Blog

NPO overtreedt weer de cookiewet met cookiemuur

Door de NOS ben ik gevraagd mijn visie te geven op de manier waarop de app NPO Start gegevens verzamelt van gebruikers. De NPO maakt gebruik van een cookiemuur. In een eerdere zaak was het de NPO verboden om een cookiemuur te gebruiken.

Cookiemuur

NPO Start is de opvolger van Uitzending Gemist. Sinds vorige week krijgen gebruikers de volgende melding te zien:

cookiemuur

Gebruikers moeten hiermee akkoord gaan met de mogelijkheid dat “gegevens over jouw kijkgedrag” door adverteerders en door hen ingeschakelde partijen verzameld kan worden. “Meer informatie” verwijst naar deze url (Cookies op NPO). Daaruit blijkt dat de cookies het mogelijk maken dat:

  • Er profielen worden opgebouwd van bezoekers die worden gebruikt om STER advertenties te tonen die zijn afgestemd op jouw internetgedrag en/of profiel en interesses en voor verdere profilering.
  • Er kan worden bijgehouden welke advertenties je al hebt gezien om zo te voorkomen dat je steeds dezelfde advertentie te zien krijgt
  • Er kan worden bijgehouden hoeveel unieke bezoekers op de advertentie klikken
  • Er gerichte advertenties getoond kunnen worden (bijvoorbeeld een jongeren product bij een jongeren website)

Het is niet mogelijk om op “Doorgaan” te klikken zonder een vinkje te plaatsen voor “Ik heb het bovenstaande gelezen en ga hiermee akkoord”. De app is dan niet te gebruiken.

 

Eerder onderzoek door Cbp

Dit is opmerkelijk. De NPO werd namelijk vijf jaar geleden al op de vingers getikt door de Autoriteit Persoonsgegevens (destijds: College bescherming persoonsgegevens). De toezichthouder heeft toen geconcludeerd dat de NPO de Wet bescherming persoonsgegevens (Wbp) overtreedt door tracking cookies te plaatsen waarmee persoonsgegevens worden verwerkt, zonder hiervoor de ondubbelzinnige toestemming van de gebruiker te vragen.

Voor de NOS sluiten ik en Arnoud Engelfriet aansluiting bij deze eerdere zaak:

Internetjurist Arnoud Engelfriet ziet een duidelijke overeenkomst met de zaak uit 2013. “Dit lijkt me exact wat destijds expliciet verboden werd”, zegt Engelfriet. “App of website is juridisch hetzelfde.” Wouter Dammers, advocaat gespecialiseerd in ict-zaken, sluit zich daarbij aan.

Dammers wijst er bovendien op dat nieuwe privacyregels, die in mei ingaan, het extra belangrijk maken dat gebruikers bewust en vrij toestemming geven voor het plaatsen van cookies. De NPO zegt er hard aan te werken om aan de nieuwe regels te voldoen.

De NPO heeft aangegeven dat wordt gewerkt aan een optie waarmee gebruikers zullen kunnen bepalen of gegevens gedeeld mogen worden. Maar dit zou “technisch ingewikkeld” zijn en tijd kosten.  Overigens heeft NPO.nl deze mogelijkheid al wel.

Huidig juridisch kader: cookiemuur hier niet toegestaan

In de huidige Nederlandse cookiewet is bepaald dat cookies alleen mogen worden geplaatst of worden uitgelezen indien hiervoor toestemming is gekregen. Toestemming is niet vereist wanneer de cookies louter functioneel zijn, of indien de cookies geen of geringe invloed hebben op de persoonlijke levenssfeer van de betrokkene.

In het rapport uit 2013 heeft de privacywaakhond geoordeeld dat voor de met de cookies samenhangende verwerking van persoonsgegevens alleen een beroep kan worden gedaan op de grondslag “ondubbelzinnige toestemming”. Een andere grondslag (zoals een “gerechtvaardigd belang” of noodzakelijk om te voldoen aan de mediawet) is niet mogelijk.

