Onlangs benaderde een vaste cliënt ons met een interessante vraag. De cliënt stuitte tijdens een bezoek aan een website op een bijzondere ‘paywall’. Een paywall laat een bezoeker pas toe tot een website als hij bereid is om voor deze toegang te betalen. Bij de cliënt werd echter niet enkel om geld gevraagd. Is het daarom een onrechtmatige paywall?
Tracking cookies als betaling
Deze op een nichedoelgroep gerichte – doch populaire – nieuwssite gaf cliënt twee opties. Optie een eiste dat de bezoeker ‘tracking cookies’ zou inschakelen. Met deze optie zou de website het surfgedrag van de bezoeker vanaf dat punt nauwkeurig kunnen volgen. Althans, totdat de cookies handmatig worden verwijderd. Met optie twee moest de bezoeker via de normale weg een abonnement afsluiten. De cliënt vroeg zich af of deze constructie is toegestaan.
De waarde van tracking cookies
Op het eerste oog zou je kunnen denken dat een dergelijke constructie inderdaad is toegestaan. Websites die gebruik maken van een ‘reguliere’ paywall weigeren immers ook de toegang tot een website totdat de bezoeker betaalt. Maar dit is anders dan betaling met de euro. Het gaat om de verstrekking van persoonsgegevens omtrent het surfgedrag van de betaler. Uit berichtgeving blijkt dat dat surfgedrag meer over iemand zegt dan voorheen werd gedacht. Deze data is voor onder andere adverteerders daarom meer waard dan de prijs die een bezoeker in euro’s zou betalen voor toegang tot de website.
Onrechtmatige paywalls
De grootschalige exploitatie van persoonsgegevens is een probleem. De Autoriteit Persoonsgegevens gaf daarom in 2019 aan wanneer een paywall in ieder geval niet aan de AVG voldoet:
“Als op een website wordt gevraagd om toestemming voor tracking cookies en bij weigering daarvan toegang tot de website of service niet mogelijk is, staan mensen onder druk hun persoonsgegevens af en dat is onrechtmatig.”
Een van de grondslagen waarop de verwerking van persoonsgegevens mag plaatsvinden is toestemming. De toestemming om het surfgedrag te mogen tracken moet volledig vrij gegeven kunnen worden. Volgens de AP is toestemming in ieder geval “niet ‘vrij’ als iemand geen echte of vrije keuze heeft. Of als diegene het geven van toestemming niet kan weigeren zonder nadelige gevolgen”. Het weigeren van de toegang tot een website op het moment dat een bezoeker geen toestemming geeft voor tracking cookies is in ieder geval onrechtmatig, aldus de AP.
Keuze tussen betaling en verlenen persoonsgegevens is momenteel grijs gebied
Dit is mogelijk anders wanneer de bezoeker een keuze krijgt tussen het inschakelen van tracking cookies en een reguliere betaalmethode. De opkomende Europese ePrivacyverordening zal hier waarschijnlijk meer duidelijkheid over scheppen. Zoals het er nu voor staat verbreedt de conceptversie van de verordening het begrip ‘cookiewall’. Daardoor kunnen websites moeilijker onder het bereik van de privacywet uitkomen. De hoofdregel is daarbij dat een cookiewall niet is toegestaan.
Een cookiewall mag echter blijven staan wanneer zij tevens een cookievrije optie aanbiedt. Daardoor wordt gelijke of gelijk te stellen toegang tot de dienst mogelijk. Deze uitzondering lijkt voorlopig niet te gelden wanneer er geen redelijke alternatieven voor de dienst bestaan. Bijvoorbeeld wegens marktdominantie. Ook wanneer er sprake is van een grote afhankelijkheidsrelatie, zoals bij publieke diensten, geldt de uitzondering niet. De huidige versie van de ePrivacyverordening lijkt dus te wijzen op de toelaatbaarheid van een “Cookies-of-Betalen” hybride.
Discussie speelt nog steeds
Desondanks leeft de discussie nog steeds. Binnen die discussie lopen de meningen (van Europese lidstaten) sterk uiteen. Het is niet zonder reden dat de verordening nog niet in werking is getreden. De Autoriteit Persoonsgegevens blijft bij haar eerder gegeven uitleg. Toestemming voor het inschakelen van tracking cookies kan niet vrij worden gegeven zoals dat is bedoeld in de AVG. Dit in tegenstelling tot de Oostenrijkse privacywaakhond. Die stelde dat de hybride cookiewall juist niet als een schending van de AVG valt aan te merken.
Het is verstandig om terughoudend te zijn als u het hybride systeem nu wilt implementeren. Als de AP haar standpunt blijft aanhouden, dan kan dit tot de intredingwerking van de ePrivacyverordening tot mogelijk ongewenste maatregelen leiden.
Privacybelangengroep noyb heeft vorig jaar augustus meerdere klachten ingestuurd. Deze gingen over de “Cookies-of-Betalen”-strategie van een aantal van de grootste nieuwswebsites in Duitsland en Oostenrijk. De klacht stelt onder andere dat de machtsposities van website en bezoeker té ver uiteen lopen. Maar ook dat de tracking cookies niet noodzakelijk zijn voor de levering van de dienst. Er is bovendien geen enkele manier om toestemming te weigeren of in te trekken. Want dat levert nadelen op. De belangenafweging tussen het verkregen voordeel en geleden nadeel is buitenproportioneel, aldus de groep. De bevoegde regionale en nationale instanties hebben nog niet gereageerd op het standpunt van noyb.
Bewust omgaan met persoonsgegevens
Ongeacht de uitkomst van de in het buitenland spelende kwestie is één ding zeker. Persoonsgegevens van de mens kunnen zeer waardevol zijn voor de marketingpraktijk. Dit bewustzijn kan bijdragen aan een sterke(re) positie van de consument. Persoonsgegevens kunnen in dat kader vergeleken worden met geld.
Wilt u graag juridisch advies inwinnen over de juistheid van de implementatie van een paywall of cookies? Dan kunt u contact opnemen met de gespecialiseerde advocaten van JPR.
Joke Schraagen
Marjolein Meijer
David Vrijbergen