2023
Cookiebanners: de EDPB publiceert voorbeelden van niet-conforme praktijken
De EDPB heeft een rapport gepubliceerd over de werkzaamheden van zijn "Cookie Banner Taskforce" met betrekking tot cookiebanners. Dit rapport is het resultaat van de samenwerking tussen verschillende Europese gegevensbeschermingsautoriteiten die is opgezet om klachten over cookiebanners die door de organisatie NOYB zijn ontvangen, te behandelen.
Het rapport somt een aantal gemeenschappelijke praktijken op die zijn waargenomen op de cookiebanners van websites in de Europese ruimte en spreekt zich uit over hun overeenstemming met de verschillende toepasselijke regels (met name de ePrivacy-richtlijn en de AVG). Het kan verantwoordelijken voor websites en apps helpen bij de manier waarop zij toestemming (of weigering) verkrijgen van de gebruiker om cookies (en/of andere soortgelijke technologieën) op hun apparaat te laten lezen of plaatsen.
Het rapport van de taskforce buigt zich onder andere over de volgende praktijken:
- Vooraf aangevinkte vakjes. De taskforce wijst erop dat vooraf aangevinkte vakjes geen geldige toestemming vormen in de zin van de AVG of de ePrivacy-richtlijn, ongeacht het niveau van de banner waarin het aan te vinken vakje is opgenomen.
- Misleidend ontwerp. De taskforce vestigt de aandacht op verschillende soorten misleidende praktijken wat betreft de opmaak van banners.
- Het gerechtvaardigde belang. Bepaalde websites beroepen zich op het gerechtvaardigde belang en niet op toestemming voor de verdere verwerking van gegevens na het plaatsen of lezen van cookies. Het rapport herinnert eraan dat het gerechtvaardigde belang geen rechtsgrond kan vormen voor het plaatsen van cookies zelf, en dat als het plaatsen of lezen van cookies niet in overeenstemming met de ePrivacy-richtlijn is, daaropvolgende verdere verwerkingen niet conform de AVG kunnen zijn.
- Ontbreken van een knop van het type "alles weigeren" op hetzelfde niveau als de knop "alles accepteren". De meeste gegevensbeschermingsautoriteiten, waaronder de GBA, waren van mening dat dit een inbreuk was en dat de gebruiker van een website tegelijkertijd de mogelijkheid moet hebben tot acceptatie of weigering van de plaatsing/lezing van cookies op zijn apparaat.
Dit is een voorbeeld van een goede praktijk:
Dit is een voorbeeld van een niet-conforme praktijk:
De GBA wil eraan herinneren dat het toepassingsgebied van de AVG en van artikel 5, lid 3, van de ePrivacy-richtlijn breed is en ook betrekking heeft op andere soorten technologieën (zoals onder andere het gebruik van "local storage").
Zij legt tevens de nadruk op het feit dat het rapport enkel, op niet-uitputtende wijze, voorbeelden van ernstige inbreuken bevat. Er kan dus niet worden afgeleid dat elke praktijk die niet in het rapport wordt vermeld automatisch aan de geldende regels voldoet.
Zie het volledige rapport op de website van de EDPB.
De GBA moedigt organisaties sterk aan hun cookiebanners te herzien in het licht van de aanbevelingen in het rapport.