Door Tijs Hofmans

Nieuwscoördinator

Cookiemuur schendt de privacywet - Wat betekent de Belgische uitspraak?

03-02-2022 • 16:48

42

titel

Het leek aanvankelijk een wat non-descript nieuwtje, zeker voor Nederlandse lezers. "Advertentiebrancheorganisatie krijgt 250.000 euro AVG-boete voor cookiepop-up", berichtte Tweakers woensdag. Een AVG-boete is inmiddels niet nieuw, 250.000 euro is geen uitzonderlijk hoog bedrag, maar toch kan de uitspraak verregaande gevolgen hebben voor hoe advertenties je in de toekomst mogen tracken. De manier waarop de gehate cookiemuur op heel veel websites wordt weergegeven is namelijk niet meer toegestaan.

Wat is de uitspraak?

Laten we beginnen bij het begin: de uitspraak zelf. Die werd deze week gedaan door de Gegevensbeschermingsautoriteit, de Belgische tegenhanger van de Autoriteit Persoonsgegevens en de privacytoezichthouder in dat land. De waakhond legt een boete op van 250.000 euro aan IAB Europe. Dat staat voor Interactive Advertising Bureau. IAB is de grootste Europese brancheorganisatie voor adverteerders, marketingbureaus, mediabedrijven, eigenlijk voor iedereen die ergens iets te maken heeft met advertenties. Tweakers' moederbedrijf DPG Media is bijvoorbeeld ook aangesloten bij IAB. De organisatie krijgt de boete voor het overtreden van de Europese privacywet vanwege een tool die het jaren geleden heeft gebouwd en die inmiddels heel veel wordt gebruikt door die tientallen organisaties die erbij betrokken zijn.

Die tool is het Transparency & Consent Framework. De adverteerdersbranche bedacht deze een paar jaar geleden toen de AVG eraan zat te komen. Adverteerders zagen de bui al hangen: de AVG betekent toestemming vragen voor alles waarmee je persoonsgegevens verzamelt, en trackingcookies vallen daar ook onder. De AVG zou dan voor chaos kunnen zorgen. Iedere website, iedere adverteerder, iedereen die een cookie zou willen plaatsen zou dan zijn eigen systeem moeten bedenken om toestemming te vragen, en dan ook nog eens op een privacyvriendelijke manier. Dat zou een hoop gedoe zijn voor zowel internetgebruikers als voor de adverteerders. Daarom bedacht de advertentiebranche een tool waarmee cookietoestemming in één keer kan worden geregeld volgens AVG-regels. Op 25 april 2018, precies een maand voor de AVG actief in werking trad, werd versie 1.1 van de tool beschikbaar.

TCF

Tool is eigenlijk het verkeerde woord; zoals de naam al verklapt is TCF een framework. Het is dus geen kant-en-klaar systeem dat je kunt embedden op je site. Brancheorganisatie IAB beschrijft het als volgt: "TCF maakt een omgeving aan waarin website-uitgevers hun bezoekers kunnen vertellen welke data wordt verzameld en hoe hun website en de bedrijven met wie ze samenwerken van plan zijn het te gebruiken." Maar het laat zich heel makkelijk met een praktisch voorbeeld uitdrukken: die cookiepop-ups waarin je handmatig kunt bepalen van welke adverteerder je wel en geen trackingcookies wil zien, zijn in veel gevallen het resultaat van het TCF. Als je een website bouwt en je wil zo'n cookiemuur opzetten, dan kun je het framework gebruiken om een pop-up te maken. Mocht je de vele drieletterafkortingen in dit artikel nog niet verwarrend genoeg vinden dan kan daar nog een vierde bij. Zo'n pop-up heet in jargon een CMP of Consent Management Platform, maar laten we die voor het gemak maar 'de cookiepop-up' noemen.

Privacy

Het framework werd niet alleen gebouwd voor het gemak van adverteerders. Privacy is er minstens zo'n belangrijke pijler in. Dat framework moet immers voldoen aan de eisen van de privacywet, en zo heeft de advertentiebranche het ook opgezet. Technisch werkt dat als volgt: als een gebruiker zijn cookiekeuzes in een pop-up doorgeeft wordt daar een string van gemaakt, een anonieme reeks tekens waarin staat dat de gebruiker bijvoorbeeld wél cookies van Advertentiebedrijf A wil, maar niet van Advertentiebedrijf B. De string wordt vervolgens opgeslagen in een cookie, euconsent-v1. Die string en cookie zijn vervolgens via het IP-adres van een bezoeker te herleiden naar een individuele gebruiker. Zo kunnen websites X en Y zien of een nieuwe bezoeker getrackt wil worden door Advertentiebedrijven A of B.

Cookepro
Het TCF is een manier om cookievoorkeuren te regelen

Het idee achter het framework is dat gebruikers anoniem zijn voor de adverteerders en dat ze een duidelijke keus hebben in welke mate ze worden gevolgd. Een nobel plan om aan de AVG te voldoen, maar helaas niet goed genoeg, zegt de Belgische toezichthouder nu. Sterker nog, het TCF anonimiseert advertentiekijkers helemaal niet. "Het idee dat een gebruiker niet identificeerbaar is, terwijl het doel van dit proces juist is om hen te identificeren, is een contradictio in terminis", schrijft de waakhond.

Afstraffing

Er zijn volgens de privacytoezichthouder meerdere problemen met het framework. We lopen ze stap voor stap door.

