image

Kan een website bij het plaatsen van trackingcookies zich op gerechtvaardigd belang beroepen?

woensdag 26 augustus 2020, 14:03 door Arnoud Engelfriet, 8 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Sinds een tijdje valt het me op dat er steeds meer cookie-popups zijn die schermen met de term "gerechtvaardigd belang" als reden waarom ze cookies mogen plaatsen. Ook trackingcookies, terwijl dat toch gewoon onder toestemming valt volgens de AVG? Waar komt die term vandaan en hoezo is het niet misleidend om jouw commerciële belang op voorhand "gerechtvaardigd" te noemen?

Antwoord: Die term is inderdaad wat misleidend, zeker gezien hoe mensen de term nu gebruiken namelijk als schaamlap voor alles dat ze maar willen. Maar 'gerechtvaardigd' betekent niet dat jij het goed moet vinden, het betekent dat het binnen de wet past, van de wet te rechtvaardigen is.

In de kern komt het erop neer dat er situaties zijn waarin jij ook gewoon een belang hebt, bijvoorbeeld de bescherming van jouw eigendom (een grondrecht, immers). Dat belang moet je dan kunnen beschermen, zoals door cameratoezicht. De AVG zegt dan dat dat mag, mits je maar zo veel mogelijk de privacy van passanten beschermt.

Daar zit dan een hele belangenafweging in, inclusief zo mogelijk een opt-out op basis van persoonlijke omstandigheden. Maar in de kern zegt de AVG dus dat het mag, "in principe" zoals de AVG dat noemt.

Het lastige is natuurlijk wanneer een belang "gerechtvaardigd" is. De AVG gaat daar niet op in, en er is ook geen jurisprudentie hierover van het Hof van Justitie. Onze eigen Autoriteit Persoonsgegevens publiceerde in haar normuitleg hier wel een formulering over:

[Gerechtvaardigd] houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden.

De insteek is dus dat een belang ergens te herleiden moet zijn tot de wet, zoals in mijn voorbeeld van het eigendomsrecht dat ik wil beschermen. Een ander belang zou kunnen zijn dat ik een rechtsvordering wil instellen tegen jou, omdat jij mijn schadeclaim niet betaalt. Daarvoor heb ik jouw persoonsgegevens nodig, en dat zou ik dan onder deze grondslag kunnen doen.

Bij al die cookiedingen wordt er geschermd met "direct marketing" als gerechtvaardigd belang, omdat de AVG dat expliciet noemt als een voorbeeld. Daar zet de AP tegenover:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc

Over wat een "zuiver commercieel belang" is, heb ik het eerder gehad. Ik las dat als dat je "ik wil geld verdienen anders ga ik failliet" niet als belang mag opvoeren, maar de AP lijkt het te interpreteren als "iedere motivatie waarin 'ik wil geld verdienen' staat, is ongeldig". Dat gaat wel héél ver, met name omdat grondrechten wél als gerechtvaardigd belang kunnen dienen en de vrijheid van ondernemerschap een grondrecht is. Net als de vrijheid van meningsuiting; als ik jouw privacy mag schenden door iets te publiceren, waarom dan niet door jou te tracken?

Specifiek bij cookies werkt dit trouwens bijna nooit. De Telecommunicatiewet eist toestemming voor ieder plaatsen of uitlezen van informatie, ongeacht wat de AVG eventueel zegt over de persoonsgegevens-aspecten van die informatie. Dus een cookie plaatsen of een remote software update uitvoeren mag alleen met toestemming.

