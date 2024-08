De Autoriteit Persoonsgegevens (AP) heeft meerdere onderzoeken lopen naar cookiebanners waarmee websites toestemming vragen voor het verwerken van persoonsgegevens, omdat die mogelijk niet aan de AVG voldoen, zo laat de toezichthouder in een interview met Security.NL weten. Onlangs kreeg Kruidvat al wegens trackingcookies een boete van 600.000 euro van de AP opgelegd. "In de cookiebanner op Kruidvat.nl waren de vakjes om akkoord te gaan met het plaatsen van volgsoftware standaard aangevinkt. Dat mag niet", aldus de toezichthouder.

Eerder dit jaar kondigde de Autoriteit Persoonsgegevens aan dat het dit jaar cookiebanners en online tracking een prioriteit maakt. "Deze cookiepop-ups zijn voor veel mensen het gezicht van de AVG geworden", zegt Midas Nouwens van de AP. Dit jaar heeft de toezichthouder extra middelen gevraagd en gekregen waardoor het nu structureel mensen op dit onderwerp kan zetten. Zo publiceerde de toezichthouder guidelines waar cookiebanners aan moeten voldoen. Ook is de toezichthouder bezig om het proces van het onderzoeken van cookiebanners en eventueel handhaven te stroomlijnen en 'impactvoller' te maken.

Cookiebanners mogen dan voor veel mensen het meest zichtbare element van de AVG zijn, toch is het gebruik ervan niet verplicht door de privacywet. Het is een door de industrie bedachte oplossing om mensen toestemming te vragen voor de verwerking van hun gegevens. Wel stelt de AVG voorwaarden als het gaat om het vragen van deze toestemming. Dat betekent onder andere dat het net zo makkelijk moet zijn om te weigeren als om te accepteren.

Knoppen moeten dus naast elkaar op dezelfde laag staan zodat je niet extra hoeft te klikken of scrollen om de ‘weigerknop’ te vinden. Bij menig website is dat niet het geval. Onderzoek van de AP bestaat echter uit meer dan alleen de aanwezigheid van een 'ja' of 'nee' knop in het eerste scherm. Het gaat dan bijvoorbeeld om het verzamelen van het bewijs, maar ook het uitkiezen van verschillende organisaties en websites. "Daar zitten gewoon wat meer haken en ogen aan", aldus Nouwens.

Vaak klachten over cookiebanners

Bij de keuze voor te onderzoeken websites kijkt de AP onder andere naar klachten van burgers. En er wordt veel geklaagd over cookies. Een ander punt dat meespeelt is waar de eigenaar van de website zich bevindt. "We hebben best veel partijen die een Nederlandse website hebben, maar waarvan de verwerkingsverantwoordelijke niet in Nederland zit. Dan wordt het voor ons ingewikkelder om stappen te ondernemen. Dan zou je via een toezichthouder uit een ander land moeten gaan", zegt Nouwens.

"Veel van de nieuwswebsites hebben een verwerkingsverantwoordelijke die niet in Nederland zit, dat maakt het lastig voor ons. Dan moeten we met de Belgische of andere toezichthouder samenwerken", gaat Nouwens verder. Een ander punt waarnaar wordt gekeken is het bereik en het soort informatie dat wordt verzameld.

Zo wegen bijvoorbeeld gezondheidsgegevens, gegevens over politieke opvattingen en religieuze overtuiging zwaarder. Dit zijn zogeheten bijzondere persoonsgegevens, waar strengere regels voor gelden. Daarnaast wordt er ook gekeken naar hoe andere toezichthouders op dit onderwerp de AVG interpreteren.

Miljoenenboetes voor lastig weigeren van cookies

De Franse privacytoezichthouder CNIL legde Facebook, Google en Microsoft boetes van bij elkaar 270 miljoen euro op omdat websites van de techbedrijven het lastiger maakten om cookies te weigeren dan te accepteren. Dat deed de CNIL overigens op basis van de ePrivacy-richtlijn. In Nederland is die richtlijn omgezet in de telecommunicatiewet, en houdt niet de AP, maar de Autoriteit Consument en Markt toezicht op dit onderdeel. De AP kan dus niet precies hetzelfde doen als de CNIL.

In januari van dit jaar publiceerde de AP zoals gezegd guidelines waarin het laat weten dat cookiebanners in het eerste scherm over een 'ja' en 'nee' knop moeten beschikken. Nu de guidelines op de website staan van de AP weten websites waar ze aan toe zijn, en kunnen websites aanpassingen doorvoeren.

"Door guidelines weet de markt preciezer hoe zij de wet moeten interpreteren en kunnen bedrijven zich niet meer verschuilen achter het argument ‘dat ze het niet wisten’. Dat helpt ons in de handhaving van de wet. Maar laat me duidelijk zijn: de wet gold al en een overtreding was ook al een overtreding vóórdat wij guidelines uitbrachten", merkt Nouwens op. De guidelines van de AP maken duidelijk dat weigeren en accepteren evenveel moeite moeten kosten.