Rechtmatigheid
Brancheorganisatie IAB gooit de tool over de schutting bij media en adverteerders en zegt dan 'kijk maar wat je ermee doet'. In de ogen van de IAB zijn zij daarmee geen partij in het geheel. Binnen de privacywet geldt voor het verwerken van gegevens dat iemand de gegevensverwerker is. Soms kan dat proces worden uitbesteed. In dat geval is er een verwerker en een verwerkingsverantwoordelijke. Een voorbeeld is dat je als baas je werknemers met kerst een leuk bierpakketje wil sturen, en je daar een extern bezorgbedrijfje voor inhuurt. Zodra je dat bezorgbedrijf een adressenlijst geeft van die medewerkers wordt het bezorgbedrijf de verwerker, maar ben je als baas nog steeds de verwerkingsverantwoordelijke. Dat betekent dat jij ook aansprakelijk kan worden gesteld voor misbruik.

Dat is wat de Belgische toezichthouder nu concludeert. Die zegt dat IAB de verwerkingsverantwoordelijke is, en dus de partij die de boete krijgt én aan allerlei eisen moet voldoen. De IAB heeft namelijk de api ontwikkeld achter het mechanisme, en legt 'bindende voorschriften op' aan deelnemers die het framework willen gebruiken. Dat is flink schrikken voor IAB, die in een reactie zegt zich absoluut niet in die conclusie te kunnen vinden. Daarbij beroept de organisatie zich op versie 2.0 van het TCF, dat in 2019 van start ging. Die versie bracht verbeteringen met zich mee waarvoor IAB vooraf met verschillende nationale privacytoezichthouders om tafel is gaan zitten.

De brancheorganisatie zag zichzelf niet als partij en had daarom geen grondslag voor het verwerken van cookiesDat brengt het probleem van de grondslag met zich mee. Als iemand gegevens verwerkt, is daar onder de AVG een grondslag voor nodig. Die had IAB niet. Logisch, want de organisatie zag zichzelf niet als verwerkingsverantwoordelijke en vond dus niet dat die nodig was. Wel verwijst de brancheorganisatie naar de grondslag 'gerechtvaardigd belang', maar dat zou dan gelden voor de deelnemende advertentiepartijen die gebruikmaken van het TCF en niet voor zichzelf.

Transparantie
Een tweede probleem is fundamenteler. Dat gaat over de inhoud van cookiepop-ups. In theorie kan een gebruiker via het TCF aangeven waar zijn data wel of niet voor mag worden gebruikt, of wanneer die bijvoorbeeld mag worden doorgestuurd. Maar de praktijk is natuurlijk anders, weet iedereen die wel eens op internet komt. In de praktijk kiezen websitebezoekers door dark patterns en een overdaad aan adverteerdersnamen toch wel voor een alles-of-niets-oplossing.

"De informatie die via de CMP-interface wordt verstrekt, is voor de gebruikers te algemeen en te vaag om de aard en de reikwijdte van de verwerking te kunnen begrijpen", zegt de waakhond. "Daarom is het voor gebruikers moeilijk om controle over hun persoonsgegevens te houden." Met andere woorden: de dark patterns die cookiepop-ups nu vaak hebben zijn veel te vaag. Dat was al wel duidelijk voor, nogmaals, iedereen die wel eens zo'n pop-up heeft gezien, maar de GBA zegt én bestraft dat nu ook.

Verantwoordingsplicht en veiligheid

Gronslagen
De AVG kent zes mogelijke grondslagen om gegevens te verwerken.

De Gegevensbeschermingsautoriteit stelt ook dat er 'een gebrek aan organisatorische en technische maatregelen door ontwerp en door standaardinstellingen' is. Gebruikers kunnen bij het framework bijvoorbeeld geen keuzes intrekken en niet controleren of hun gegevens worden gebruikt op de manier waarmee ze akkoord zijn gegaan.

En dan is er nog een aantal andere kleine problemen die allemaal terug te voeren zijn op het feit dat IAB zichzelf niet als verwerkingsverantwoordelijke ziet. Als verwerkingsverantwoordelijke moet je namelijk een Functionaris Gegevensbescherming hebben, een register van verwerkingsactiviteiten bijhouden, en een DPIA of Data protection impact assessment moet uitvoeren. Alle drie die dingen zijn niet gebeurd.

Boete

De IAB krijgt vanwege die meerdere overtredingen een administratieve boete van 250.000 euro. Maar dat geldbedrag maakt niet de grootste impact. Dat zijn de maatregelen die IAB moet toepassen. IAB krijgt twee maanden de tijd om een actieplan aan de GBA voor te leggen, waarin de brancheorganisatie uitlegt hoe het alsnog aan de AVG wil voldoen. Keurt de GBA dit plan goed, dan krijgt IAB zes maanden de tijd om die veranderingen door te voeren.

Ten eerste moet de organisatie een goede rechtsgrond gaan zoeken voor de manier waarop het trackingcookies mag plaatsen via het TCF. De toezichthouder maakt daarin een belangrijke kanttekening: het 'gerechtvaardigd belang' telt niet. Dat is een beetje een catch-all-term binnen de AVG. Het gerechtvaardigd belang betekent eigenlijk dat je als bedrijf zegt: ''deze verwerking van persoonsgegevens is zó belangrijk dat dat gewoon nodig is." Daar kan veel onder vallen, en het is aan een toezichthouder om te toetsen of een belang daadwerkelijk gerechtvaardigd is. De GBA zegt nu bij voorbaat al dat het belang dat bij het TCF niet is. Dat maakt het straks een stuk moeilijker voor de advertentiebranche om wél een goede reden te vinden om trackingcookies te mogen plaatsen. Ook de aangesloten bedrijven, media en websites mogen zich daar niet op baseren.

Daarnaast moet IAB gaan controleren of die aangesloten bedrijven op zichzelf voldoen aan de AVG. Die bedrijven moeten dus goede processen hebben ingericht waarmee klanten hun AVG-rechten kunnen uitvoeren. Denk daarbij aan een loket waar ze hun gegevens kunnen inzien of laten verwijderen.

