Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Onlangs heeft een scholier in Oostenrijk bij zijn nationale toezichthouder (DSB) geklaagd én gelijk gekregen over het gebruik van trackingcookies in Microsoft 365 Education. De toezichthouder stelde dat Microsoft niet over de vereiste wettelijke grondslag beschikt om door middel van trackingcookies de gegevens van de scholier te verwerken en moet het hiermee binnen vier weken stoppen. Als ik me hier in Nederland op beroep, moet mijn onderwijsinstelling dan ook stoppen met mij tracken? Deze software zit vaak vol met verplichte trackers en rommel.

Antwoord: Deze scholier, bijgestaan door het bekende noyb van Max Schrems, heeft inderdaad bij de Oostenrijkse Autoriteit Persoonsgegevens een uitspraak afgedwongen dat Microsoft deze minderjarige niet mag volgen. De grondslag daarvoor was niet zozeer de AVG, als wel de cookiewet (ePrivacy richtlijn) die veel strenger is en eigenlijk altijd toestemming eist, tenzij de cookies strikt noodzakelijk zijn voor de gevraagde dienst.

Tracking is in dat verband nooit noodzakelijk, want als je dat uitzet dan werkt je dienst nog steeds. Noodzaak wordt bekeken vanuit het perspectief van de gebruiker, niet van de dienstverlener. Dus "zonder tracking leren we niets en kunnen we als bedrijf niet verbeteren" is geen argument. En natuurlijk moet de noodzaak onderbouwd zijn, enkel roepen dat iemand dit wil vanwege een prettiger gebruikservaring is verre van voldoende.

Toestemming was niet gevraagd, kennelijk omdat men zich wilde beroepen op het eigen gerechtvaardigd belang. Het ging alleen om first party cookies en beperkte tracking binnen de eigen software. Dus dat beroep zie ik wel. Maar dat mag niet, want cookies kunnen alléén met toestemming geplaatst als ze niet technisch nodig zijn.

In Nederland is er iets bijzonders aan de hand: onze cookiewet bevat een nationale 'kop' die toestemmingsloze tracking toestaat "om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij", zeg maar first-party tracking. Vereist daarbij is dat "dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker". Dat is in feite een wettelijk vastgelegde regeling van gerechtvaardigd belang.

Deze zaak zou in Nederland dus waarschijnlijk anders uitpakken bij dezelfde soort first-party trackingcookies zonder wezenlijke privacy-impact. Toestemming is niet nodig, want het gebruik is toegestaan binnen dat scherpe kader. De onderwijsinstelling moet dit natuurlijk wel kunnen onderbouwen.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.