Cookiebeleid niet in lijn met AVG

De kan is groot wanneer je een site opent, er een pop-up in beeld komt om te vragen of je cookies toestaat. Daarmee wordt toestemming gevraagd om je internetgedrag te kunnen volgen. Echter heeft het Hof van Justitie van de Europese Unie (HvJ-EU) afgelopen donderdag geoordeeld dat het cookiesysteem van IAB (Interactieve Advertising Bureau) in strijd is met de Europese privacywet; Algemene Verordening Gegevensbescherming (AVG). Dit kan grote gevolgen hebben voor gebruikers bij het inzetten van het cookiebeleid, aangezien bijna iedere website deze gebruikt. Door cookies te accepteren worden meerdere gegevens opgeslagen. Het is maar de vraag voor hoelang deze gegevens worden opgeslagen en hoelang je internetgedrag wordt getrackt.

Feiten

De zaak vond plaats tussen IAB en de Gegevensbeschermingsautoriteit in België. IAB gebruikt een cookiesysteem dat op grote schaal te vinden is op het internet. Aan het Hof werden twee (prejudiciële) vragen gesteld. (1) Is een normerende sectororganisatie (IAB) een verwerkingsverantwoordelijke als zij een standaard voor toestemmingsbeheer aanbiedt zonder directe toegang tot persoonsgegevens? En (2) strekt de verantwoordelijkheid van de sectororganisatie automatisch uit naar latere verwerkingen door derden voor online reclamevoorkeuren van internetgebruikers? Het beheer van de cookiesystemen bevat gedetailleerde voorschriften voor de opslag en verspreiding van toestemmingsgegevens, die persoonsgegevens bevatten. Belangrijke overwegingen waren of het verkrijgen van toegang tot persoonsgegevens en het verbinden van een identificator zoals een IP-adres van invloed waren op deze beoordeling. Daarnaast draaide het geschil ook om de interpretatie van artikel 4 en 24 van de AVG in het licht van artikel 7 en 8 van het Handvest van de grondrechten van de Europese Unie.

Oordeel

Het Hof heeft geoordeeld dat het cookiesysteem van IAB in strijd is met de AVG. Zij oordeelde dat de interpretatie van de hierboven genoemde bepalingen van de AVG in overeenstemming moet zijn met de fundamenten rechten van de individuen (art. 7 en 8 Handvest). Het feit dat de sectororganisatie geen rechtstreeks toegang heeft tot de persoonsgegevens die binnen de standaard door haar leden werd verwerkt, staat hier niet aan in de weg. Daarmee benadrukt het Hof dat de gezamenlijke verantwoordelijkheid niet automatisch geldt voor latere verwerking van persoonsgegevens door derde. Denk daarbij aan aanbieders van internetsites of applicaties met betrekking tot voorkeuren van gebruikers voor gerichte online reclame. Het is volgens het Hof van belang om passende technische en organisatorische maatregelen worden genomen in overeenstemming met de AVG.

IAB Cookiesysteem

Het cookiebeleid van IAB is gekoppeld aan het Real Time Building (RTB) systeem, wat wordt gebruikt door maar liefst 80% van de Europese websites. Op basis van persoonsgegevens van de internetgebruikers worden advertenties geplaats bij bezoekers. Het systeem werkt als volgt; wanneer een gebruiker een website of app bezoekt met beschikbare advertentieruimte, wordt deze in realtime geveild op een advertentie-exchange waar adverteerders bieden op basis van criteria. Het systeem selecteert de winnende advertentie op basis van het hoogste bod en toont deze direct aan de gebruiker op de website of app. Dit systeem hanteerde het Transparency & Consent Framework (TCF) om de digitale advertentie in overeenstemming met de AVG te reguleren. Zowel de RTB al de TCF werden door de Gegevensbeschermingsautoriteit onderzocht.

Gevolgen in de praktijk

Doordat zo veel Europese websites het RTB systeem gebruiken zullen ze het cookiebeleid hoogstwaarschijnlijk moeten aanpassen. Door deze uitspraak zal er meer transparantie moeten komen over hoe de persoonsgegevens worden verwerkt. Maar ook de toestemming op het cookiebeleid moet specifieker, beter geïnformeerd en geldiger. Daarin moeten gebruikers actief en vrijelijk toestemming kunnen geven voor het verzamelen en gebruiken van hun gegevens voor gerichte reclame. Daarnaast moet de hoeveelheid aan verwerkte informatie een stuk worden verminderd. Door de uitspraak zullen organisaties nu ook duidelijker moeten vaststellen wie verantwoordelijk is voor de verwerking van die gegevens in lijn met de AVG. Voor de internetgebruikers worden de rechten op privacy en gegevensbescherming echter versterkt. Zij kunnen meer vertrouwen hebben in het cookiesysteem en kunnen beter geïnformeerd worden over hoe hun gegevens worden bewerkt en beschermd.

Conclusie

De uitspraak van het Hof in deze zaak geeft belangrijke implicaties voor gegevensbescherming van persoonsgegevens in Europa. Het is echter de vraag in hoeverre dit kan doorwerken in de praktijk. Europese gebruikers van het RTB systeem moeten in ieder geval meerdere veranderingen binnen de website bewerkstelligen om in lijn van de AVG en het Handvest te blijven.

Vragen?

Heeft u vragen over cookies of het beleid ervan? Onze advocaten adviseren u graag! Contact dan een van onze advocaten via de mail, telefonisch of vul het contactformulier in voor een vrijblijvend eerste gesprek. Wij denken graag met u mee.