Cookiemuren verboden?

Op 7 maart 2019 publiceerde de Autoriteit Persoonsgegevens (AP) haar mening over het gebruik van Cookie Walls.

Een cookie wall houdt in dat een website een bezoeker alleen toegang geeft als die bezoeker akkoord gaat met het plaatsen van zogeheten ‘tracking cookies’ of andere vergelijkbare manieren van volgen en vastleggen van gedrag door middel van software of andere digitale methodes.

Met name grote mediasites passen cookie walls toe, zoals RTL.nl, Volkskrant.nl, AD.nl, Geenstijl.nl en Telegraaf.nl.

De AP motiveert haar standpunt kort samengevat als volgt: Bij ‘cookie walls’ is de toestemming niet vrij gegeven, omdat websitebezoekers zonder het geven van toestemming geen toegang tot de website krijgen. Op grond van de AVG is toestemming niet ‘vrij’ als iemand geen echte of vrije keuze heeft. Of als diegene het geven van toestemming niet kan weigeren zonder nadelige gevolgen, aldus de AP.

Op het 1e gezicht een logische redenering. Op het 2e gezicht valt hier wel wat op af te dingen.

De AP baseert zich bij het formuleren van haar mening op art. 7 AVG, waarin is geregeld dat toestemming vrijelijk moet worden gegeven. In de toelichting (grond 43) staat:
“(…) De toestemming wordt geacht niet vrijelijk te zijn verleend (…) indien de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering.”

Echter, voor het gebruik van cookies gelden specifieke wettelijke regels, die met name in de Telecommunicatiewet (Tw) (die is gebaseerd op de e-Privacyrichtlijn 2002/58/EG van de EU), zijn vastgelegd.

Artikel 11.7a lid 1 luidt:

Onverminderd de Algemene verordening gegevensbescherming is het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker:

a. is voorzien van duidelijke en volledige informatie overeenkomstig de Algemene verordening gegevensbescherming, in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en

b. daarvoor toestemming heeft verleend.

Artikel 11.7a lid 5 luidt:

5. De toegang van de gebruiker tot een dienst van de informatiemaatschappij die wordt geleverd door of namens een krachtens publiekrecht ingestelde rechtspersoon wordt niet afhankelijk gemaakt van het verlenen van toestemming als bedoeld in het eerste lid.

In de parlementaire geschiedenis over art. 11.7a Tw. is het volgende te lezen:

“Een cookiemuur is over het algemeen dan ook een rechtmatige manier om aan het toestemmingsvereiste in de cookiebepaling te voldoen. Ook al is dit niet de meest gebruiksvriendelijke manier en is het technisch ook nooit noodzakelijk, het staat de websitehouder in beginsel wel vrij om te bepalen of hij een bezoeker die geen toestemming geeft voor het gebruik van cookies, al dan niet toegang geeft tot zijn website16. Dit kan anders zijn als de bezoeker zo afhankelijk is van de via een bepaalde website aangeboden diensten en informatie, dat er door het gebruik van de cookiemuur geen sprake meer kan zijn van een «vrije» wilsuiting wanneer de bezoeker vervolgens het vakje «ik geef toestemming» aanklikt.”

Art 95 AVG luidt:

Deze verordening legt natuurlijke personen of rechtspersonen geen aanvullende verplichtingen op met betrekking tot verwerking in verband met het verstrekken van openbare elektronische-communicatiediensten in openbare communicatienetwerken in de Unie, voor zover zij op grond van Richtlijn 2002/58/EG onderworpen zijn aan specifieke verplichtingen met dezelfde doelstelling.

De AVG legt dus geen extra verplichtingen op bovenop de verplichtingen die uit de Tw. volgen.

Wat leert het bovenstaande nu eigenlijk?

1. De AVG geeft geen extra verplichtingen boven de Tw.
2. Volgens art. 11.7a lid 1 is een cookiewall in beginsel geldig.
3. Voorwaarde voor geldigheid lijkt wel dat de bezoeker niet zo afhankelijk mag zijn van de via een bepaalde website aangeboden diensten en informatie, dat hij niet geacht kan worden vrijelijk toestemming te geven.
    Juist bij -veelal "gratis" - nieuwsdiensten, zijn er voldoende alternatieve websites die dezelfde of vergelijkbare informatie bieden (bijvoorbeeld NPO), zodat er geen afhankelijkheid van die specifieke website is. Het
    verdienmodel van die gratis nieuwssites zit 'm nu juist in het aanbieden van gerichte advertenties (waaronder die tracking cookies nodig zijn ).
4. Als de AP gelijk zou hebben dat zou art. 11.7 lid 5 Tw. eigenlijk ook zinledig worden. Deze bepaling regelt nu juist dat door publieke organisaties (zoals NPO) toegang niet afhankelijk van toestemming
     mag worden gemaakt (logisch wnat daar is al voor betaald door de belastingbetaler).                                    

Voorlopig is het dus op z’n minst twijfelachtig of de AP wel gelijk heeft. De e-Privacyrichtlijn gaat vervangen worden de door de e-Privacyverordening (die dan ook de Telecommunicatiewet gedeeltelijk vervangt). Het is zonder meer denkbaar dat daarin anders tegen cookie walls aangekeken zal worden. De definitieve tekst staat echter nog niet vast.

Vraag is of de AP inderdaad handhavend gaat optreden, zoals zij heeft aangekondigd, en boetes gaat opleggen. In dat geval zal de overtreder die boete bij de rechter kunnen aanvechten. Het laatste woord is dan aan de (Europese) rechter.

Vragen over uitleg van de AVG of een dispuut met de AP?
Neem contact op met Broeseliske Van Vlijmen Advocaten.