IAB Europe kan nog wel in beroep gaan tegen de boete. De organisatie heeft gezegd met de GBA te willen samenwerken om een plan op te stellen dat wel voldoet aan de privacywet. Over de boete zelf zegt IAB niks, maar de organisatie bestrijdt wel dat het verwerkingsverantwoordelijke zou zijn en zegt daar ook juridisch tegenin te willen gaan.

Wat betekent de uitspraak?

De grote vraag blijft staan wat de uitspraak precies betekent, specifiek voor 'de cookiemuur'. Vooropgesteld: nee, die wordt niet per direct verboden. In de eerste plaats slaat de uitspraak niet op iedere cookiemuur en -pop-up in zijn algemeenheid, maar specifiek op cookiemuren die gebruikmaken van het Transparency & Consent Framework.

Bestgetest cookiewallHet is moeilijk te zeggen hoeveel websites er gebruikmaken van een cookiepop-up op basis van het TCF. Neem alleen Tweakers al als voorbeeld. Moederbedrijf DPG is bij brancheorganisatie IAB aangesloten, maar de cookiemuur van Tweakers heeft een eigen cookie-implementatie waarbij we geen gebruik maken van het TCF.

Sommige organisaties schatten het gebruik van het framework hoog in. De Irish Council for Civil Liberties is een van de vele burgerrechtenorganisaties die een klacht indiende bij de nationale toezichthouder over het TCF. De stichting schreef in die aanklacht dat TCF in Europa door zeker tachtig procent van alle websites zou worden gebruikt, maar dat werd via een steekproef in 2019 uitgezocht en is moeilijk met harde cijfers te onderbouwen.

In Nederland diende Bits of Freedom in 2019 ook een handhavingsverzoek in bij de Autoriteit Persoonsgegevens. De organisatie zegt nu blij te zijn met de uitspraak in België. "Deze uitspraak is winst! Niet voor ons, maar voor alle internetgebruikers in heel Europa", schrijft de digitaleburgerrechtenorganisatie. "Het betekent dat de manier waarop online reclame wordt gemaakt op de schop moet."

Nieuwe implementatie

Maar of dat op stel en sprong gaat gebeuren, is maar de vraag. Het TCF is niet op zichzelf illegaal verklaard. Alleen de huidige implementatie daarvan mag niet. Ondertussen heeft de advertentie-industrie minimaal acht maanden de tijd gekregen om wél aan de wet te voldoen, waar de GBA of een andere nationale toezichthouder vervolgens opnieuw over moet oordelen.

Er zijn verschillende concrete plannen die doorgevoerd kunnen worden als IAB het framework wil kunnen blijven aanbieden. De manier waarop een aangemaakte string in een cookie wordt geplaatst zal waarschijnlijk niet verdwijnen, maar wel veranderen. Hoe, dat is nog onduidelijk. Mogelijk kan een (anti)trackingverzoek nog verder worden geanonimiseerd, maar tussen de regels in het GBA-boetebesluit door lees je dat die denkt dat dat niet mogelijk is. Een andere optie is om op een andere manier toestemming te verkrijgen om zo'n trackingcookie te mogen plaatsen. Dat kan door expliciete toestemming van een bezoeker, wat de meest waarschijnlijke grondslag lijkt te zijn die nog kan worden gebruikt door een adverteerder. De vraag is dan wanneer een gebruiker 'toestemming' geeft - de huidige cookiepop-up pretendeert gebruikers ook een vrije keus te geven, maar daarvan zegt de GBA nu heel duidelijk dat die keus helemaal niet vrij is.

'Onverenigbaar met de AVG'

Bits of Freedom denkt dat het TCF nooit aan de AVG kan voldoenBits of Freedom is benieuwd waar de advertentiebranche mee komt, maar heeft er een hard hoofd in dat de veranderingen voldoende zullen zijn. "TCF kan niet voldoen aan bescherming die de AVG biedt", zegt Evelyn Austin van BoF tegen Tweakers. "Het framework maakt het onmogelijk om gebruikers een goed inzicht te geven in wat er met hun gegevens gebeurt." Austin denkt niet dat je dat kunt oplossen met wat tweaks aan het platform.

Net zo min denkt Austin dat de industrie veel interesse heeft om fundamentele veranderingen door te voeren. "Je zag een maand vóór deze uitspraak al dat IAB begon voor te sorteren op een mogelijk verbod. Er is veel technologie beschikbaar waarmee ze precies de randjes van de regels op kunnen zoeken over wat wel en niet mag."

Cruciale twee maanden

Daarom is de uitspraak van de Belgen nu nog niet het einde van trackingcookies. Dat gaat afhangen van de veranderingen die IAB in de komende maanden voorstelt. Austin: "De echte betekenis van de uitspraak is als IAB zijn gedrag aanpast. Dat hangt er heel erg vanaf wat er na die twee maanden gebeurt. Houdt de Gegevensbeschermingsautoriteit een vinger aan de pols? Het is nog niet zo zeker of de GBA dat kan, of ze genoeg spierballen kunnen vertonen."

Een ding is zeker. De uitspraak geldt ook voor Nederland, en alle andere landen in de Europese Unie. Daarvoor is er het eenloketmechanisme, een onderdeel van de AVG dat bepaalt dat een uitspraak binnen één land bindend is voor alle andere landen. In deze uitspraak werd overlegd met andere toezichthouders, die er allemaal mee akkoord gingen dat de Belgische GBA het voortouw nam in het onderzoek en dat die beslissing ook bindend zou worden voor de andere landen. Daar is ook Evelyn Austin tevreden mee. "Het is boeiend om dit proces te zien. Heel vaak komen dit soort grote Europese zaken bij de Ierse toezichthouder terecht. Dat levert veel vertraging op." Toch zal de echte kracht van de Belgen pas over twee maanden blijken als IAB zijn nieuwe plannen voor het framework presenteert.

