De grote marketing en AdTech-bedrijven zijn drukdoende hun werkwijzen aan te passen onder de noemer “cookieless future”. Dat doen zij vooral vanwege de juridische (en financiële) consequenties die hun handelen op basis van de toegepaste tracking-technieken (waaronder Third-Party cookies) hebben meegebracht. Dat nog los van het feit dat ook de gebruikers van hun tools meer transparantie en zeggenschap over eigen data eisen. Om de nieuwe “cookieless” oplossingen juridisch te beoordelen moeten we terug naar de basis, waarom kan het gebruik van deze oplossingen in de context van wet- en regelgeving problematisch (of in ieder geval aan voorwaarden verbonden) zijn?
De van oudsher gebruikte techniek “cookies” plaatst gegevens op de apparatuur van de gebruiker waarbij deze gegevens door websites worden uitgelezen. Maar ook bij First-Party cookies en First Party Data wordt gebruikt gemaakt van het plaatsen of lezen van gegevens op de apparatuur van de gebruiker. Dat soort handelingen zijn in Nederland gereguleerd middels de Telecommunicatiewet. Die zegt letterlijk in artikel 11.7a lid 1 Tw:
“Opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, is alleen toegestaan op voorwaarde dat de betrokken gebruiker:
- a. is voorzien van duidelijke en volledige informatie overeenkomstig de Algemene verordening gegevensbescherming (AVG), in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en
- b. daarvoor toestemming heeft verleend.”
Die Nederlandse bepaling geldt ongeacht wat er in de AVG is geregeld over de privacy-aspecten van de plaatsing van cookies. Dat is overigens – in tegenstelling tot wat veel gedacht wordt – heel erg beperkt. In de AVG zelf komt het woord “cookies” niet eens voor. De enige “hit” op cookies is indirect via artikel 4 van de AVG, waarin definities zijn opgenomen en een van de definities “Profilering” (lid 4) betreft. Bij dat artikel heeft de Europese wetgever overwegingen (nr. 30) opgenomen, waarin het woord “identificatiecookies” voorkomt, als voorbeeld van een vorm van geautomatiseerde verwerking van persoonsgegevens.
Als we de “cookieless-oplossingen” langs de meetlat van de Telecommunicatiewet leggen dan is de conclusie al snel dat we ook dan moeten voldoen aan de gestelde eisen, namelijk: duidelijke en volledige informatie over de doeleinden én toestemming. Er zijn uitzonderingen (artikel 11.7a lid 3 Tw) om niet te hoeven voldoen aan de eisen van lid 1, maar die treffen geen toepassing: cookieless- tracking heeft geen “enkel communicatief doel” is niet “noodzakelijk om een dienst te leveren” en minister Verhagen verschafte in 2012 al duidelijkheid toen hij aangaf dat wanneer het verwerkingsdoel: “het lezen van informatie met een dergelijke techniek [in die casus ging het om Browser fingerprinting], om het surfgedrag van de gebruiker van het apparaat te volgen” dit niet onder de uitzonderingen valt. Hiervoor is dan ook geïnformeerde toestemming van de gebruiker vereist.
Dan nog zo kort mogelijk die vermaledijde AVG. In de Telecommunicatiewet (artikel 11.7a lid 4 Tw) is opgenomen dat plaatsen of uitlezen van informatie, die tot doel heeft gegevens over het gebruik de dienst door de gebruiker te verzamelen, combineren of analyseren zodat de betrokken gebruiker anders behandeld kan worden, wordt vermoed een “verwerking van persoonsgegevens” te zijn. Dat is, specifiek waar het toepassingsgebied van de AVG in het spel komt, namelijk: de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens.
