Winkelmand

Geen producten in de winkelwagen.

Heeft een bezoeker altijd recht op toegang tot je website? De AP vindt van wel

Een verbod op cookiemuren wekt de indruk dat bezoekers altijd recht hebben op toegang tot iemands website. Dat gaat ICT-jurist Arnoud Engelfriet te ver, schrijft hij in een blog.

De Autoriteit Persoonsgegevens (AP) stelt nu dat de zogeheten cookiewall in strijd is met de Europese privacywet, meldde RTL Nieuws afgelopen donderdag. De waakhond ontving de afgelopen tijd tientallen klachten over cookiewalls en besloot dat het maar eens afgelopen moest zijn met dwingende meldingen waar je ‘ja’ moet klikken om toegang tot een website te krijgen.

Het argument is natuurlijk dat een dergelijke toestemming afgedwongen is, en dat is in strijd met de definitie van toestemming in de AVG die toch vrij duidelijk spreekt van “vrijwillig”. Maar volgens mij is de AVG iets genuanceerder dan dat.

Gisteren publiceerde de AP een normuitleg over cookiewalls, zeg maar een gezaghebbende opinie in functie over hoe de AVG uitgelegd moet worden. Met zo’n normuitleg kan de AP vervolgens gerichter handhaven, iedereen zou nu moeten weten hoe het zit. En omgekeerd, als je doet wat in de normuitleg staat dan hoef je niet bang te zijn dat er tegen je gehandhaafd wordt.

Tracking cookies

De normuitleg maakt al meteen duidelijk dat het gaat om tracking cookies. Wie een cookiewall bij andersoortige cookies inzet (bijvoorbeeld bij first party analytics) valt er dus buiten, dat is dan een juridisch andere situatie. Maar werk je met tracking (een term die in de normuitleg niet wordt gedefinieerd) dan krijg je dit:

“Het principe van een cookiewall komt neer op ‘take it or leave it’ en is daarmee geen ‘echte’ of ‘vrije’ keuze. Hoewel bij cookiewalls toestemming voor het plaatsen van cookies kan worden geweigerd, kan dat niet zonder nadelige gevolgen, omdat de weigering betekent dat de website dan überhaupt niet kan worden bezocht. Kortom, als op een website (mede) wordt gevraagd om toestemming voor tracking cookies en bij weigering daarvan toegang tot de website, app of andere dienst niet mogelijk is, vindt de AP dat onrechtmatig.”

Niet verplicht

Ik vind hier wel wat van. Allereerst vind ik het veel te snel om te zeggen “je kunt niet bij een site dús geef je geen vrije toestemming”. Een dienstverlener is niet verplicht je toegang te verlenen tot zijn site, dus vind ik het niet a priori onrechtmatig om toegang te weigeren.

Daarnaast is de AVG zeker niet zo stellig. Artikel 7 lid 4 zegt immers:

“4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.”

Dit is nadrukkelijk niet hetzelfde als “het mag niet”. Ik vind dat een normuitleg dan niet zo categorisch kan zeggen “het mag niet”, maar moet aangeven met welke factoren je dan rekening zou moeten houden.

Groot

Ik kan me er bijvoorbeeld wat bij voorstellen als je zegt, nieuwswebsites (zoals Nu.nl of RTL Nieuws) die zo groot zijn dat ze essentieel deel van het medialandschap zijn, die mogen geen cookiewall. Dan ontzeg je het publiek toegang tot iets essentieels, net zoals wanneer de KLM dat zou doen. Of wanneer de cookiewall pas komt nadat je al een relatie met de organisatie hebt, zoals een energiebedrijf dat een cookiewall zet op de pagina voor de meterstanden of een voetbalvereniging op het ledengedeelte.

Zijn er alternatieven? De AP noemt ze niet. Ja, je kunt als site volstaan met analytics cookies en geen advertenties tonen:

“Daarmee kan de bezoeker die niet ‘getracked’ wil worden, toch de site raadplegen.”

Te ver

Dat geloof ik graag, maar dit komt erop neer dat je als bezoeker te allen tijde recht hebt op toegang tot iemands website. En dat gaat me te ver – de AVG zegt “kijk ten strengste naar de relatie tussen toestemming en dienst” en niet “je mag het niet koppelen”.

Helemaal mooi vond ik de reactie van collega-jurist Charlotte Meindersma:

Ook internetjurist Charlotte Meindersma vindt de reactie van de AP ‘nogal overdreven’: “In een aankomende Europese wet, de ePrivacy Verordening, gaat het veel meer over cookiewalls. Daarin staat dat websites waar informatie op staat die je nergens anders krijgt, geen cookiewall mogen hebben, zoals overheidswebsites. Maar voor commerciële media heb je genoeg alternatieven.”

Nieuwe situatie

Die Verordening is nog niet aangenomen, maar veel zal er niet meer veranderen denk ik. Er kan dus de situatie ontstaan dat we straks een op de AVG aanvullende (en dus prevalerende) wet krijgen die zegt dat mediasites wél mogen tracken en dat met cookiewall mogen afdwingen, waardoor deze normuitleg weer moet worden teruggedraaid. Zit je dan als ondernemer.