Reacties (42)

Sorteer op:

Weergave:

Wat mij betreft nemen ze het zo in de wet op dat consent alleen vrijwillig gegeven kan worden en dat cookiebanners in feite dus altijd verboden moeten zijn. (Een banner is niet vrijwillig)
Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.
Overweging 32 van de AVG.
Indien de verwerking plaatsvindt op grond van toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt. In overeenstemming met Richtlijn 93/13/EEG van de Raad (1) stelt de verwerkingsverantwoordelijke vooraf een verklaring van toestemming op in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal; deze verklaring mag geen
oneerlijke bedingen bevatten. Opdat toestemming met kennis van zaken wordt gegeven, moet de betrokkene ten minste bekend zijn met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens. Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.
Overweging 42 van de AVG.
„toestemming” van de betrokkene:elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;
Artikel 4 onder 11 AVG.

En als je een uitgebreidere uitleg wil hebben over toestemming, zie deze gezaghebbende richtlijn van de European Data Protection Board:
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_nl.pdf

Alsje het meer in de praktijk uitgelegd wil zien hebben, zie dit Noorse besluit vanaf 5.4:
https://www.datatilsynet....ive-fine---grindr-llc.pdf

Oftewel, het is al opgenomen in de 'wet'. Men houdt zich er enkel niet aan en handhaving tot dusver is er nauwelijks. Maar mogelijk dat dit geval misschien voor wat verandering zal zorgen. Overigens is een cookiebanner an sich niet verboden, zolang men zich aan de regels houdt. Fijn is anders. Het is ook niet handig. Een principe is dat de verleende toestemming even eenvoudig ingetrokken moet kunnen worden als dat deze is gegeven. Dat zou theoretisch betekenen dat je altijd iets van een cookiebanner zou moeten krijgen om het even eenvoudig in te kunnen trekken. En men mag ook geen geld vragen bij weigering, want dan is de toestemming niet meer vrijelijk doordat je nadeel ondervindt bij weigering.

[Reactie gewijzigd door TimvandenBelt op 22 juli 2024 18:34]

De cookiebanner kan je niet verbieden. Dat is net de manier waarop men toestemming moet vragen. Maar als ik me niet vergis hoor je met 1 enkele klik te kunnen aangeven dat je geen cookies wenst. Al de rest, het wel aanvaarden, mag meer kliks kosten.
Er komt meer bij kijken dan dat. Een onderdeel van de toestemming is dat betrokkenen moeten weten waar ze toestemming voor geven en dat betekent onder andere dat ze moeten weten wie de persoonsgegevens verwerken en voor welke doeleinden. Nu durf ik wel te stellen dat bij RTB-veilingen waar een praktisch ongelimiteerd aantal bedrijven aan mee kunnen doen dat het nooit mogelijk is om betrokkenen adequaat te informeren over partijen waarvan de websitehouder niet van tevoren weet dat ze bestaan. Voor Tweakers is het al een lastig punt om te achterhalen wat die paar bekende derde partijen precies doen en om daar helder over te informeren. Maar ik denk dat dit punt van het besluit van de Belgen een hele fundamentele kern raakt die niet is op te lossen zonder het fundament van hoe de meerderheid van online advertenties werken onderuit te halen.
Interessant artikel! Duidelijke uitleg van de situatie, en de bewegende delen hierin :)

Met name de idiote dark patterns die toegepast worden in dit soort cookiemuren, met verwarrende termen als 'consent' en 'legitimate interest', en de bekende 'select all' knop, maar geen 'deselect all' knop. Gruwelijk vervelend. Als dit framework inderdaad zo veelvuldig wordt gebruikt hoop ik dat deze uitspraak voor wat goede verbeteringen zorgt, maar ik heb er een hard hoofd in.
met verwarrende termen als 'consent' en 'legitimate interest'
Dat zijn nochtans de letterlijke juridische termen: 'toestemming en 'gerechtvaardigd belang.'
Maar het is totaal niet duidelijk wat “gerechtvaardigd belang” in de context van die specifieke website omhelst. Alles waarvan de websitebeheerder zelf vindt dat het voor hem toch echt heel belangrijk is? Ik ga er daarom maar altijd vanuit dat gerechtvaardigd belang betekent “we (achter)volgen je toch wel”, en als de pop-up het voor mij te moeilijk maakt om uit te zetten, sluit ik het tabblad.
Maar het is totaal niet duidelijk wat “gerechtvaardigd belang” in de context van die specifieke website omhelst.
Een gerechtvaardigd belang is een belang waarvan de maatschappij en samenleving in algemene zin zouden stellen: ja, dit belang komt boven het belang tot privacy van de betrokkene. Dat is inderdaad vaag en breed. Maar dat is bewust zo gekozen, opdat een rechter en gerechtshof hier interpretatieruimte hebben en invulling per individueel geval - maatwerk dus - nog mogelijk is. Vanwege dit karakter van gerechtvaardigd belang is het vanuit de AVG/GDPR ook altijd vereist dat de gegevensverantwoordelijke een afweging maakt tussen haar belang en dat van de betrokkene.

Tot dusver de theorie.
In de praktijk betekent het inderdaad dat misbruik van gerechtvaardigd belang als een "we krijgen geen toestemming; maar we doen het lekker toch"-optie weelderig tiert.

Daarnaast: met gerechtvaardigd belang als grondslag is er geen expliciete toestemming nodig voordat er tot verwerking van gegevens overgegaan mag worden. In plaats daarvan is verwerking onder die grondslag toegestaan, totdat er bezwaar ingediend wordt. Het is dus een opt-out ipv een opt-in. Dit sluit veel beter aan bij de bestaande 'belevingswereld' van grote Amerikaanse dataverslinders en advertentieboeren; en ook daarom wordt er veel op terug gevallen.

Gerechtvaardigd belang ontslaat de verwerkingsverantwoordelijke overigens niet van de plicht de betrokkene over de verwerking van gegevens te informeren. Die plicht blijft onverminderd gelden; evenals de plicht om betrokkenen te informeren over hun recht bezwaar tegen verwerking in te dienen.

Mede hierom is er door een aantal Consent Management Platforms zoals die van het IAB gekozen om zaken waar toestemming voor gevraagd dient te worden en zaken die onder gerechtvaardigd belang geschaard worden, in één user interface te presenteren: bij de eerste opt-in om toestemming vragen, en bij de tweede opt-out bezwaar indienen.

Ook dat is overigens een overtreding van de AVG/GDPR want deze stelt dat verzoek om toestemming ondubbelzinnig en los van alle andere zaken verzocht moet worden. Precies om verwarring bij betrokkenen, zoals in jouw geval, te voorkomen.

[Reactie gewijzigd door R4gnax op 22 juli 2024 18:34]

Ik kan je niet plussen, dus bij deze bedankt voor je aanvulling. :-)
Maar zo zijn er nog voorbeelden natuurlijk:
- de legitimate interest op een ander "tabblad" wegsteken zodat een deny all de legitimate interest laat staan
- bij een deny all de cookiebanner al snel meer dan een minuut in beeld laten staan in de hoop dat mensen de volgende keer gewoon maar aanvaarden
- bij een deny all regelmatig opnieuw lastigvallen met de vraag ondanks dat dat nu net het enige is wat je bij een deny all wel mag opslaan in een cookie, dat je geen cookies wenst.
Oh man, die laatste. Hoe vaak ik wel niet bij websites na een aantal weken opnieuw dezelfde cookiemuur voorgeschoteld krijg, ondanks dat ik de vorige keer toch echt (al dan niet handmatig) 'deny all' heb gedaan.

Het is letterlijk het enige wat je mag opslaan in dat geval, maar ze zijn het 'spontaan vergeten'.
Niets spontaans aan waarschijnlijk; cookies kunnen een vervaldatum hebben. Sterker security guidelines zullen je adviseren om ze een vervaldatum te geven.

Security en gebruikersgemak gaan nu eenmaal niet hand in hand. Je zult lastig gevallen worden, dat kun je niet deny-en.
Klopt, maar in dit geval krijgen ze met opzet een zeer korte levensduur om de gebruiker snel weer lastig te vallen. Van zodra je alles accepteert gaan ze ineens wel een levensduur van een jaar krijgen die nog eens een refresh erbij doet bij elk bezoek ipv enkele dagen zonder refresh.
Das heel het idee er achter natuurlijk, dat het heel irritant moet zijn.

Net zoals ergens lid van worden gaat kind eenvoudig totdat je van je lidmaatschap af wilt.....
Als er geen mogelijkheid is om alles met 1 knop te rejecten of standaard niet alles afgevinkt staat buiten functionele cookies, dan hoeft het voor mij niet meer. Sluit tabblad, verder met mijn leven.
Mag in Nederland ook gebeuren. Ook betalen om cookies te omzeilen moet zeer straafbaar worden.
Ook betalen om cookies te omzeilen moet zeer straafbaar worden.
Hoe werkt dat precies?
Zoals wij bij Tweakers nu doen; De keuze bieden om met een abonnement tracking-vrij de site te bezoeken, of cookies accepteren.

De AP zegt op hun site daarover:
Weigert iemand tracking cookies? Dan moet u deze persoon toch toegang geven tot uw website of app, bijvoorbeeld na betaling.
Zoals wij bij Tweakers nu doen; De keuze bieden om met een abonnement tracking-vrij de site te bezoeken, of cookies accepteren.

De AP zegt op hun site daarover:

[...]
En die lezing van de AP is dan weer strijdig met de officiële lezing van het European Data Protection Board (EDPB); de overkoepelende moederorganisatie waar ook de AP zelf zitting in heeft.

De EDPB stelt juist in officiële communiques die aangeven hoe de verordening geinterpreteerd dient te worden en waar ook de losse autoriteiten van de lidstaten - zoals de AP dus - zich in hun eigen communicatie en uitleg eigenlijk aan dienen te houden, het omgekeerde.

Bij de keuze tussen een dienst met afdracht persoonsgegevens; of diezelfde dienst maar dan zonder zulke afdracht maar wel tegen een hogere prijs, is er geen sprake van vrije keuze omdat de hogere prijs in hun optiek een wezenlijk nadelig gevolg vormt bij het kiezen om gegevens niet te delen. Daarmee kan de grondslag vrijelijk gegeven toestemming dus niet van toepassing zijn.

Ook heeft de Noorse toezichthouder het bedrijf Grindr al eerder van een boete voorzien voor het ontbreken van vrijelijk gegeven toestemming op basis van hoe het interpretatie-richtsnoer van de EDPB de verordening uitlegt.

De AP zit hier fout. Punt.

[Reactie gewijzigd door R4gnax op 22 juli 2024 18:34]

Van je laatste zin kan ik alleen maar zeggen: dat weten we pas als een rechter er uitspraak over doet.

