Zekere onzekerheid, of andersom
De eerste 100 dagen van de AVG zitten erop. Wie de afkorting nog niet kent, kijk eerst eens hier, nadat stof en spinrag uit ogen en oren zijn gewreven. De berichten op internet over de AVG / GDPR en Data Privacy waren nauwelijks te volgen, ondanks de zomermaanden. Google Alert gaf tientallen hits per alert per dag, alleen al op Nederlandstalige websites. De toekomst is zeker voor wat betreft de regels die vrijwel identiek zijn aan de oude Europese Richtlijn 95/46.
Onzekerheid is er over de nieuwe bepalingen in de AVG – en vooral de reikwijdte daarvan. Illustratief is de discussie over cookies en de totaal verschillende manier waarop websites hiermee omgaan. Dit zal nog lang duren, minimaal tot de e-Privacy Verordening in werking is getreden. Misschien nog langer als jurisprudentie uitblijft. Dat zit ongeveer zo.
Weerbarstige wetgeving
De AVG is een Lex Generalis, oftewel een algemene wet. De e-Privacy Verordening is een Lex Specialis, oftewel een specifieke (meer gedetailleerde) wet. Hierover is eerder geschreven op deze website. De algemene wet geeft basisregels, de specifieke wet vult de algemene wet aan. De een kan feitelijk niet zonder de ander, maar in heel Europa – en ver daarbuiten – is men het toch aan het proberen. De AVG is aangetreden in vol ornaat, terwijl de e-Privacy Verordening nog niet eens in luiers rondloopt. Zoals het er nu naar uitziet, zal de e-Privacy Verordening ergens eind 2021 of in 2022 in werking treden. Gelukkig is de e-Privacy Richtlijn 2002/58 (nog) van kracht, waarin (nog steeds) bepalingen over cookies zijn opgenomen.
Een Europese Richtlijn heeft geen rechtstreekse werking, daarvoor is lokale wetgeving nodig. De e-Privacy Richtlijn 2002/58 heeft in Nederland geleid tot wijziging van de Telecommunicatiewet 1998 (TW). Dit is gebeurd in 2012, opnieuw in 2015 en weer in 2018. De Aanpassingswet AVG van 10 juli 2018 heeft de verwijzingen naar de Wet Bescherming Persoonsgegevens vervangen door een verwijzing naar de AVG. Artikel 11.7a TW is het meest van belang, met name lid 1 tot en met 3.
- Het eerste lid van het artikel gaat over het opslaan van of toegang krijgen tot “informatie” in apparatuur van een gebruiker, via “een elektronisch communicatienetwerk”. Dat mag als de gebruiker goed en volledig is geïnformeerd (vooral over het doel) en toestemming heeft gegeven. Let op, er staat “toestemming” en niet “uitdrukkelijke toestemming”.
- Het tweede lid stelt dat deze voorwaarden ook gelden als “informatie” op een andere manier wordt gebruikt dan via “een elektronisch communicatienetwerk” waarmee hetzelfde wordt bereikt.
- Het derde lid geeft twee uitzonderingen, waarbij informeren en toestemming vragen niet meer nodig is. Dat is allereerst het geval als er alleen maar “communicatie” wordt uitgevoerd over “een elektronisch communicatienetwerk”. Ten tweede als de informatie noodzakelijk is voor de dienst die wordt geleverd aan de betrokkene, of geringe gevolgen heeft.
Heldere uitgangspunten op het eerste oog. Of toch niet.
Cookies, cookies en cookies
Cookies zijn er eigenlijk maar in twee versies, de essentiële (technisch, functioneel) en niet essentiële (analytisch). Verder zijn er natuurlijk nog allerlei andere manieren om surfgedrag te volgen en te analyseren, zoals pixels, web beacons en andere trackers. Die worden feitelijk hetzelfde behandeld als (analytische) cookies voor de werking van artikel 11.7a TW.
Heel grof gezegd, essentiële cookies voeren meestal alleen maar communicatie uit over een netwerk. Informeren en toestemming is daarvoor dus niet nodig. Toestemming voor alle niet-essentiële cookies was al vereist en dat blijft zo. Die hebben namelijk vaak toegang tot informatie in apparatuur. Analytische cookies kunnen hierop overigens een uitzondering zijn, afhankelijk van de manier waarop die worden gebruikt.
Belangrijk is dat het gebruik van analytische cookies nu is gekoppeld aan de voorwaarden voor toestemming uit de AVG. Dat geldt voor de toestemming zelf (actieve handeling voorafgaand aan verwerking, duidelijke taal, mogelijkheid tot intrekken, register, toestemming per doel) maar ook voor het informeren in algemene zin (identiteit, persoonsgegevens, doel, doorgeven aan derden, bewaartermijn, rechten inclusief overdracht, klachten). Toestemming is immers een grond voor rechtmatige verwerking van persoonsgegevens. Dit moet dus leiden tot het geven van informatie, dat staat in de AVG. Het ongemak wordt al voelbaar.
De onopgeloste vergelijking
Een van de doelen van de e e-Privacy Verordening is het (beter) reguleren van cookies. De Verordening had op 25 mei 2018 in werking moeten treden, dat is dus niet gelukt. Het feit dat de deadline niet is gehaald heeft alles te maken met meningsverschillen, over uiteenlopende onderwerpen. Niet in de laatste plaats over het geven van toestemming voor cookies. We moeten dus terugvallen op de AVG, die helaas niet is bedoeld of geschreven voor een juiste omgang met cookies. Het is dan ook ernstig de vraag hoe de vereisten van de AVG zich verhouden tot cookies. Een aantal voorbeelden.
