GDPR: cookies in het vizier van de Gegevensbeschermingsautoriteit

Gebruikt u cookies op uw website? In dat geval hebben de Algemene Verordening Gegevensbescherming (AVG of GDPR) en de ePrivacy-verordening gevolgen voor de manier waarop u, als website-eigenaar, de toestemming van uw EU-bezoekers voor het gebruik van cookies moet verkrijgen en die toestemming moet bewaren.


Nathalie Ragheno, COMPETENTIECENTRUM RECHT & ONDERNEMING
08 februari 2022

Als uw site Belgische bezoekers heeft, moet u de instructies van de Gegevensbeschermingsautoriteit (GBA) volgen met betrekking tot het gebruik van cookies en andere tracers. Dat is het geval ongeacht of uw site wordt gehost  in België of daarbuiten. De toestemming van de bezoekers heeft niet alleen betrekking op de cookies die u zelf gebruikt (eigen cookies) voor de gegevensverwerking, maar ook op de cookies die door derden worden geplaatst. In België controleert de Gegevensbeschermingsautoriteit regelmatig of de wettelijke bepalingen en haar aanbevelingen inzake cookies worden nageleefd. Het is dan ook belangrijk om u aan die bepalingen te houden om zware boetes te vermijden.

De GBA heeft IAB Europe (Interactive Advertising Bureau Europe) onlangs een boete van 250.000 euro opgelegd en het bedrijf twee maanden de tijd gegeven om een actieplan op te stellen om zijn activiteiten in overeenstemming te brengen met de voorschriften (1). IAB werd veroordeeld vanwege pop-ups met toestemming voor cookies die als illegaal worden beschouwd. De GBA heeft meerdere inbreuken op de GDPR-wetgeving vastgesteld in de manier waarop IAB omgaat met gegevens die zijn verzameld via het Transparency and Consent Framework (TCF). Dat zijn de cookiebanners die je op tal van websites terugvindt. De GBA was van oordeel dat het TCF-systeem het de gebruikers moeilijk maakt om controle over hun persoonsgegevens te behouden, aangezien de verstrekte informatie te algemeen en vaag is om gebruikers in staat te stellen de aard en de omvang van de verwerking te begrijpen.

Al in 2019 legde de Geschillenkamer van de Gegevensbeschermingsautoriteit een Belgische website een boete van 15.000 euro op voor het schenden van haar transparantie- en toestemmingsverplichtingen inzake cookies. Ook het Europees Comité voor gegevensbescherming (EDPB) heeft richtsnoeren vastgesteld voor de naleving van de GDPR, waarin wordt verduidelijkt wat geldige toestemming op websites is en waarin het gebruik van ‘cookie walls’ onwettig wordt verklaard.

Hieronder herinneren we u aan enkele van de belangrijkste principes van toestemming. Het EDPB stelt in zijn richtsnoeren dat een ondubbelzinnige indicatie van de toestemming van de gebruiker moet worden gegeven door een duidelijke en positieve handeling van die gebruiker. De cookiebanner van een website mag niet aangeven dat verder surfen of scrollen op de site wordt beschouwd als toestemming voor cookies die persoonsgegevens verwerken, aangezien dat geen geldige vorm van toestemming is volgens de GDPR. In de EDPB-richtsnoeren staat ook dat het gebruik van standaard aangevinkte vakjes niet in overeenstemming is met de GDPR, aangezien dat niet voldoet aan de eis van een duidelijke en positieve handeling. 

(1) Besluit 21/2022 van de Geschillenkamer van de GBA van 2 februari 2022

Foto ©belga

Onze partners

Actiedomeinen

Een gezond ondernemingsklimaat is essentieel voor een gezonde economie en duurzame groei in België. Als VBO nemen we de verantwoordelijkheid om de motor van onze welvaartsstaat op kruissnelheid te houden. Om dat te bereiken, focussen we op 18 actiedomeinen die bijdragen tot een duurzame groei.


VBO-NIEUWSBRIEVEN EN PERSBERICHTEN

Schrijf u nu in en ontvang wekelijks de laatste artikelen direct in uw mailbox.