Selecteer een pagina

Jacht op misleidende en manipulatieve cookiebanners die niet voldoen aan de AVG

De Europese gegevensbeschermingsorganisatie Noyb is met een grootschalige campagne begonnen tegen irritante misleidende en manipulatieve cookiebanners die niet voldoen aan de Algemene Verordening Gegevensbescherming (AVG).

Maandag 1 augustus 2021 heeft de vereniging ongeveer 560 klachtenbrieven gestuurd naar bedrijven in Europa en de VS die, volgens de beoordeling van Noyb, misleidende cookiebanners gebruiken om toestemming af te dwingen voor het traceren van gegevens.

Met behulp van cookies kunnen gebruikersprofielen worden aangemaakt waaruit vergaande conclusies kunnen worden getrokken over surfgedrag, voorkeuren en leefgewoonten. Deze kennis wordt bijvoorbeeld gebruikt voor gepersonaliseerde reclame.

De vereniging Noyb is opgericht door de Oostenrijkse gegevensbeschermingsactivist Max Schrems. Hij wijst er op dat de Europese Algemene Verordening Gegevensbescherming (GDPR) voorschrijft dat gebruikers een duidelijke “ja of nee”-keuze moet worden voorgelegd. Vaak proberen aanbieders dit met trucs te omzeilen. Vervelende cookiebanners maken het juist uiterst ingewikkeld om op iets anders dan de “Accepteren”-knop te klikken.

Noyb heeft software ontwikkeld die verschillende soorten illegale cookiebanners kan detecteren en automatisch klachten kan genereren. Na te zijn begonnen met ongeveer 560 belangrijke websites – waaronder de Amerikaanse internetbedrijven Facebook, Google en Twitter – is de vereniging van plan om tot 10 000 van de meest bezochte websites in Europa onder de loep te nemen.

Alvorens formele klachten bij de bevoegde gegevensbeschermingsautoriteiten worden ingediend, zal Noyb de betrokken bedrijven elk een maand de tijd geven om hun cookiebanners aan de wettelijke vereisten aan te passen. Als een bedrijf zijn instellingen niet binnen een maand wijzigt, dient Noyb de klacht in bij de bevoegde autoriteit, die een boete van maximaal 20 miljoen euro kan opleggen.

In tegenstelling tot sommige waarschuwingsverenigingen wil Noyb echter zelf geen geld verdienen aan de golf van klachten. “We doen dit pro bono zonder winstoogmerk.”

Het project wordt gefinancierd uit de algemene begroting van de Noyb, die voor een groot deel steunt op ongeveer 4000 leden uit heel Europa.

Veel cookiebanners van mediasites voldoen niet aan de AVG. Richtlijnen zijn aangescherpt

Op 5 mei 2020 heeft het Europees Comité voor gegevensbescherming (EDSA) de richtlijnen voor toestemming voor het gebruik van cookies geactualiseerd.

De EDSA stelt dat deze actualisering bedoeld is om juridische duidelijkheid te verschaffen over met name twee fenomenen:

  • De geldigheid van de door de betrokkene gegeven toestemming bij interactie met zogenaamde “cookie-walls”.
  • De veronderstelde toestemming die wordt gegeven door het scrollen op een website.

Internetgebruikers zullen waarschijnlijk merken dat de voorheen gebruikelijke, smalle cookie-meldingen op websites, die meestal met een “Ok” konden worden weggeklikt, geleidelijk aan plaats maken voor zogenaamde “cookie-inhoudsbanners”.

Deze paradigmaverschuiving is waarschijnlijk te wijten aan de interpretatie van de Algemene Verordening Gegevensbescherming (AVG) door de toezichthoudende autoriteiten van de jurisprudentie van het Europese Hof van Justitie (arrest Planet49).

Veel websitebeheerders vragen nu nog via een cookiebannee aan bezoekers of zij akkoord gaan met cookietracking om “de gebruikerservaring te verbeteren” met enkel een “Ja”-knop en niet met een “Nee/Weigeren”-knop.

In plaats daarvan kan de onwillige gebruiker slechts op een “Instellingen” knop klikken, waarachter uitgebreide tekst – die hem vaak niet zal interesseren – en aankruisvakjes verborgen zijn.

De meeste websites voldeden tot dusver gewoon niet aan de AVG. Terwijl artikel 7, lid 3, zin 3 AVG, op zich toch heel duidelijk is:

“Intrekking van de toestemming moet net zo eenvoudig zijn als het geven van toestemming.”

Bij het doornemen van de EDSA-richtlijnen wordt al snel duidelijk dat die een samenvatting en verduidelijking zijn van reeds bekende vanzelfsprekende feiten, die door veel website-exploitanten niet worden gevolgd.

Internetgebruikers worden steeds vaker geconfronteerd worden met dubbelzinnige, onbegrijpelijke, verwarrende of gewoonweg vervelende cookiebanners, zoals de variant die beschreven wordt met “instellingen opslaan” in plaats van “afwijzen”.

De gepubliceerde richtlijnen moet daarom worden gezien als een poging om duidelijkheid te brengen in het ontwerp van de cookie banners en om een einde te maken aan bijzonder fantasierijke omzeilingen van de DSGVO-eisen.

Met name de zogenaamde “cookie-muren” en “toestemming door gebruik” of “toestemming door scrolling” die in de richtlijn worden behandeld, vertegenwoordigen slechts vaak voorkomende ontwerpen waarin de website-exploitanten een vermeende “toestemming” van de gebruiker krijgen om het volgen van de gebruiker te “rechtvaardigen”.

Het is dan ook niet verwonderlijk dat de richtlijnen van de EDSA inhoudelijk nauwelijks vernieuwingen bevatten.

De bijgewerkte richtlijnen maken nogmaals duidelijk dat toestemming niet kan worden afgedwongen.

Weg met de koekjesmuren

De grootste verandering is de expliciete verklaring dat “cookie walls” regelmatig voorkomen dat effectieve toestemming wordt verkregen. De EDSA stelt dat de toegang tot een webservice niet afhankelijk mag worden gemaakt van toestemming voor het plaatsen van zogenaamde cookies.

Met name veel mediasites blokkeren de toegang tot artikelen door een paginagrote banner voor de neus van de lezer te plaatsen, met de mogelijkheid om ofwel tracking te accepteren (“Lees meer met reclame”) of een abonnement te nemen. Deze gang van zaken is echter in strijd met de AVG.

Geen impliciete toestemming door scrollen

Met betrekking tot de vermeende toestemming door het gebruik van de website of het scrollen, zoals vaak te vinden in oudere cookiewetgevingen, stelt de EDSA in het kort:

“Acties zoals scrollen of vegen door een website of soortgelijke gebruikersactiviteiten voldoen in geen geval aan de eis van een duidelijke en positieve actie”.

Ook dit is eigenlijk een vanzelfsprekendheid, die uit overweging 32 van de AVG zou moeten blijken: “Toestemming moet worden gegeven door middel van een duidelijk bevestigend besluit…”

Of de herziene EDSA-richtlijn zal leiden tot meer juridisch conforme toestemming op het internet is nog maar de vraag. Veel organisaties houden zich weloverwogen niet aan de wet, omdat zij weten dat er amper gecontroleerd wordt en de kans op boetes klein is.