Het gaat hier nog altijd om interpretatie van wetgeving. Ieder mag daar zijn eigen mening over hebben. Maar enkel een rechter kan uiteindelijk beslissen of iets strafbaar is of niet en uiteindelijk zullen er zelfs meer rechters naar kijken want je krijgt er sowieso een beroepsprocedure over.
Volgens dezelfde redenatie weet je ook niet of het juist is en daarmee rechtmatig.

Wat je wel weet is dat de EDPB, wat een hoger juridisch gezag heeft, het tegenovergestelde zegt. Dat de AVG zelf het tegenovergestelde zegt. En dat een formeel besluit elders in Europa het tegenovergestelde zegt (en de AVG is bijna volledig geharmoniseerd dus in theorie zal hier het hetzelfde gelden).

Een dergelijk argument is overigens zeer valide. Je weet het pas zeker als er een uitspraak is. Maar het is net alsof je iets koopt in de winkel. Maar zegt dat je niet weet dat er sprake is van een koopovereenkomst totdat een rechter daarover uitspraak heeft gedaan. Nu is het natuurlijk wel zo dat als een rechter er uitspraak over doet dat het niet enkel vanaf dan een koopovereenkomst is (of in strijd met de AVG), maar al sinds het begin.

[Reactie gewijzigd door TimvandenBelt op 22 juli 2024 18:34]

Nee, asl er discussie is over voorwaarden of wetgeving, is er uiteindelijk maar 1 plaats die de knoop kan doorhakken. Dat is wat ik stel. Je winkelvoorbeeld klopt dus niet. Zolang beide partijen de koopovereenkomst op eenzelfde manier interpreteren is er geen enkel probleem. Maar dat heb je hier dus niet daar de Nederlandse AP een andere mening is toegedaan dan het EDPB,
Strafbaar lijkt me nogal ver gaan, maar onwenselijk is het zeker.
Ik denk dat het wel te rechtvaardigen is dat je zou moeten betalen voor content.
In principe zijn er online drie manieren om te betalen:
1. advertenties (onwenselijk)
2. Privacy (nog meer onwenselijk, zou opt-in moeten zijn)
3. Abonnement.

In de bioscoop heb je Dolby Cinema, die films zijn duurder en naast een betere beeld/geluidservaring, is er ook geen reclame. Daar betaal ik graag voor. Ik zou ook graag betalen om geen reclame te hebben op televisie. Maar die mogelijkheid heb ik niet. Sterker nog: het wordt kijkers lastig gemaakt om reclames (d.m.v. opnemen) te omzeilen. En dat is een verachtelijk fenomeen.

Laten we twee zaken duidelijk maken:
  • 1. Geld verdienen is géén recht.
  • 2. Content onbetaald ontvangen is géén recht.
In ethische zin is het onverkoopbaar dat je ongevraagd persoonlijke data van individuen toe-eigent.
Eigenlijk is de mate waarin data de laatste 5 jaar verzameld wordt, vrij ziek. Het erge is, dat behalve van de data die rondslingert, ook technieken zijn en worden ontwikkeld om nog meer data te verzamelen.

En dat laatste is iets wat onwenselijk is. We zien denk ik meermaals per week op Tweakers berichtgeving over problemen rondom data. Niet alleen datalekken, maar ook dit soort berichten.
Het ergste is dat overheden van deze ontwikkelingen gebruik maken. En nu ben ik van nature niet wantrouwig tegen overheden, maar onze eigen overheid heeft al meermaals ernstig laten zien dat ze onvoldoende competent zijn om onze data te verwerken. Zo is het vorige kabinet gevallen vanwege de toeslagenaffaire en worden gedupeerden flinke geldbedragen toegekend. Daarnaast was er ook nog SyRI, waarbij een rechter de overheid heeft moeten dwingen om het project te stoppen. Dus ondanks dat de overheid (of een deel daarvan) onvoldoende competent is, mist er ook de intentie dit te erkennen en hiernaar te handelen. Dus de intentie van onze eigen overheid is niet helemaal zuiver.

Dus ... om onszelf nog enigszins te beschermen, hebben we álles te verbergen. Voor onszelf, maar ook om de commerciële prikkel weg te nemen of minimaal af te zwakken. En te kiezen voor politieke partijen die wél inzien wat er belangrijk is in de maatschappij. Want ondanks de onthullingen van Snowden over bijvoorbeeld PRISM, is er weinig veranderd in de wereld. Overheden willen wereldwijd burgers surveilleren en hoe meer, hoe beter.

We zijn al aanbeland bij het punt waarin een commerciële partij beslist dat ze zelfstandig onze foto's gaan scannen om te kijken of het matcht met kinderporno. Dit zou onbespreekbaar zijn als we thuis politie over de vloer krijgen en onze foto-albums gaan doornemen. Dat kán, maar dan is er wel een verdenking en huiszoekingsbevel nodig. Maar in de digitale wereld is het normaal geworden dat we allemaal crimineel kunnen zijn.

Jullie tweakers zijn degenen in mijn omgeving die hier verstand van hebben en zulke zaken kunnen begrijpen. Ik hoop dat we dit gaan begrijpen en uiteindelijk mensen weten te bewegen meer digitaal bewust te worden, zeker met betrekking tot privacy. En uiteindelijk dat dit iets bewerkstelligt in de politiek. Want ondanks dat deze problemen steeds groter worden, is er veel meer aandacht voor de etnische samenstelling van wat we in de supermarkt tegenkomen. En die aandacht is er al zo lang ik me er van bewust ben (zo'n twintig jaar) en in die twintig jaar is er niet gerealiseerd wat de wens lijkt te zijn van velen. Er is geen verandering gaande waardoor dat anders gaat zijn, dus ik besteed onze aandacht liever aan iets wat we nog wél kunnen veranderen.

Om terug te komen op betalen om cookies te omzeilen: privacy, advertenties en abonnementen (of andere vorm van directe betaling) zijn in mijn ogen prima om content te krijgen. Maar de gebruiker moet de keuze krijgen. Daar moet geen discussie over zijn. Ik wil geen reclame (het bewust beïnvloeden van potentiële kopers is een verachtelijk iets, als je er goed over nadenkt), ik wil absoluut kunnen weigeren persoonlijke gegevens af te staan (de term "gerechtvaardigd belang" is een contradictio in terminis wat betreft persoonlijke gegevens. Het is of noodzakelijk, of niet nodig en daarmee niet gerechtvaardigd).

Websites zullen ook onderhouden moeten worden, dus er zal geld verdiend moeten worden. Dat is geen recht, dat is een noodzaak. En het is ons recht als eindgebruiker om te kiezen hoe we dat zouden doen. Maar daar is nog een lange weg te gaan.
Ik hoop dat we dit gaan begrijpen en uiteindelijk mensen weten te bewegen meer digitaal bewust te worden, zeker met betrekking tot privacy.
Ik kan je uit die illusie helpen: dat gaat nooit gebeuren. Mensen willen het niet begrijpen, want het is 'moeilijk' en op een onderbewust niveau: een goed werkend antwoord dat hen er vat op geeft hebben ze niet. En dat geval van machteloosheid? Dan liever kop in het zand en door gaan op de bestaande voet; "want iets echt ergs is er nog niet van gekomen? Toch?"

"Ik heb niets te verbergen" is wat dat betreft tot een coping mechanism verworden van de collectieve geest van de samenleving.

[Reactie gewijzigd door R4gnax op 22 juli 2024 18:34]

Ik kan je uit die illusie helpen: dat gaat nooit gebeuren. Mensen willen het niet begrijpen, want het is 'moeilijk' en op een onderbewust niveau: een goed werkend antwoord dat hen er vat op geeft hebben ze niet.
Ik twijfel er aan. Ik heb wel langzaam het idee dat mensen meer open staan om hun eigen gegevens te beschermen. Mensen zien ook wel af en toe wat op algemene nieuwssites en kranten voorbij komen. Ik ben (bewust) niet heel extreem met het beschermen van mijn gegevens, maar ik heb langzaam meer het gevoel dat mensen me minder als "wappie" zouden zien als ik bepaalde maatregelen tref om mijn gegevens te beveiligen dan pakweg 2, 3 jaar geleden.
Niet helemaal on topic, maar ik wordt echt helemaal gek van al die cookie-meldingen op zowat elke website. Dat schiet compleet zijn doel voorbij. Ze zijn uitermate irritant, waardoor je ze ongezien wegklikt. Ik geloof nooit dat een substantieel deel van de bezoekers de inhoud serieus gaat lezen, dus waar geef je dan toestemming voor? Wat mij betreft gaan ze weg voor alle standaard gegevensverzamelingen. Ik weet ook wel dat ik informatie prijs geef door de site te bezoeken en deze mijn bezoekgegevens opslaat voor analytics.
Ik weet ook wel dat ik informatie prijs geef door de site te bezoeken en deze mijn bezoekgegevens opslaat voor analytics.
En dat is dus net wat je door die melding te lezen en alles uit te vinken kunt voorkomen. Iets wat sommige mensen wel degelijk doen.
Nou ik heb het wel eens geprobeerd. Na 50 (arbitrair getal maar het waren er dusdanig veel dat mijn geduld op was) consentschuifjes was ik maar gestopt. Letterlijk elke 3e partij met wie mijn data gedeeld werd had zijn eigen schuifje. Helaas geen idee meer bij welke site, volgens mij iets amerikaans.

En een deel van die websites formuleren de vraag dusdanig dat je juist de verkeerde keuze maakt (als je niet oplet).

Edit: ik had ff wat verder door moeten lezen, ik zie dat het al uitgebreid besproken is door je.

[Reactie gewijzigd door Dwarlorf op 22 juli 2024 18:34]

Ik geloof nooit dat een substantieel deel van de bezoekers de inhoud serieus gaat lezen, dus waar geef je dan toestemming voor?
Nergens voor. Ze horen bij wet namelijk opt-in te zijn. Dus als jij nergens akkoord voor geeft maar die popup gewoon sluit, heb je nergens toestemming voor gegeven. (En nee; websites mogen daarna niet keer op keer opnieuw blijven vragen. Dat valt onder aggressieve handelspraktijken en dat is ook verboten.)
Behalve een boete zullen alle tot nu toe onrechtmatig verzamelde gegevens ook verwijderd moeten worden. Ik denk dat de impact daarvan groter is dan de boete. Dat betekent dat er niet alleen iets verbeterd moet worden aan TCF, maar dat er praktisch met een schone lei begonnen moet worden.
Wat ik mij altijd afvraag bij zulke dingen, hoe controleren 'we' het of het daadwerkelijk is verwijderd? Hetzelfde als hier bij Tweakers als formeel vast kom te staan dat verwerkingen onrechtmatig waren. Hoe weten we zeker dat alles is verwijderd? Wie controleert het? Kunnen we het zelf controleren? Als we het via een inzageverzoek moeten controleren, hoe betrouwbaar is het?
In een individuele zaak kan dat meestal vrij goed, maar is de 'hoe' context-afhankelijk. Als je het hebt over Tweakers is het al een stukje lastiger omdat er allerlei andere bedrijven zijn die de gegevens opslaan die allemaal gecontroleerd moeten worden als je het echt wil controleren. Ik denk dat we eerst nog een paar drempels over moeten: gaat iemand überhaupt claimen dat de data echt gewist is? En zo ja, gaat een toezichthouder, FG of betrokkene ook echt proberen het te controleren.
Uiteindelijk is het allemaal juridische touwtrekkerij die afleidt van waar het werkelijk om gaat: adverteerders willen zoveel mogelijk data verzamelen van individuen, de overheid zou de burgers daartegen moeten beschermen. De GDPR/AVG is een halfslachtige poging daartoe, met deze hele cookiemuur-discussie tot gevolg.