De Nederlandse uitzondering daarop is dat cookies die geen of geringe privacy-inbreuk maken, géén toestemming nodig hebben. Daarmee kun je dus bijvoorbeeld third-party analytics inzetten, hoewel daar trackingcookies bij komen kijken. Als je dat goed dichttimmert, dan is dat legaal zonder toestemming - en dán kun je je dus op gerechtvaardigd belang beroepen. Ik zou dus zeggen vrijheid van informatiegaring - weten hoe je site bezocht wordt.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (8)
26-08-2020, 15:09 door Anoniem
Daar zet de AP tegenover:

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc
Daar zit een circulaire definitie in: wat ook niet als een gerechtvaardigd belang kwalificeert is [...] het zonder gerechtvaardigd belang volgen van [...]. Er is geen gerechtvaardigd belang als dat gerechtvaardigde belang er niet is. Nogal wiedes. En zwak geformuleerd door AP.
27-08-2020, 06:50 door Anoniem

De Nederlandse uitzondering daarop is dat cookies die geen of geringe privacy-inbreuk maken, géén toestemming nodig hebben. Daarmee kun je dus bijvoorbeeld third-party analytics inzetten, hoewel daar trackingcookies bij komen kijken. Als je dat goed dichttimmert, dan is dat legaal zonder toestemming - en dán kun je je dus op gerechtvaardigd belang beroepen. Ik zou dus zeggen vrijheid van informatiegaring - weten hoe je site bezocht wordt.
Dit geeft ook een hoop ruimte voor een groot grijs gebied volgens mij. Het probleem met een third-party tracker is immers dat je nooit weet wat die partij met de verzamelde informatie doet. Neem bijvoorbeeld iets als google analytics, ik vind dat een gigantische privacy inbreuk omdat dat nou eenmaal het business model van google is, een ander zal er mogelijk geen probleem mee hebben.
27-08-2020, 08:10 door Anoniem
Ik moet wel zeggen dat die hele AVG op een wassen neus gaat lijken qua bescherming. Inmiddels hebben juristen van de bedrijven die oorspronkelijk aangepakt zouden worden allerlei loopholes gevonden. Mede ook met dank aan - hoe kan het ook anders, Nederlanders voorzagen het destijds al - verdrag van Maastricht (EU). Daarin vond men het laatste gaatje - het recht 'om te ondernemen'. DE kans om alsnog ongebreideld ieders gegeven te gaan verwerken en door te gaan waar men mee bezig was. Nog even, en de AVG is weer net zover af als de WBP. Ik geef het nog 2-3 jaar ... en dan heeft elk bedrijf scherp dat het misschien geen 400 euro boete meer is maar de kans op een boete ook bijna 0 is.
27-08-2020, 10:12 door Anoniem
Aangezien ieder land andere wetgeving erop nahoudt, bestaat er geen betere bescherming dan de eindgebruiker zelf. De keuze aan browsers en bijhorende extensions/blockers is daar.
Rond de 74% van de eindgebruikers vindt dat het tracken er 'gewoon bijhoort' en vindt privacy iets voor criminelen, want 'je leest in de krant..enz'. Hoe kan je verwachten dat huidige cookiewetgeving tbv de eindgebruikers wordt aangescherpt? Bescherming krijg je niet, die moet je inbouwen.
28-08-2020, 13:15 door Anoniem
Legitimate Interest Assessment...
28-08-2020, 13:23 door Anoniem
Is het niet zo dat bij het toepassen van gerechtvaardigd belang als een verwerkingsgrond dat je daarbij ook artikel 8 van het EVRM behoort mee te nemen als uitgangscriteria?
Veel organisatie misbruiken de grondslag gerehtvaardigd belang terwijl ze dat op geen enkele wijze kunnen onderbouwen met feiten.

Artikel 8 EVRM – Recht op eerbiediging van privé familie- en gezinsleven

1. Een ieder heeft het recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.

2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.
01-09-2020, 11:20 door Anoniem
Maakt het uit? Gebruik private mode, of verwijder iedere keer de cookies uit je history.
03-09-2020, 10:25 door Patio
Door Anoniem: Maakt het uit? Gebruik private mode, of verwijder iedere keer de cookies uit je history.

Niet nodig als je gewoon alle cookies standaard weigert. Zoals gezegd moet je voor alle cookies toestemming hebben van de bezoeker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.