De actieve handeling om toestemming te verlenen is op zich duidelijk. Het is geen onbekend gegeven in het Data Privacy recht en de e-Privacy Richtlijn en de TW spreken ook al over toestemming. De reikwijdte is een ander verhaal. De memorie van toelichting op de wetswijziging van de TW van 2015 (Kamerstukken 33 902, pagina 13, paragraaf 4.2.2) stelt bijvoorbeeld dat toestemming voor cookies ook kan worden afgeleid uit het klikken op andere onderdelen van een website. Er moet dan wel bij het bezoek aan de website direct duidelijk zijn aangegeven dat verder gebruik van de website wordt beschouwd als toestemming. Uitdrukkelijke toestemming is (nog) geen vereiste, dus deze mogelijkheid kan (mogelijk) ook onder toepassing van de AVG voldoende zijn. Tenminste totdat de e-Privacy verordening er is.
Het intrekken van toestemming wordt al lastiger. Cookies worden immers lokaal opgeslagen, op eigen apparatuur. Het verwijderen daarvan is relatief simpel. De (mogelijke) persoonsgegevens die op basis van eerder geplaatste cookies zijn verstuurd naar de website laten zich alleen niet zomaar verwijderen. Veel websites registreren IP adressen van bezoekers. Het is daarmee voor de website nog niet mogelijk om te achterhalen wie de gebruiker is (geweest), zonder adres, telefoonnummer of email.
Het controleren van de identiteit van degene die om verwijdering verzoekt is ook lastig. Sommige websites proberen dit op te lossen door de gebruiker te vragen een kopie van de cookie mee te sturen. Dat is nauwelijks een oplossing, omdat meerdere personen in een huishouden gebruik kunnen maken van een PC. Een los IP adres zegt dan niets. Los hiervan weet een website niet dat een gebruiker zijn toestemming (impliciet) heeft ingetrokken, door alle cookies te verwijderen. Er is dus een apart verzoek noodzakelijk.
Het is ook de vraag of de gebruiker weet, aan wie hij het verzoek moet richten. Er kunnen immers ook Third Party cookies zijn geplaatst, dus cookies van andere websites of leveranciers van diensten – met eigen privacy statements. Die cookies zouden moeten worden vermeld in een privacy statement. Dit gebeurt “gelukkig” steeds meer. Helaas komt het de leesbaarheid en vooral transparantie vaak niet ten goede.
Het uitoefenen van rechten door de gebruiker is (aldus) ook lastig, omdat de persoon niet gemakkelijk kan worden geïdentificeerd.
De AVG toepassen op cookies gaat dus niet hetzelfde opleveren als toepassing van de e-Privacy Verordening. Onduidelijkheid en onzekerheid alom. Maar hoe dan verder.
Pseudo oplossingen
De praktijk laat inmiddels diverse oplossingen zien voor deze problematiek. Een zeer vaak voorkomende is een oude bekende, de cookie muur. De website is niet te benaderen, zonder dat toestemming wordt verleend. Schreeuwende teksten, zelfs met verwijzing naar de wet, dwingen tot acceptatie. Een Amerikaans alternatief is het blokkeren van IP adressen uit Europa. Geen toegang meer, punt. Beide oplossingen zijn natuurlijk geen oplossing, sterker nog in de toekomst mogelijk zelfs verboden handelingen.
De European Data Protection Board (EDPB), sinds 25 mei 2018 de opvolger van de Article 29 Working Party, heeft in de Opinion 01/2017 on the Proposed Regulation for the e-Privacy Regulation zelfs opgeroepen tot een algeheel verbod op tracking walls (pagina 15 “points of grave concern” no. 20). De verwoording door de EDPB raakt de kern uitstekend.
Given the fundamental importance of internet in enabling the fundamental right of freedom of expression, including the right to access information, individuals’ ability to access content online should not be dependent on the acceptance of the tracking of activities across devices and websites/apps. The future e-Privacy Regulation should therefore specify that access to content in for example websites and apps may not be made conditional on the acceptance of such intrusive processing activities, regardless of the tracking technology applied, such as cookies, device fingerprinting, injection of unique identifiers or other monitoring techniques.
Volhard in het oude en het goede
De beste oplossing voor het analyseren van website bezoekers – totdat de e-Privacy Verordening in werking is getreden – is dan ook (blijven) doen wat vroeger ook al moest. Technische en functionele cookies gewoon plaatsen, hooguit vermelden in een (eenmalige alstublieft) pop up of privacy statement. Analytische cookies alleen plaatsen op basis van toestemming (tenzij). Bij voorkeur door een actieve handeling, als dat niet gaat heldere informatie geven dat die toestemming is gelegen in doorgaan met het gebruik van de website. Altijd tekst en uitleg in een goed privacy en/of cookie statement. In vredesnaam, geen cookie muur.
Focus op het echte probleem
Het allerbelangrijkste punt hierbij is dat de blik niet (alleen) moet worden gericht op de omgang met cookies. Er zijn vele tientallen andere AVG gerelateerde onderwerpen, die belangrijker zijn en al ingeregeld zouden moeten zijn sinds 25 mei 2018. Bijvoorbeeld de verantwoordingsplicht, rechtmatige verwerking en bewaartermijnen. Waar en hoe wordt vastgelegd dat wordt voldaan aan de AVG, wat is de reden voor en noodzaak tot verwerking en wanneer wordt er opgeschoond. Die regels gelden voor de omgang met klanten en leveranciers, maar ook intern voor medewerkers en organisatie. Het implementeren daarvan moet een veel hogere prioriteit krijgen dan het inregelen van cookies of het plaatsen van een privacy statement, als het nog niet is gebeurd. Implementatie moet dan uiteraard z.s.m. alsnog.