De European Data Protection Board (EDPB) heeft een nieuwe richtlijn uitgegeven over toestemming in het kader van de Algemene Verordening Gegevensbescherming (AVG). De cookiemuur als vorm van toestemming is daar een onderdeel van, maar ook andere manieren van toestemming op websites worden besproken. Een overzicht van de richtlijn vindt u in deze bijdrage.
De EDPB als onafhankelijk orgaan
De EDPB is een samenwerkingsverband van alle privacy-toezichthouders in de Europese Unie en opgericht met de AVG. Zij fungeert bovendien als Europese toezichthouder. Zo gaf zij ook een uitleg over de grondslag van vitaal belang tijdens de coronacrisis. Zo verzekert de EDPB dat de AVG binnen de EU zo veel mogelijk op dezelfde wijze wordt uitgelegd.
Eisen voor rechtsgeldige toestemming
De richtlijn breekt het toestemmingsbegrip uit de AVG in vier eisen. Toestemming moet:
- vrijelijk zijn gegeven;
- specifiek;
- geïnformeerd; en
- ondubbelzinnig zijn.
Deze eisen zijn niet nieuw, zij komen immers uit de AVG. Ook de Autoriteit Persoonsgegevens (AP) hanteert deze eisen. De EDPB geeft nu meer uitleg per onderdeel.
Vrijelijk gegeven toestemming en de cookiemuur
Binnen de richtlijn is veel aandacht voor het vrijelijk kunnen geven van toestemming. Belangrijk onderdeel is het bundelen van toestemming aan de toegang tot een dienst of contract. Met name wanneer de toestemming gecombineerd wordt voor de verwerking van persoonsgegevens die niet nodig zijn voor het contract is dit volgens het EDPB ongewenst. Of persoonsgegevens daadwerkelijk nodig zijn, moet strikt worden geïnterpreteerd.
Als voorbeeld geeft de EDPB de bank die persoonsgegevens wil gebruiken voor direct marketing: die verwerking is niet nodig voor de bankdiensten. De bank mag voor deze verwerking dus niet toestemming als grondslag gebruiken.
Volgens de EDPB valt ook de cookiemuur onder een niet vrijelijk gegeven toestemming. Net als bij de bank kan de consument geen nee zeggen en toch de website bezoeken. Daarom is er geen vrije keuze en geen rechtsgeldige toestemming.
Specifieke toestemming: onderscheid per doel
De toestemming moet specifiek genoeg zijn. Zo moet er per doel toestemming gegeven en ingetrokken worden. Wanneer een doel verandert, of wanneer een dienst een nieuw doel toevoegt, moet ook daar specifiek toestemming voor worden gegeven.
De EDPB geeft als voorbeeld de televisiemaatschappij die al toestemming heeft voor het bewaren van het kijkgedrag, maar nu derde partijen wil toelaten tot deze persoonsgegevens. Voor dat laatste is weer een nieuwe toestemming nodig.
Geïnformeerd betekent transparantie
Voor een geïnformeerde keuze heeft de betrokkene recht op een hoop informatie. De EDPB acht de volgende informatie verplicht: de identiteit van de verwerkingsverantwoordelijke, het doel van de verwerker, welke data wordt verzameld en gebruikt, het recht op intrekken van toestemming, informatie over geautomatiseerde besluitvorming en de eventuele doorgifte aan derde landen en de beveiliging – of het gebrek daaraan – bij die doorgifte.
De AVG zegt niet hoe de informatie moet worden gebracht. Wel is duidelijk dat de informatie in duidelijk en simpel taalgebruik moet zijn, begrijpelijk voor de gemiddelde persoon en bijvoorbeeld niet alleen te begrijpen door advocaten. De doelgroep is hierbij ook van belang: een jonger publiek heeft nóg simpeler taalgebruik.
Ondubbelzinnig betekent een bewuste toestemming: scrollen niet voldoende
Een toestemming mag een consument niet achteloos geven. De consument moet een bewuste actie ondernemen om toestemming te geven. Toestemming moet ook altijd ingetrokken kunnen worden op een even gemakkelijke wijze als het geven van de toestemming. Daarnaast moet de verwerkingsverantwoordelijke kunnen aantonen dat er daadwerkelijk toestemming is gegeven.
Momenteel zien we nog veel websites waar ‘het gebruik van de website’ door de verwerkingsverantwoordelijke als toestemming wordt gezien. Het scrollen van een webpagina als vorm van toestemming is volgens de EDPB niet toegestaan.
Samenvatting: toestemming via websites
De richtlijn van de EDPB lijkt grote gevolgen te hebben voor de manier waarop toestemming voor cookies moet worden verkregen. Toegang tot de website mag dus niet afhankelijk zijn van de toestemming, de selectievakjes mogen niet vooraf ingevuld zijn en het weigeren van toestemming moet net zo makkelijk zijn als het geven daarvan. Voor websitebouwers is er dus werk aan de winkel om cookiemuren weer af te breken.
Heeft u vragen over toestemming voor het verwerken van persoonsgegevens? Wilt u weten of de toestemming voor cookies op uw website voldoet? Neemt u dan contact op met één van onze advocaten privacy.
Eva Lammers
Joke Schraagen
Marjolein Meijer