Wat mij betreft zou de wetgeving veel strikter mogen, waardoor tracking van gebruikers gewoon verboden wordt. Dan kunnen we weer terug naar wat "vroeger" prima werkte: een tijdschrift of krant deed af en toe een representatief onderzoek onder lezers, zodat bekend was welke doelgroep werd bediend. Op basis daarvan konden adverteerders beslissen in welk blad ze wilden adverteren. Dat kan ook online: een site mag dan alleen geaggregeerde data aan adverteerders tonen ("60% van onze lezers is ouder dan 40") en daar moeten adverteerders het maar mee doen.
Uiteindelijk is het allemaal juridische touwtrekkerij die afleidt van waar het werkelijk om gaat: adverteerders willen zoveel mogelijk data verzamelen van individuen, de overheid zou de burgers daartegen moeten beschermen. De GDPR/AVG is een halfslachtige poging daartoe, met deze hele cookiemuur-discussie tot gevolg.
De GDPR/AVG is niet halfslachtig. De handhaving ervan is halfslachtig. En dat heeft alles te maken met budget van de aangestelde toezichtsautoriteiten. En dat budget? Dat heeft alles te maken met de jaarbegroting van de regering.

Inderdaad: de overheid zou de burgers moeten beschermen. Maar doet dat dus niet, want het moet aan alle kanten zo goedkoop mogelijk. Zoiets als één wijkagent laten aankloppen bij de lokaal heersende Zuid-Amerikaanse drugsbende, bewapend met een klappertjespistool.

[Reactie gewijzigd door R4gnax op 22 juli 2024 18:34]

Die GDPR/AVG is op het gebied van tracking in zoverre halfslachtig, dat het onder voorwaarden toegestaan wordt. Naar mijn idee zou het gewoon ronduit verboden moeten worden. En dan nog is handhaving en ding, hoewel het makkelijk is te handhaven als iets helemaal verboden is.
De grap is dat het IAB dit gewoon allang kon weten. Nog voordat TCF werd geïmplementeerd hebben de autoriteiten al aangegeven dat het mogelijk niet compliant is. Maar het IAB, als je de organisatie een beetje kent.. is nogal vol van zichzelf. Een hoop zelf verklaarde experts, vaak afkomstig uit de traditionele media wereld, niet de tech wereld, hadden het voor het zeggen.
Daardoor is nooit verder onderzoek gedaan en was dit de enige uitkomst: TCF spat uiteen tegen een muur. Werd in 2019 al voorspeld door een handjevol adtech experts.

Overigens is de GDPR al sinds het begin vrij duidelijk geweest. En het EDPB heeft indertijd ook heel duidelijk aangegeven dat gerechtvaardigd belang voor marketing doeleinden een goed voorbeeld is van wanneer het juist niet gerechtvaardigd kan zijn.

Dit is totaal geen rocket science.

[Reactie gewijzigd door Jazco2nd op 22 juli 2024 18:34]

En het EDPB heeft indertijd ook heel duidelijk aangegeven dat gerechtvaardigd belang voor marketing doeleinden een goed voorbeeld is van wanneer het juist niet gerechtvaardigd kan zijn.
Klopt. De lezing dat marketing nooit een gerechtvaardigd belang kan vormen vloeit voort uit de artikelen in de AVG/GDPR die het recht van bezwaar uitleggen. Deze bevatten een speciale uitzondering voor verwerking met als doeleinde profilering of direct marketing. In specifiek deze gevallen vindt er geen belangenafweging plaats tussen de privacy van de betrokkene en het belang van de gegevensverantwoordelijke, waar dat bij andere verwerkingen op basis van gerechtvaardigd belang wel het geval is. Specifiek bij deze doeleinden is de verantwoordelijke simpelweg gehouden om onmiddelijk en zonder verdere tegenspraak gehoor te geven aan het bezwaar.

De redenering was iets in de strekking van:
Aangezien er geen afweging mogelijk is; kan het belang ook nooit gerechtvaardigd zijn geweest.

[Reactie gewijzigd door R4gnax op 22 juli 2024 18:34]

Heel goede samenvatting, het eerste artikel hierover begreep ik niet veel van maar dit is echt goed samengevat
Er wordt even heel snel overheen gestapt, maar waarom kan website X de cookies raadplegen gezet door website Y? Hiervoor moet toch heel specifiek CORS geïmplementeerd worden. Of mis ik in dit artikel nu dat het framework niet écht een framework is wat je zelf implementeerd, maar een SaaS (achtige) dienst welke centraal wordt gehost en dit op deze manier mogelijk maakt?
Het gaat hier niet om de cookiemuur van Tweakers. Staat ook in het artikel.
AuteurTijsZonderH Nieuwscoördinator @LUCKY LUKE3 februari 2022 18:39
Heb je het artikel gelezen of is dit een Pavlov-reactie die ontstaat als er ergens 'cookies' in de titel staat?

Tweakers maakt dus geen gebruik van de technologie die nu door de GBA wordt beschreven. Over de huidige implementatie van die cookiewall is op het forum uit een uitgebreide discussie bezig, maar kortgezegd werken we aan het trackingvrij maken van de website. Daar kun je oa hier meer over lezen.

Op dit item kan niet meer gereageerd worden.