Dat brengt met zich mee dat het hele regelgevingskader (alle beginselen, rechten van betrokkenen, verplichtingen rondom standaardinstellingen en beveiliging, doorgiften naar derden en het sanctiestelsel) van toepassing is. Dat is met name (maar niet uitsluitend) interessant bij het onderwerp “verwerkingsgrondslag” waarbij je voor de rechtmatigheid van de verwerking gebruik moet maken van de in artikel 6 AVG genoemde grondslagen. De Telecommunicatiewet geeft ons daarbij al een handreiking in artikel 11.7a lid 1 Tw sub b: we moeten gebruik maken van de grondslag “toestemming” (artikel 6 lid 1 AVG). De eisen aan toestemming zijn streng en daarom is een goedwerkende tool die de toestemming vastlegt en reguleert en tegelijkertijd de overige principes van de AVG respecteert erg belangrijk. Voor geldige toestemming moet:
- De website om een actieve toestemmingshandeling van de websitebezoeker vragen voordat er cookies worden geplaatst;
- De website toegankelijk blijven, zelfs als de bezoeker niet toestaat dat er cookies worden geplaatst;
- De website de mogelijkheid bieden om specifiek, naar wens van de websitebezoeker, bijvoorbeeld per categorie/third party, cookies in te stellen;
- Gebaseerd zijn op duidelijke en volledige informatie die aan de bezoeker wordt aangeboden. Alle geplaatste cookies moeten toegelicht worden in begrijpelijke taal;
- De mogelijkheid aan de bezoeker bieden om op een later moment de verleende toestemming, voor het gebruik van cookies, in te trekken of aan te kunnen passen.
Conclusie, het regelgevingskader Telecommunicatiewet en de AVG geldt dus voor de “cookieless” First-Party cookies als ook voor “cookieless” First-Party Data, waarbij de verwerkingen middels een oneindige hoeveelheid technieken neerkomt op een vorm van plaatsing of raadpleging van gegevens op de apparatuur van de gebruiker. Bottomline: er moet aan de bezoeker vooraf duidelijke én volledige informatie worden geboden als óók geldige toestemming worden verkregen.
Wel positieve impact
Om de nieuwe ontwikkelingen toch niet volledig af te doen als zinloos: de situatie van ons als individuen, deelnemers aan het onlineverkeer, gaat er dankzij de “cookieless” verschuiving wel op vooruit. Het grootste bezwaar rondom Third-Party cookies is niet alleen de hoeveelheid persoonlijke gegevens die daardoor wordt verzamelt, of de gevoelige aard van die gegevens - het is vooral ook dat alle gegevens worden samengevoegd tot uitgebreide profielen van gebruikers. Uiteindelijk bestaande uit duizenden en duizenden datapunten en waarbij deze zonder uitzondering met een onbekende (hoeveelheid) derde partijen worden gedeeld. Uit deze profielen worden conclusies getrokken over de persoonlijkheid en het leven van de gebruiker, voorspellingen over zijn of haar levenswijze en levenssituatie en die gegevens worden vervolgens onder water verkocht aan adverteerders, die op hun beurt hun advertenties op een gepersonaliseerd niveau inzetten om de klikkans en uiteindelijke conversie te vergroten.
De nu langzamerhand verdwijnende Third-Party cookies lever(d)en onze gegevens aan een miljarden- adtech-industrie, waarbij adverteerders elke dag betalen in real-time biedveilingen voor het recht om op jouw website of beeldscherm aan een specifieke gebruiker op een specifiek moment (met alle gevolgen van dien) te worden getoond.
Concluderend: wat de uiteindelijk gebruikte technieken ook moge zijn, de wetgeving is duidelijk en vooral ook techniekneutraal. Zodra je een poging doet bezoekers te identificeren, door gegevens te plaatsen en/of gegevens uit te lezen vanaf zijn apparatuur, moet je vooraf informeren en toestemming vragen. En hoogstwaarschijnlijk verwerk je daarbij ook nog eens persoonsgegevens. Daarvan is namelijk al sprake zodra er een (mogelijkheid tot) identificatie is of je verwerking bijvoorbeeld een identificatienummer oplevert (bijvoorbeeld voor een profiel of herkenning in een database). Dat opent het AVG-blik met verplichtingen waaronder relevant jouw bewijsplicht rondom de verkregen toestemming en de opname van deze verwerking(en) in je verwerkingsregister en de verwerkersovereenkomsten met jouw klanten.