Cookienaleving staat op het snijpunt van twee rechtskaders: de ePrivacy-richtlijn (in België geïmplementeerd via artikel 129 van de Wet elektronische communicatie) en de GDPR. De ePrivacy-regels hebben betrekking op toegang tot en opslag van informatie op het apparaat van een gebruiker — waaronder cookies, trackingpixels, lokale opslag en vergelijkbare technologieën. De GDPR heeft betrekking op de verwerking van persoonsgegevens die het gevolg is van of wordt mogelijk gemaakt door die toegang. Aan beide kaders dient te worden voldaan: ePrivacy-naleving vervangt GDPR-naleving niet waar de cookies de verwerking van persoonsgegevens mogelijk maken, en GDPR-naleving voldoet niet aan de ePrivacy-vereiste om voorafgaande toestemming te verkrijgen voor niet-essentiële cookies.
De praktische consequentie is dat het ontwerp van een cookietoestemmingsmechanisme tegelijkertijd een juridische nalevingsoefening is onder ePrivacy-regels, een toestemmingsbeheeroefening onder GDPR, en een interface-ontwerpbeslissing die de gebruikerservaring en conversiepercentages beïnvloedt. De spanning tussen een conforme toestemming en een vlekkeloze gebruikerservaring is reël maar niet onoplosbaar.
De ePrivacy-regel is dat voorafgaande, vrij gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming vereist is vóór het opslaan van informatie op of het raadplegen van informatie op het apparaat van een gebruiker — behoudens één uitzondering. De uitzondering heeft betrekking op technisch strikt noodzakelijke cookies: cookies die strikt noodzakelijk zijn voor een door de gebruiker uitdrukkelijk gevraagde dienst. Deze cookies vereisen geen toestemming en mogen niet als toestemmingskeuze aan gebruikers worden gepresenteerd, omdat de toegang van de gebruiker tot de dienst ervan afhangt.
Al het andere vereist toestemming. Analysecookies (of ze nu van eerste of derde partij zijn), advertentiecookies, sociale-mediatrackeringspixels, sessieopnametools, A/B-testcookies, personalisatiecookies en elke andere technologie die informatie op het apparaat van de gebruiker opslaat of raadpleegt voor enig ander doel dan strikte technische noodzaak, vereist geldige voorafgaande toestemming.
Geldige toestemming onder de GDPR vereist dat zij vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig is. Voor cookies heeft het Hof van Justitie van de EU in zijn Planet49-arrest (C-673/17) vastgesteld dat vooraf aangevinkte vakjes geen geldige toestemming vormen. Toestemming moet een actieve, bevestigende handeling zijn.
De Belgische Gegevensbeschermingsautoriteit (GBA) is actief geweest op dit gebied, onder meer door haar onderzoek naar het Transparency and Consent Framework (TCF) van IAB Europe, wat resulteerde in een bevinding dat het TCF zoals geïmplementeerd geen geldige rechtsgrond bood voor de verwerking van persoonsgegevens in het ecosysteem van online adverteren. De handhaving van de GBA op dit gebied geeft aan dat België geen permissief rechtsgebied is voor online tracking.
Toestemming moet ook even gemakkelijk in te trekken zijn als te geven. Een toestemmingsmechanisme dat een één-klik acceptatie biedt maar meerdere menu's vereist om toestemming in te trekken, voldoet niet aan de GDPR-norm. Cookie-beheerinterfaces moeten gebruikers in staat stellen toestemming voor individuele categorieën of alle categorieën in te trekken via één toegankelijke handeling.
Consent Management Platforms (CMP's) zijn technische systemen die de toestemmingslaag op websites implementeren: zij presenteren de toestemmingsinterface, registreren toestemmingskeuzes en communiceren toestemmingssignalen naar de downstream-technologieën die afhankelijk zijn van toestemming. Het selecteren en configureren van een CMP dat geldige toestemming genereert, vereist aandacht voor: het ontwerp van de toestemmingsinterface (geen donkere patronen, geen vooraf aangevinkte vakjes, afwijzingsoptie even prominent als acceptatie); het toestemmingsdossier (tijdstempel, versie van de gepresenteerde privacyverklaring, gemaakte toestemmingskeuzes); en de technische implementatie (cookies worden niet ingesteld vóór toestemming is verkregen, toestemmingssignalen correct gecommuniceerd aan alle afhankelijke technologieën).
Mogelijk, maar met aanzienlijke beperkingen. De EDPB-opinie 08/2024 over consent-or-pay-modellen in de context van grote onlineplatforms concludeerde dat dergelijke modellen over het algemeen niet verenigbaar zijn met de GDPR-toestemmingsvereisten voor grote platforms, omdat het alternatief voor toestemming niet zinvol is als de abonnementsvergoeding niet betaalbaar of redelijk is. Voor kleinere websites is de analyse minder duidelijk, maar het principe dat toestemming vrij gegeven moet zijn — zonder nadeel voor gebruikers die weigeren — betekent dat consent-or-pay-modellen een zorgvuldige juridische beoordeling vereisen vóór implementatie.
Ja. Google Analytics is een analysecookie die gegevens over gebruikersgedrag verzamelt en naar de servers van Google verzendt. Het is niet strikt noodzakelijk voor de levering van de websitedienst. Voorafgaande toestemming is vereist vóór het instellen van de Google Analytics-cookie. Meerdere toezichthoudende autoriteiten — waaronder de Franse CNIL, de Oostenrijkse DSB en anderen — hebben beslissingen uitgevaardigd waaruit blijkt dat Google Analytics persoonsgegevens overdraagt naar de VS in strijd met de internationale overdrachtsregels van de GDPR.
Ja. Website-exploitanten zijn verantwoordelijk voor de cookies en trackingtechnologieën die op hun websites worden geladen, inclusief die welke worden geladen door scripts van derden. Een website die een sociale-mediadeelknop, een chatwidget of een advertentietag insluit, is verantwoordelijk voor de cookies die die technologieën instellen. Een cookieaudit — systematisch scannen van de website om alle ingestelde cookies en hun doeleinden te identificeren — is een noodzakelijke eerste stap in cookienaleving.
De GDPR specificeert geen maximale toestemmingsduur voor cookies, maar toezichthoudende autoriteiten en de EDPB hebben aangegeven dat toestemming verouderd raakt en dient te worden vernieuwd na een periode die evenredig is aan de gevoeligheid van de gegevens en de aard van de verwerking. In de praktijk worden de meeste cookie-CMP's geconfigureerd om de toestemmingsinterface opnieuw te presenteren na 12 maanden. Wanneer significante wijzigingen worden aangebracht in de doeleinden van cookies of de categorieën verwerkte gegevens, dient toestemming opnieuw te worden verkregen ongeacht de verstreken tijd.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