Cookiebanners zijn een interpretatie van de AVG

"Wat wel zo is, en dat is een feature en een bug van de AVG, is dat er nergens staat dat mensen cookiepop-ups voor dit soort zaken moeten hebben. De AVG zegt niet dat je een pop-up moet hebben. Dat hebben wij niet verzonnen. Dat is een interpretatie van deze industrie geweest op het feit dat als je van iemand persoonsgegevens verwerkt er toestemming moet komen", legt Nouwens uit.

Dit open normenkader, waarbij niet tot in technische details wordt beschreven waar een website aan moet voldoen, kan bij sommige mensen en partijen onduidelijkheid oproepen. "Dat is een spagaat waar wij als toezichthouder soms in zitten. Je wilt aan de ene kant duidelijkheid bieden, maar je wilt ook die open normen en het voordeel daarvan behouden."

De AP monitort systematisch wat er op het Nederlandse web gebeurt om te kijken welke impact de guidelines hebben, maar ook de eerste boete die het Kruidvat kreeg opgelegd. "Het is absoluut nog niet voldoende. Het moet nog allemaal beter. Maar de complexiteit van dit specifieke onderwerp, van online tracking, en de miljardenindustrie en tussenpartijen die daar achter zitten, maakt het voor ons een uitdaging om een complex systeem van allemaal stakeholders een richting op te duwen", gaat Nouwens verder.

Bewijslast

Onderzoek of websites met hun cookiesbanners aan de AVG voldoen is echter niet zo eenvoudig als het alleen kijken naar de aanwezigheid van een 'ja' en 'nee' knop op de eerste laag. Als eerste moet de AP bewijzen dat er persoonsgegevens worden verwerkt en dat het hier als toezichthouder over gaat. "Dat er strings in een cookie staan wil nog niet zeggen dat het om persoonsgegevens gaat", merkt Nouwens op. Dat moet dan bij de betreffende website worden uitgevraagd. Iets wat soms één of twee maanden in beslag kan nemen.

Ook speelt mee of het statistische of analytische cookies zijn. De AP moet dan ook verschillende stappen doorlopen voordat het tegen een website kan optreden met bijvoorbeeld een boete of andere handhavende actie. Bij het berekenen van een boete speelt ook mee hoe lang de overtreding al gaande is.

Publicatieverbod

De AP heeft inmiddels verschillende onderzoeken lopen, maar kan geen verdere details geven. "We zien gewoon dat het verkeerd gaat", merkt Nouwens op. Wanneer de onderzoeken worden afgerond is dan ook onbekend. Als de AP een boete oplegt kan een partij daar beroep tegen aan tekenen of zelfs bij de rechter vragen dat de AP hier niet over mag publiceren.

"In de regel benutten beboete partijen juridische gezien alle mogelijkheden. Ze kunnen eerst bij ons in bezwaar tegen een boete, dan kijkt de afdeling bezwaar naar deze boete. Als onze bezwaarafdeling zegt dat de boete terecht is kunnen ze naar de rechter en uiteindelijk tot de Raad van State in beroep gaan. We zien ook dat partijen meestal naar de rechter stappen om publicatie tegen te houden. In sommige gevallen krijgt de partij dan ook gelijk. Maar meestal leiden die procedures alleen tot vertraging, en kunnen we uiteindelijk wel publiceren", voegt AP-woordvoerder Quinten Snijders toe.

Afgelopen juni publiceerde de AP over een boete voor een recruitmentbureau die al in 2020 was opgelegd. Dit jaar pas oordeelde de Raad van State dat de AP over de boete mocht publiceren. "Dat is voor ons een handicap. De uitstraling van zo'n boete is heel belangrijk, want we kunnen niet alle websites en partijen die iets fout doen beboeten. Zo'n boete moet afschrikwekkend zijn en dan helpt het natuurlijk als partijen zien dat ze er een boete voor kunnen krijgen zodat ze hun zaakjes op orde zullen brengen. Het is erg belangrijk dat wij die boetes kunnen publiceren en helaas lukt dat niet altijd", gaat Snijders verder. Daarnaast maken dergelijke boetes de interpretatie van de wet ook duidelijk.

Web zonder onnodige cookiebanners

Afsluitend stelt Nouwens dat het belangrijk is om duidelijk te maken dat de AVG altijd de schuld krijgt van de cookiebanners die nu overal aanwezig zijn, maar dit onterecht is, omdat het een creatie van de industrie is. Daarnaast is er nu in Europa een beweging gaande die stelt dat cookiebanners niet werken en mensen geen echte controle over hun gegevens geven. Zo waren er partijen in het Europees Parlement die opriepen tot een verbod op gerichte advertenties. Dat is vervolgens afgezwakt naar geen gerichte advertenties voor kinderen.

Dat het nu niet goed gaat met cookiebanners zorgt ervoor dat mensen iets anders willen, stelt Nouwens. "Als we kijken wat ons ideaal beeld is zouden we een web hebben zonder het verzamelen van zo onnodig veel persoonsgegevens, waardoor pop-ups om daar toestemming voor te vragen ook niet nodig zijn." Hij wijst daarbij ook naar de contextgebaseerde advertenties van de Ster. "Er is een misvatting dat het web zonder gerichte advertenties dood gaat omdat er geen geldstromen meer zijn. Maar je kunt ook op een andere,'ouderwetse' manier adverteren."