Waarom hebben alle cookiepop-ups ineens een legitiem belang?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Sinds een tijdje valt me op dat allerlei cookiepop-ups niet alleen om toestemming vragen, maar ook opties aanbieden onder het kopje "legitiem belang". Vaak kun je die opties niet uitzetten, maar soms wel alleen heet dat dan "bezwaar". Wat is dit in vredesnaam?
Antwoord: Wie dit heeft bedacht, weet ik ook niet, maar ik vermoed dat diverse grote cookiepop-uptechnologieleveranciers (dat is een branche) dit hebben ingevoerd op verzoek van organisaties zoals het Interactive Advertising Bureau (IAB). Iedereen die iets doet met cookies en tracking, ziet de bui namelijk wel hangen dat toestemming het niet lang meer uithoudt als reden (grondslag) om marketing en profiling te doen.
Toestemming was ooit het argument om persoonsgegevens te mogen verzamelen en om met cookies te kunnen werken. Dus iedereen zette lekker een dikke cookiemuur voor zijn site, waardoor we nu met het fenomeen jaklikmoeheid of consent fatigue zitten. En, belangrijker, waardoor toezichthouders eens beter zijn gaan kijken en de terechte vraag stellen waarom het eigenlijk vrijwillig is, dat mensen moeten klikken om je site te kunnen bekijken. Ja, het is jouw site en je mag mensen weigeren, maar in de AVG/GDPR staat nu eenmaal dat toestemming weigeren zonder gevolgen moet blijven – en weigeren is een gevolg, hoe je het ook wendt of keert.
Snel op zoek naar alternatieven, en dan komen we natuurlijk meteen uit bij artikel 6 lid 1 sub f AVG:
de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde,
waarbij iedereen dan meteen wijst op overweging 47 die zegt dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst 'legitimate interest' zegt.
Toen is er ergens een brainstorm gekomen over welke soorten cookies en profiling onder dit kopje gerechtvaardigd kunnen worden. Je ziet dat terug in die menu's: dingen als security & monitoring, first-party analytics en het beperken van overlast door excessief cookiegebruik (ja, serieus heb ik gezien). Daar is dan dus geen toestemming voor nodig, dus die blijven dan buiten het lijstje met dingen waar je toestemming voor moet geven.
Wel staat in de AVG dat je de mogelijkheid tot bezwaar maken moet hebben, op basis van persoonlijke omstandigheden. Bij marketing is de bezwaarmogelijkheid onbeperkt, er hoeft dan geen omstandigheid te worden opgegeven. Daarom zie je dan weer afmeldknopjes bij veel "legitiem belang" opties. Maar een afmeldoptie is in het algemeen niet verplicht. Bij security-opties (monitoring van gedrag om inbrekers-in-spe te pakken) is het natuurlijk niet zinnig om mensen zich te laten afmelden.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Als er wel een gerechtvaardigd belang is dan wil dat nog niet zeggen dat alles meteen geoorloofd is. Dat belang moet afgewogen worden tegen de belangen van de betrokkenen. Van het slag mensen dat alles naar hun eigenbelang toe redeneert verwacht ik niet dat ze die afweging zuiver zullen maken, overigens.
Het zijn ook allemaal sterk op elkaar lijkende formuliertjes die dit probleem hebben, waarbij je om een hele serie doelen gevraagd wordt of je dat wel of niet wilt. Gelukkig is het als je niet blind op OK klikt default wel allemaal UIT en hoef je dat alleen nog maar te bevestigen (2 kliks dus) maar wel vervelend dat dit steeds maar terug komt.
Waarom is er niet 1 globale instelling (ik weet het, DIE IS ER, de DNT header) waarmee je al dat gezeik kunt omzeilen?
Als er wel een gerechtvaardigd belang is dan wil dat nog niet zeggen dat alles meteen geoorloofd is. Dat belang moet afgewogen worden tegen de belangen van de betrokkenen. Van het slag mensen dat alles naar hun eigenbelang toe redeneert verwacht ik niet dat ze die afweging zuiver zullen maken, overigens.
Een interessant verhaal in deze context betreft de NPO die kiennelijk geen tracking cookies meer gebruikt en daarmee MEER reclame inkomsten krijgt (https://www.reddit.com/r/thenetherlands/comments/hmewyx/reclameinkomsten_npo_stijgen_na_het_uitschakelen/
De reden: men verkoopt nu rechtstreeks reclame, niet via allerlei vage tussenbedrijven die én de gebruikers tracken én zelf een groot deel van de zogenaamde "gerichte reclame" inkomsten achterhouden. Nog afgezien van alle vertraging door extra Internet traffic en sessies. Some zie je de inhoud pas NADAT alle reclame blingbling geladen is! Nou, zo lang wacht ik niet, dan ben ik al lang weg
Sowieso begrijp ik dat hele "gerichte reclame" blabla niet. Als ik op een site over auto's kijk vind ik reclame voor auto's prima. Als ik op een site over boten kijk idem bij reclame over boten. Waarom denkt iemand in hemelsnaam dat ik maanden nadat ik sokken via Internet heb gekocht, dat ik op een site over auto's reclame over sokken wil zien?
Want dan ziet ie je iedere keer als nieuwe bezoeker die nog even door alle toestemming rituelen heen moet...
Want dan ziet ie je iedere keer als nieuwe bezoeker die nog even door alle toestemming rituelen heen moet...
Want dan ziet ie je iedere keer als nieuwe bezoeker die nog even door alle toestemming rituelen heen moet...
Als het nou ook weer niet uitsluitend is dan is er inderdaad sprake van enige invloed. Ik denk dat cookies niet uitsluitend voor de schone schijn worden geplaatst en dat er daadwerkelijk iets mee gedaan wordt, en daarom denk ik dat er wel sprake is van enige invloed. Vandaar dat ik MINDER last schreef en niet GEEN last.
Met andere woorden: lees wat niet zwart/wit geformuleerd is niet alsof het wel zwart/wit geformuleerd is.
Ook EGDE kwam met een trukendoos te voorschijn, deze is nu uitgeschakeld, hoe door mijn firewall van mijn virusscanner.
Nog beter is volledig verwijderen.
Gerechtvaardigd belang is namelijk een term uit de AVG die van toepassing is op tracking cookies (lees unieke, persoonlijke cookies). Het is nadrukkelijk geen term uit de ePrivacy Directive, die van toepassing is op alle cookies.
Onder de ePrivate Directive zijn alleen strikt noodzakelijke cookies toegestaan, net als analytische cookies met geringe privacy inbreuk. Security cookies mogen dus wel geplaatst worden omdat deze als strikt noodzakelijk gezien kunnen worden. Voor advertentie of profilering cookies gaat dat zeker niet op. Er moet dus nog steeds toestemming gevraagd worden voor deze, al trekt de IAB zich daar niet veel heel van aan.
'legitiem belang' is een rechtvaardiging vanuit de AVG. Maar alle cookies hebben ook nog een rechtvaardiging vanuit de Cookiewet nodig.
En dan die debiele reclame. Als een fabrikant van automerk X weer een auto aanprijst, terwijl je van fabrikant met automerk X voor de deur hebt staan, dan zegt die fabrikant van automerk X eigenlijk dat je een slechte auto hebt gekocht. Vervang fabrikant van automerk X door wat anders, afijn de strekking zal duidelijk zijn. Zo debiel is dus reclame. Niet meer kopen, kennelijk slecht product of merk.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
Digital Forensic Researcher Mobile Device Hacking
Netherlands Forensic Institute (NFI)
As a digital expert in the field of mobile device hacking, you will strengthen the Digital Technology team. Your challenge? Reverse engineer the workings and security of mobile consumer devices.
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
IT Security Officer
Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!
Digital Forensic Researcher
Netherlands Forensic Institute (NFI)
Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.