De Autoriteit Persoonsgegevens gaat dit jaar cookiembanners kritischer bekijken. Ondanks “duidelijke uitleg” over de implementatie van deze meldingen vanuit de AP worden gebruikers nog altijd onvoldoende geïnformeerd over hoe men door cookies gevolgd zullen worden.
Sinds de introductie van de GDPR in 2018 zijn cookiebanners gemeengoed geworden bij moderne websites. Daar waar sommige sites een zeer beknopte banner hanteren, leggen andere partijen uitgebreid uit met welke trackingcookies gebruikers instemmen. Cookies komen voor in allerlei soorten en maten, maar veelal zijn er persoonsgegevens aan verbonden. Ze kunnen gebruikt worden voor website-analytics om unieke bezoekers te meten, gepersonaliseerde ervaringen bieden of bijvoorbeeld gerichte reclame opdienen.
Ongewenste praktijken verhuld
De AP beklaagt zich niet zozeer over het bestaan van dergelijke praktijken. Wel benadrukt de toezichthouder dat het belangrijk is dat websitebezoekers “grip houden op hun persoonsgegevens.” Het zou hierbij moeten gaan om een bewuste keuze die de gebruiker maakt, niet een verhulling van ongewenste praktijken.
Voorzitter van de AP Aleid Wolfsen is niet tevreden over de gevolgen voor gebruikers die deze cookies met zich meebrengen. “Met volgsoftware of tracking cookies kunnen organisaties meekijken naar jouw internetgedrag. Dat mag niet zomaar, want wat je op internet doet is heel persoonlijk. Een organisatie mag dat alleen bijhouden als je er expliciet mee akkoord gaat. En je moet de mogelijkheid hebben om deze volgsoftware te weigeren, zonder dat dit nadelig voor je uitpakt.”
Hoe het wel moet
De AP heeft al eerder aangegeven hoe cookiebanners er idealiter uit moeten zien, maar men stipt wederom de criteria hiervoor aan. Zo moeten deze meldingen informatie geven over het doel ervan, vinkjes niet automatisch aanzetten, duidelijke tekst gebruiken, keuzes op één laag bieden en er geen enkele verbergen. Ook moeten gebruikers niet extra klikken, een onopvallende link aanklikken, helder zijn over het intrekken van toestemming en toestemming niet verwarren met gerechtvaardigd belang.
Over die laatste kwestie biedt de AP een uitgebreide uitleg. Daaruit blijkt dat enkel het verschaffen van toestemming bij lange na niet het enige criterium is voor vergevorderde vormen van tracking. De eisen zijn hoog, waardoor websitebeheerders zich mogen afvragen of ze daar daadwerkelijk aan voldoen.
Lees ook: 10 miljoen euro boete voor Uber wegens overtreden privacyregels