De Gegevensbeschermingsautoriteit (GBA) heeft een checklist gepubliceerd om organisaties te helpen om hun cookiepraktijken in overeenstemming te brengen met de huidige regelgeving. De GBA beschouwt cookies in 2023 dan ook als een prioritaire bezorgdheid.
Ter herinnering: cookies zijn ‘minibestanden’ die kunnen worden geplaatst op een apparaat dat is verbonden met het internet, zoals een computer, telefoon, tablet of smart-tv. Cookies kunnen worden gebruikt om informatie te verzamelen of op te slaan over onder meer het gedrag van bezoekers op een website, over de taal die ze gebruiken, hun interesses en hun consumptiepatronen.
Beheerders van websites of mobiele applicaties die cookies willen installeren en/of lezen op apparaten die met het internet zijn verbonden, moeten op een duidelijke en eenvoudige manier uitleggen hoe cookies functioneren en waarom zij die cookies plaatsen en lezen. Verwerkingsverantwoordelijken worden daarom opgeroepen om een uitgebreid, duidelijk, transparant en gemakkelijk te begrijpen cookiebeleid te hebben.
Het is daarbij essentieel dat de toestemming van de bezoeker/internetgebruiker het resultaat is van een duidelijke actieve en geïnformeerde handeling en dus gebaseerd is op een duidelijke toelichting.
Vorig jaar publiceerde de European Data Protection Board (EDPB) een verslag met voorbeelden van niet-conforme praktijken met betrekking tot cookiebanners.
- De EDPB herhaalde dat vooraf aangevinkte vakjes geen geldige toestemming vormen zoals bedoeld in de GDPR of ePrivacy-richtlijn, ongeacht het niveau van de banner waarin het aan te vinken vakje is opgenomen.
- Bepaalde websites beroepen zich op het gerechtvaardigde belang en niet op toestemming voor de verdere verwerking van gegevens na het plaatsen of lezen van cookies. In het EDPB-verslag wordt erop gewezen dat het gerechtvaardigde belang geen rechtsgrond kan vormen voor het plaatsen van cookies zelf, en dat als het plaatsen of lezen van cookies niet in overeenstemming is met de ePrivacy-richtlijn, de daaropvolgende verdere verwerkingen niet conform de GDPR kunnen zijn.
- De EDPB benadrukt het belang van een ‘alles weigeren’-knop op hetzelfde niveau als de ‘alles accepteren’-knop.
De meeste gegevensbeschermingsautoriteiten, waaronder de GBA, zijn van mening dat dat een inbreuk is en dat de gebruiker van een website tegelijkertijd de mogelijkheid moet hebben om het plaatsen of lezen van cookies op zijn apparaat te accepteren of te weigeren.
Om bedrijven te helpen bij het beheren van hun cookies, heeft de GBA op haar website een overzichtstool gepubliceerd waarin stap voor stap een aantal do’s-and-don’ts in verband met cookies en soortgelijke trackingmechanismen worden doorlopen.
De GBA wijst erop dat alleen strikt noodzakelijke cookies zijn vrijgesteld van toestemming en dat alle andere categorieën van cookies alleen mogen worden geplaatst en gelezen als de gebruiker er vooraf op een vrije, specifieke, geïnformeerde, ondubbelzinnige en actieve manier toestemming voor heeft gegeven.
De lijst met verplichtingen in de checklist is niet exhaustief. Het is een tool waarmee de GBA het correcte gebruik van cookies wil aanmoedigen. De cookieschecklist werd dus toegevoegd aan de GBA-toolbox voor verwerkingsverantwoordelijken, waarin onder andere al sjablonen voor het register van de verwerkingsactiviteiten, de checklist voor de DPO en een overzicht van de rechten van betrokkenen per rechtsgrondslag terug te vinden zijn.
Op basis van deze nieuwe aanbevelingen valt te verwachten dat de GBA controles zal uitvoeren. In 2022 werden de nieuwswebsites nog door de inspectiedienst doorgelicht en aan zware sancties onderworpen.
Lees meer artikels over:
