e-Privacy Verordening: oude wijn in nieuwe zakken?

Na jaren van onderhandelen hebben de Europese lidstaten ingestemd met het concept van de e-Privacy Verordening, die onder andere specifieke regels bevat voor omgang met privacy op digitale kanalen. Lees in deze blogpost wat dit kan betekenen voor je marketingactiviteiten en waarom Nederland feitelijk flink vooruit liep met de discussie rondom de cookiewetgeving

Op 10 februari jongstleden lijkt een belangrijke stap te zijn gezet op het gebied van de Europese privacyregulering in relatie tot cookies. Op die dag stemden de Europese Raad van Ministers, oftewel de lidstaten, in met het voorstel van de e-Privacy Verordening. Dit mag gerust een prestatie van formaat genoemd worden, omdat het eerste concept voor een aangepaste e-Privacy Verordening reeds in januari 2017 door de Europese Commissie is gepubliceerd, met als doel om die gelijktijdig met de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 in werking te laten treden. De opgetreden vertraging is onder andere veroorzaakt door de vraag of zogenaamde cookiemuren verboden moeten worden of niet. De bal ligt nu weer bij de Europese Commissie en het Europese Parlement die samen met de lidstaten definitieve goedkeuring aan de tekst moeten geven.

Cookiemuren onder voorwaarden toegestaan

Bij het gebruik van cookiemuren wordt een bezoeker die geen cookies accepteert, geen toegang verleend tot de (rest van) de website. Het voorstel dat nu voorligt, bevat geen absoluut verbod voor cookiemuren, maar koppelt het gebruik aan de aard van de aangeboden diensten en de positie van de aanbieder op de markt. In de tekst is opgenomen dat aanbieders van publieke diensten of dominante marktpartijen geen cookiemuren mogen gebruiken. Dit wordt verboden omdat in dergelijke situaties sprake is van een duidelijke onbalans tussen de eindgebruiker en de dienstenaanbieder en de eindgebruiker de mogelijkheid wordt onthouden om een echte keuze te maken. In andere gevallen is het gebruik van cookiemuren wél toegestaan.

Deze genuanceerde positie ten aanzien van de toelaatbaarheid van cookiemuren betekent dat het Nederlandse standpunt van de laatste jaren voor een verbod op cookiemuren, niet door de andere Europese lidstaten is overgenomen. Zo heeft Sander Dekker, Minister voor Rechtsbescherming, in 2019 in antwoorden op kamervragen gesteld dat Nederland pleit voor een verbod op cookiemuren Ook Mona Keijzer, Staatssecretaris voor Economische Zaken en Klimaat, heeft in reactie op een in 2018 aangenomen motie van het kamerlid Verhoeven, in 2019 geantwoord dat Nederland voorstander is van een dergelijk verbod. Indien het huidige voorstel voor de e-Privacy Verordening definitief wordt vastgesteld, moet ook het standpunt van de Autoriteit Persoonsgegevens dat cookiemuren niet zijn toegestaan, worden herzien.       

Nederland had vooruitziende blik

Het feit dat Nederland de laatste jaren in Brussel heeft gepleit voor een algemeen verbod op het gebruik van cookiemuren, betekende een belangrijke wijziging ten aanzien van de Nederlandse cookiewetgeving uit 2015. Zo stelde de toenmalige Minister van Economische Zaken, Henk Kamp, tijdens de behandeling van het wetsvoorstel in de Tweede Kamer dat de aanbieder van de website in beginsel vrij is om de verdere toegang te weigeren als een gebruiker van internet niet bereid is de prijs van de website, het toestaan van trackingcookies, te betalen. Daarenboven antwoordde hij dat de regering geen afbreuk wilde doen aan de ondernemingsvrijheid om een tegenprestatie te verlangen voor het gebruik van een website. Een uitzondering op dit standpunt werd gemaakt voor overheidswebsites waarvoor geen cookiemuren toegestaan waren. Dit standpunt is later ook overgenomen door de Autoriteit Consument en Markt. De positie van de Europese Raad ten aanzien van de toelaatbaarheid van cookiemuren is derhalve in lijn met de Nederlandse cookiewetgeving uit 2015.

Meer duidelijkheid voor adverteerders

Naast de toelaatbaarheid van cookiemuren is ook het gebruik van cookies voor advertentiedoeleinden een heet hangijzer geweest bij het opstellen van de aangepaste e-Privacy Verordening. Hierbij speelde met name de vraag of cookies mogen worden gebruikt voor het volgen van personen over het internet, ook wel aangeduid als gericht adverteren, behavioral targeting of persoonlijke advertenties. Ook op dit gebied biedt de door de Europese lidstaten aangenomen tekst meer duidelijkheid. In de overweging bij de artikelen wordt gesteld dat cookies een legitiem en nuttig hulpmiddel kunnen zijn, bijvoorbeeld om de effectiviteit van een geleverde dienst te beoordelen, voor het ontwerpen van websites en advertenties, door te helpen bij het meten van het aantal eindgebruikers dat een website, of bepaalde pagina's van een website, bezoekt of het aantal eindgebruikers van een applicatie. Dit is echter niet het geval bij cookies en soortgelijke identificatiegegevens die worden gebruikt om te bepalen wie de site gebruikt, waarvoor altijd de toestemming van de eindgebruiker vereist is.

Uit deze laatste omschrijving die is opgenomen in overweging 21a (“cookies and similar identifiers used to determine the nature of who is using the site, which always require the consent of the end-user”) wordt niet de exacte reikwijdte van het toestemmingsvereiste duidelijk. Op dit moment wordt wordt door een aantal partijen alternatieven voor het gebruik van third party cookies ontwikkeld. Hierbij worden internetgebruikers in verschillende groepen of cohorten ingedeeld, op basis waarvan wordt bepaald welke advertenties deze personen te zien krijgen. Het is nog niet duidelijk of voor deze cookie-alternatieven ook toestemming op basis van de aangepaste e-Privacy Verordening noodzakelijk is.

Deze tekst over het gebruik van cookies voor advertentiedoeleinden sluit aan bij de eerdergenoemde wijziging van de Nederlandse cookiewetgeving uit 2015. In die wetswijziging werd een uitzondering gemaakt voor cookies met geringe privacy gevolgen waarvoor geen toestemming hoeft te worden verkregen. In de Memorie van Toelichting bij deze wet werd aangegeven dat onder deze uitzondering onder andere analytische en affiliate cookies vallen, alsmede cookies die worden gebruikt voor a/b testing. Bij deze cookies gaat het niet zozeer om de  informatie over de bezoeker, maar over de statistieken (aantal bezoeker, effectiviteit advertenties etc.) die zijn te ontlenen aan het gebruik van cookies.

Vervolgstappen

Nu dit voorstel door de lidstaten is goedgekeurd start de triloog, de onderhandelingen tussen de Europese Raad, het Europese Parlement en de Europese Commissie. Dit moet een definitieve tekst opleveren die kan worden gepubliceerd. Het is nog onduidelijk hoe lang dit onderhandelingsproces zal duren omdat het onzeker is of het Europese Parlement kan instemmen met de voorliggende tekst. Vorig jaar heeft bijvoorbeeld Europarlementariër Paul Tang gesteld dat hij een algemeen verbod op persoonlijke advertenties wil. Ook is in januari jongstleden de internationale Tracking-Free Ads Coalition opgericht die gericht is op een verbod op persoonlijke advertenties. Een dergelijk verbod kan alsnog worden opgenomen in de definitieve tekst van de e-Privacy Verordening, maar natuurlijk ook in de Digital Markets Act of Digital Services Act waarvan eerste voorstellen in december jongstleden zijn gepubliceerd. Wanneer tussen de verschillende partijen overeenstemming is bereikt over de definitieve tekst, treedt de verordening 24 maanden later in werking. Net als bij de AVG is namelijk een overgangstermijn van 24 maanden in de tekst opgenomen.

Indien het huidige voorstel na de triloog ook de definitieve tekst wordt, betekent dit voor Nederland dat er ten opzichte van de huidige situatie zoals vastgelegd in de cookiewetgeving uit 2015 niet veel verandert. Wat dat betreft is het voorstel voor de aangepaste e-Privacy Verordening dus oude wijn in nieuwe zakken. Of, positiever geformuleerd, met haar cookiewetgeving uit 2015 had Nederland als gidsland een vooruitziende blik.    

De Werkgroep Privacy blijft de ontwikkelingen op de voet volgen en we houden je op de hoogte van de volgende stappen. Heb je vragen? Stuur dan een mail aan [email protected] (voorzitter van de Werkgroep).

Gerelateerde artikelen

ArtikelData, Tech & Legal

Autoriteit Persoonsgegevens gaat strenger toezicht houden

De Autoriteit Persoonsgegevens (AP) heeft met een brief aan de VIA aangekondigd in 2024 strenger toezicht te houden. Eerder al uitte het kabinet haar zorgen over het gebruik van cookies en online tracking, waardoor een extra budget van 500.000 euro per jaar aan de AP werd toegewezen voor het toezicht hierop. Dit extra budget zal de AP gebruiken om vaker te controleren of organisaties op de juiste manier toestemming vragen voor het plaatsen van onder andere tracking cookies. De AP heeft vuistregels op haar website gepubliceerd met uitleg hoe organisaties hun cookiebanner moeten inrichten en toestemming voor het plaatsen van tracking cookies gevraagd moet worden. De AP heeft deze brief naar de VIA gestuurd met het verzoek om de inhoud ervan onder de aandacht te brengen bij onze leden. Het is van belang dat jij, als lid van de VIA, hiervan op de hoogte bent. Zodat er nu de mogelijkheid is om eventuele aanpassingen uit te voeren. – Saskia Baneke-Delfgaauw, VIA-directeur Lees hieronder de brief van het AP. Via deze mail houden we onze leden op de hoogte van belangrijke juridische ontwikkelingen. Als contactpersoon van jouw organisatie vragen we je om deze e-mail door te sturen naar degenen binnen de organisatie voor wie deze updates van belang zijn. Alvast bedankt! Mochten er vragen zijn of hebben jullie hulp nodig, neem dan contact op met Saskia Baneke, [email protected] of Guido Grevink [email protected] Relevante links:Autoriteit Persoonsgegevens publiceert richtlijnen voor het opstellen van een correcte cookiebannerHeldere en misleidende cookiebanners | Autoriteit PersoonsgegevensLegal Digital Advertising Checklist VERSTERKT TOEZICHT OP TRACKING TECHNOLOGIEËN EN NORMUITLEG RONDOM COOKIES De Autoriteit Persoonsgegevens (AP) gaat vanaf dit jaar vaker controleren of websites op de juiste manier toestemming vragen voor het vragen van (tracking) cookies en andere volgsoftware. In de praktijk komt het namelijk regelmatig voor dat er misleidende cookiebanners worden gebruikt, waardoor de toestemming voor de verwerking van persoonsgegevens niet juist wordt verkregen. De AP wijst u middels deze brief graag op de normuitleg die de AP hier recent over heeft uitgebracht. Cookies en de AVGBij het gebruik van tracking cookies of vergelijkbare technieken kan ervan uit worden gegaan dat er persoonsgegevens worden verwerkt. Dit geldt ook voor sommige functionele en beperkte analytische cookies. Aangezien het gaat om een verwerking van persoonsgegevens moet er ook worden voldaan aan de Algemene verordening gegevensbescherming (AVG). Belang van een heldere cookiebannerDoor middel van tracking technologieën kunnen organisaties meekijken met het internetgedrag van hun websitebezoekers. Echter, dit is alleen toegestaan als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de optie hebben om cookies te weigeren, zonder nadelige gevolgen. Door het inzetten van een heldere cookiebanner kunnen websitebezoekers een weloverwogen keuze maken om wel of geen toestemming te geven. AP normuitlegNaast het versterkte toezicht brengt de AP ook normuitleg uit, zodat organisaties aan de hand van praktische regels kunnen voldoen aan de wettelijke vereisten met betrekking tot (tracking) cookies en andere technologieën. Inmiddels heeft de AP twee uitgebracht: normuitleg voor het maken van een heldere cookiebanner en normuitleg voor het intrekken van toestemming bij cookies. Voor verdere uitleg en voorbeelden verwijzen we u graag naar onze website. De volgende vuistregels helpen bij het opstellen van een correcte cookiebanner: Geef informatie over het doel; Zet vinkjes niet automatisch aan; Gebruik duidelijke tekst; Zet verschillende keuzes op één laag; Verberg bepaalde keuzes niet; Laat iemand niet extra klikken; Gebruik geen onopvallende link in de tekst; Wees helder over het intrekken van toestemming; Verwar toestemming niet met gerechtvaardigd belang. De volgende regels verduidelijken waaraan voldaan moet worden bij intrekken van toestemming bij cookies: Toestemming intrekken moet op ieder moment kunnen; Toestemming intrekken moet net zo gemakkelijk zijn als het aangeven; Toestemming intrekken mag geen nadelige gevolgen hebben voor uw websitebezoekers; Geef informatie over hoe websitebezoekers toestemming kunnen intrekken vóórdat zij toestemming geven; Zorg voor een vindbare plek voor het intrekken van toestemming; Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken.

Lees verder

WhitepaperData, Tech & LegalData & Techniek

Whitepaper Data-Cleanrooms: Wat zijn het en hoe zet je ze effectief in?

Het landschap van digitale marketing is flink veranderd. Firefox en Safari ondersteunen geen cookies van derden meer, Chrome is ze aan het uitfaseren en de ePrivacy Richtlijn en GDPR vereisen dat uitgevers en adverteerders toestemming van consumenten krijgen om hun data te verzamelen en te gebruiken. En dat zorgt voor de nodige uitdagingen op het gebied van data en privacy. Gelukkig bieden data-cleanrooms een oplossing. Cleanrooms maken het voor bedrijven mogelijk om samen te werken en data te analyseren met behoud van privacy en naleving van regelgeving. Ze zijn vooral nuttig in situaties waarin meerdere partijen de collectieve kracht van hun gegevens willen benutten zonder de individuele privacy of gegevensbeveiliging in gevaar te brengen. Klantgegevens worden zorgvuldig geanonimiseerd en ontdaan van alle persoonlijke of identificeerbare informatie. Deze gegevens kunnen vervolgens worden geanalyseerd en gebruikt om nieuwe inzichten te krijgen over gebruikers op een geaggregeerd niveau. Dit whitepaper geeft marketeers die nog geen of weinig ervaring hebben met data-cleanrooms inzicht in alle mogelijkheden. Van het definiëren van doelstellingen tot juridische zaken, uploaden van data en verbinding met andere bronnen tot het uitvoeren van data-analyses. De theorie wordt aangevuld met cases uit de Nederlandse reclame-industrie en aanbevelingen die betrekking hebben op de beperkingen en kosten van data-cleanrooms. Bijdragen van: Birgit Boing, Emmelijn Hermens, Weiwei Liu-Schröder, Bastiaan Spaans, Bernard de Vreede, Mark Wilmont.

Lees verder

RichtlijnenData, Tech & Legal

Legal Digital Advertising Checklist

In een tijdperk waarin digitale interactie en online aanwezigheid de norm zijn geworden, is het verzamelen van persoonsgegevens een integraal onderdeel geworden van het online ecosysteem. Dit gebeurt door middel van (tracking-)cookies en diverse andere vergelijkbare tracking-technieken. Het tonen van gepersonaliseerde advertenties is een essentieel onderdeel geworden van de digital advertising wereld. Deze vorm van adverteren maakt niet alleen gratis toegang tot websites mogelijk, maar biedt betrokkenen ook een op maat gemaakte ervaring. Het is van cruciaal belang dat deze vorm van adverteren plaatsvindt in overeenstemming met wet- en regelgeving. Deze checklist biedt een overzicht van de belangrijkste juridische aspecten waar bedrijven rekening mee moeten houden bij het plaatsen van advertenties online. Door deze checklist te volgen, kan worden nagegaan of online advertentiegebruik zowel juridisch correct als professioneel verantwoord is. Let op: deze checklist is ontwikkeld als hulpmiddel voor bedrijven om te streven naar naleving van het wettelijk en regelgevend kader binnen de advertentiebranche. Het gebruik van deze checklist impliceert echter geen garantie dat volledige naleving wordt bereikt. Het wordt altijd aangeraden een juridisch professional te raadplegen om te waarborgen dat alle relevante wetten en regels worden nageleefd en correct worden geïnterpreteerd.

Lees verder