Bij ‘ondubbelzinnige toestemming’ dient elke twijfel te zijn uitgesloten over de vraag of de betrokkene zijn toestemming heeft gegeven en voor welke specifieke verwerkingen deze toestemming geldt. Toestemming dient bovendien vrij, specifiek en informatie berustend te zijn. Van een vrijelijk gegeven toestemming is geen sprake als geen afzonderlijke toestemming kan verlenen voor verschillende verwerkingen, of wanneer de dienst afhankelijk is gemaakt van de toestemming – terwijl toestemming niet noodzakelijk is voor gebruik van dienst.

Het gebruik van de cookiemuur is daarom niet toegestaan. De NPO is destijds dan ook op de vingers getikt door het Cbp.

 

E-privacy Verordening vervangt cookiewet

Sterker nog, de Nederlandse cookiewet zal ook vervangen worden. Immers, de ePrivacyrichtlijn (waarop de cookieregels zijn gebaseerd) zal worden vervangen door de ePrivacy Verordening (“EPV”). Op basis van art. 8 lid 1 EPV zal het plaatsen van cookies alleen nog zijn toegestaan indien

 

  • hiervoor toestemming is verkregen;
  • de geplaatste cookies louter functioneel zijn; of
  • de cookies enkel dienen voor het bijhouden van webstatistieken door de dienstaanbieder zelf;

De hier genoemde toestemming verwijst naar de Algemene Verordening Gegevensbescherming (AVG). Deze verordening zal de Wbp vervangen.

Toestemming onder de AVG

In de AVG wordt het begrip toestemming aangescherpt:

Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

Dit wordt als volgt toegelicht (overweging 32):

Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.

En overweging 43:

Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. De toestemming wordt geacht niet vrijelijk te zijn verleend indien geen afzonderlijke toestemming kan worden gegeven voor verschillende persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is, of indien de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering.

In dit geval is het verlenen van de dienst afhankelijk van de toestemming. Die toestemming is niet noodzakelijk voor de uitvoering van de dienst. Zie ook het eerdere rapport van de privacytoezichthouder:

Uit de beoordeling van elk door de NPO genoemd artikelen van de Mediawet blijkt dat deze bepalingen de NPO niet verplichten om tracking cookies te gebruiken zonder informatie of toestemming, en dat een dergelijke wettelijke plicht (als die al zou bestaan) bovendien in strijd zou zijn met de relevante grondrechten.

Kortom: de gevraagde toestemming is niet rechtsgeldig. NPO overtreedt hiermee (wederom) de Wbp. En ook onder de AVG zal deze werkwijze niet zijn toegestaan.

E-Privacy Verordening verbiedt cookiemuur

Bij het voorstel voor de EPV (met recente opmerkingen van de Europese Raad) (zie: Proposal E Privacy Regulation) is ook toegelicht dat het essentieel is voor individuen om te kunnen communiceren en deel te nemen aan de digitale economie en dat een toestemming daarom niet geldig is als er geen echte, vrijelijke keuze is, of wanneer je de toestemming niet kunt weigeren zonder nadeel (overweging 18 EPV):

End-users may consent to the processing of their metadata to receive specific services such as protection services against fraudulent activities (by analysing usage data, location and
customer account in real time). In the digital economy, services are often supplied against counter-performance other than money, for instance by end-users being exposed to advertisements. Basic broadband internet access and voice communications services are to be considered as essential services for individuals to be able to communicate and participate to the benefits of the digital economy. Consent for processing electronic communications data from internet or voice communication usage will not be valid if the end-user has no genuine and free choice, or is unable to refuse or withdraw consent without detriment.

Dit betekent dat met het gebruik van een cookiewall niet voldaan is aan het toestemmingsvereiste.

Gevolgen van ongeldige toestemming

De NPO en de betreffende advertentiediensten lopen hiermee aanzienlijke risico’s. De gehele verwerking van gegevens is hiermee onrechtmatig. Dat er wordt gewerkt aan een nieuwe optie is doet daar niet aan af.

Betrokkenen kunnen zowel de NPO als de adverteerders onder de AVG aansprakelijk houden voor de geleden schade. Ook kan de AP enorme boetes opleggen, zowel op grond van de AVG als de EPV. Gezien de voorgeschiedenis zal het me niet verbazen als de AP weer zal optreden.

 

 

 

Gerelateerde berichten