cookies gdpr

Cookies die zwaar op de maag liggen

We doen het dagelijks. Cookies accepteren om toegang te krijgen tot websites en social media. We doen het dermate vaak dat we er niet meer bij stilstaan waarmee we eigenlijk akkoord gaan. Langs de zijde van online adverteerders is men zich daarvan bewust, wat ertoe leidt dat men met de rechten van de websitegebruiker al te vaak een loopje neemt. Dit is echter niet zonder risico en blijft niet steeds onbestraft. Zo legde de Geschillenkamer van de Gegevensbeschermingsautoriteit (GVA) bij beslissing van 17 december 2019 aan een juridische website een boete op van € 15.000 (de beslissing vindt u via deze link).

De Inspectiedienst van de GVA had inderdaad meerdere inbreuken vastgesteld op de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming), hierna AVG. Hangende het verdere onderzoek en de lopende procedure, werd aan (enkele van) deze inbreuken verholpen, maar voor de aardigheid sommen we deze nog even op:

  • De privacyverklaring op de website was enkel in het Engels beschikbaar, terwijl de website zich tot een Nederlandstalig en Franstalig publiek richtte
  • De informatie was niet eenvoudig toegankelijk voor de betrokkenen en er werd verwezen naar ‘US privacy law’ en naar de ‘California Online Privacy Protection Act’
  • De privacyverklaring op de eerste versie van de website bevatte geen vermelding van de identiteit en contactgegevens van de verwerkingsverantwoordelijke
  • In de eerste versies van de website werd in de privacyverklaring geen toestemming gevraagd voor het gebruik van cookies
  • In de laatste versie werden deze voorkeuren dan weer wél gevraagd, maar de toestemming werd op basis van reeds aangekruiste vensters verkregen (volgens de AVG is dit geen geldige toestemming)

Belangrijker is weliswaar de vaststelling dat de Geschillenkamer oordeelde sancties te kunnen opleggen, ook – en zelfs – wanneer op het moment van haar beslissing, aan de vastgestelde inbreuken reeds werd verholpen. In dezelfde orde van belang is het oordeel dat: “In zijn hoedanigheid van verwerkingsverantwoordelijke draagt de verweerder de verantwoordelijkheid om te kunnen garanderen en aantonen dat analytische cookies van de ‘eerste partij’ wel degelijk onder de uitzondering ‘strikt noodzakelijke’ cookies van artikel 128 WEC vallen met dien verstande dat het begrip ‘noodzakelijk’ conform AVG uitgelegd moet worden, i.e. ten bate van de betrokkenen wiens persoonsgegevens verwerkt worden en niet exclusief ten bate van de website.” Dit impliceert dat in de meeste gevallen een voorafgaande toestemming nodig kan zijn om analytische/statistische cookies te plaatsen, om alzo de erkenning van het strikt noodzakelijk karakter van de cookies te bekomen.

Wat cookies uiteindelijk zijn …

Een cookie is een klein tekstbestandje dat een website op de harde schijf van uw computer zet op het moment dat u de site bezoekt. De belangrijkste functie van cookies is om de ene gebruiker van de andere te onderscheiden, en bijgevolg om die ene gebruiker te identificeren. Dit is voor veel websites bijzonder waardevol, doordat op die manier het aanbod bijvoorbeeld aan de gebruiker kan worden aangepast. Cookies hebben bovendien een looptijd, variërend van het verwijderen wanneer u uw browser afsluit, terwijl andere cookies jaren op uw computer kunnen blijven staan als u ze niet (actief) verwijdert.

Omdat websitegebruikers hier (in doorsnee) niet mee begaan zijn – en bijgevolg ook niet (bewust) wakker liggen van welk gevaar dit voor hun privacy inhoudt – is het niet minder dan terecht dat het gebruik van cookies gecontroleerd en gesanctioneerd wordt langs de aanbodzijde.

→ Wenst u dat uw website GDPR-conform is? Vraag advies bij Surmont Advocaten.