en/of web beacons.
Geldige toestemming
De AVG stelt strenge eisen aan geldige toestemming. Een belangrijke eis is dat mensen vrij moeten zijn om toestemming te geven. En dus ook om toestemming te weigeren. De AVG ziet toestemming niet als ‘vrij’ als iemand geen echte of vrije keuze heeft. Of als diegene toestemming niet kan weigeren zonder nadelige gevolgen.
Bij een cookiewall hebben websitebezoekers geen echte of vrije keuze. Weliswaar kunnen ze tracking cookies weigeren, maar dat kan niet zonder nadelige gevolgen. Want tracking cookies weigeren, betekent dat ze geen toegang krijgen tot de website. Daarom zijn cookiewalls onder de AVG verboden.

 

Black Tiger

Moderator
Team lid
Lid geworden
6 aug 2018
Reacties
4.552
Reactiescore
995
Punten
468
Locatie
State Penitentiary
Website
www.satellitefun.org
Cookiewalls mogen inderdaad niet, toch zijn er nog wel wat sites die zich daar niets van aan trekken.
Het wordt echter minder. Geenstijl deed dat in het begin ook maar heeft dat inmiddels ook veranderd.
 
Bovenaan Onderaan