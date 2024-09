Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Marketingcookies (retargeting) worden vrijwel door alle websites toegepast om advertenties te tonen op sociale media. Onlangs heeft de EDPB bepaald dat Meta moet stoppen met onrechtmatige gepersonaliseerde advertenties binnen Europa. Moeten de richtlijnen van de EDPB geïnterpreteerd worden dat marketingcookies met verdere verwerking door Meta niet zijn toegestaan, ook als er toestemming is via de cookiebanner? En in hoeverre is de website die de marketingcookies plaatst verantwoordelijk voor de verdere verwerking door Meta en Google voor het opstellen van profielen?

Antwoord: Marketingcookies staan stevig in de spotlight de laatste maanden. Zo oordeelde de Oostenrijkse rechter onlangs dat cookiebanners een weigerknop moeten hebben direct in de eerste laag. Google ging er al helemaal mee stoppen, maar nu toch weer niet. En de populariteit van adblockers en cookiecutters neemt alleen maar toe.

De vraagsteller verwijst naar een uitspraak van de samenwerkende Europese AVG-toezichthouders. Die bepaalde dat Meta's "pay or consent" model niet rechtsgeldig is. Je moet een "echte keuze" hebben en daar hoort eigenlijk gewoon een gratis variant zonder persoonsgetargete advertenties bij. De kern hierachter is dat toestemming onder de AVG vrij gegeven moet worden, iedere vorm van dwang of zelfs maar stevig nudgen maakt deze al niet meer rechtsgeldig.

Dit zien we ook terug bij marketingcookies. Ja, er komt een popup met "Ja ik wil" en er is een optie om aan te geven dat je niet wil. Maar we zijn zó getraind om blind om op "ja" te klikken, dat je nauwelijks nog kunt spreken van een vrije keuze. Zeker als er niet een equivalente knop "Nee, ik wil niet" naast staat, maar alleen:

Een "Beheer instellingen" popup (onduidelijke term)

Een grijze knop "weiger alles" naast de groene "ja" knop (afschrikken, onaantrekkelijk presenteren van alternatief)

De knop "Beheer instellingen" tussen ja en nee (overweldigende opties)

Vooraf aangevinkte vinkjes voor bijvoorbeeld functioneel, analytics en marketing (mag niet van de AVG, doet afschrikken

Een "weiger" knop die leidt naar een popup met instellingen, waarbij de standaardknop "Sla alles op" heet en daarmee alle cookies accepteert

En zo kan ik nog wel even doorgaan (meer voorbeelden). Toestemming voor marketingcookies is dus niet eenvoudig, of nou ja is dat wel maar je krijgt gewoon heel weinig mensen die je dat geven, en daar heeft niemand zin in.

Wat de tweede vraag betreft: ja, jij bent verantwoordelijk en aansprakelijk voor de gevolgen van trackingcookies. Althans, als die via jouw site en de popup daarop gezet zijn na een ongeldige toestemming. Je bent in AVG-jargon gezamenlijk verwerkingsverantwoordelijke met Meta of met Google, je beslist samen dat er persoonsgegevens verzameld worden via jouw site en wie daar wat mee mag doen. Dat de onderlinge verdeling neerkomt op "jij vraagt om toestemming en wij zeggen jou niet wat we gaan doen", is volgens de wet jouw probleem.

Al sinds februari roept de AP dat ze cookies op de radar hebben staan. In juli kreeg de Kruidvat een boete van zes ton voor het niet rechtsgeldig vragen van cookies. Haar popup had vooraf aangevinkte categorieën en de afwijsoptie stond niet als equivalent naast de toestemmingsoptie. De hoogte kwam dan weer mede omdat een drogist al snel gezondheidsgegevens verzamelt, maar dat terzijde.

Het is flauw om dan als jurist te zeggen "stop maar met trackingcookies" want dat is makkelijk praten en ja mijn bedrijf heeft "Accepteren" ook aantrekkelijker dan "Alleen noodzakelijk". Maar het blijft een probleem dat alleen dankzij trage handhaving steeds maar niet opgelost wordt.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.