Wat zijn cookies?
Cookies zijn kleine tekstbestanden die websites op het apparaat van de gebruiker opslaan om informatie te verzamelen en op te halen. Ze dienen verschillende doeleinden, waaronder het verbeteren van de gebruikerservaring en het verzamelen van statistieken over het websitegebruik. Wanneer u een website bezoekt, kunnen cookies informatie zoals uw voorkeuren, login-gegevens en browsegedrag opslaan. Deze informatie kan worden gebruikt om de website aan te passen aan uw behoeften en interesses, zoals het onthouden van items in uw winkelwagentje of het tonen van relevante advertenties.
Het proces van de verwerking van cookies binnen een website omvat verschillende stappen. Wanneer gebruikers een site bezoeken, wordt er een cookie op diens apparaat geplaatst door de webserver. Deze cookie kan vervolgens worden gelezen en gebruikt bij toekomstige bezoeken aan dezelfde site. Het beheren van cookies is essentieel voor de privacy van gebruikers, daarom bieden veel websites opties om cookies te accepteren, weigeren of verwijderen.
Cookies kunnen een grote diversiteit aan gegevens bevatten, mogelijk ook over de gebruikers zelf. Hoe moeten deze cookies en de inhoud hiervan worden gedefinieerd in het licht van de Algemene Verordening Gegevensbescherming? En wie draagt de verantwoordelijkheid met betrekking tot de verwerking van deze cookies en de informatie die daarin is opgenomen?
Recente uitspraak van het Hof over cookies in relatie tot de AVG
Het Hof van Justitie van de Europese Unie (hierna: het Hof) heeft op 7 maart 2024 geoordeeld dat het meest gebruikte systeem voor online advertenties in Europa, inclusief zogenaamde cookie-consent-pop-ups, onder de AVG valt. Dit betekent dat de informatie die via deze pop-ups wordt verzameld, zoals gebruikersvoorkeuren gecombineerd met IP-adressen, als persoonsgegevens worden beschouwd. Daarom moeten organisaties die gebruik maken van dit systeem voortaan aan de Europese privacyregels uit de AVG voldoen.
Interactive Advertising Bureau Europe (hierna: IAB Europe) is een Belgische non-profit vereniging die haar leden, voornamelijk bedrijven in de digitale reclame- en marketingsector, op Europees niveau vertegenwoordigt. IAB Europe heeft het Transparency & Consent Framework (TCF) ontwikkeld. Dit is een standaard om de naleving van de AVG te bevorderen bij het gebruik van het OpenRTB-protocol voor Real Time Bidding (RTB). Het OpenRTB-protocol is een set met standaarden voor de veilingomgevingen. Real Time Bidding (RTB) is het systeem voor de directe online veiling van gebruikersprofielen ten behoeve van het verkopen en aankopen van advertentieruimte op het internet.
Het TCF stelt, volgens IAB Europe, aanbieders van websites en applicaties, gegevensmakelaars[1] en reclameplatformen in staat om rechtmatig persoonsgegevens van gebruikers te verwerken. Het framework regelt het verkrijgen van toestemming van gebruikers via een Consent Management Platform (CMP), waaraan gebruikers hun voorkeuren kunnen aangeven met betrekking tot het verzamelen en verwerken van hun persoonlijke gegevens voor marketing- en reclamedoeleinden.
Deze voorkeuren worden opgeslagen in een letter- en tekenreeks genaamd de Transparency and Consent String (TC-string), die wordt gedeeld met gegevensmakelaars en reclameplatformen die deelnemen aan het OpenRTB-protocol. Dit stelt hen in staat om te weten welke toestemmingen de gebruiker heeft gegeven of welke bezwaren hij heeft geuit. Daarnaast wordt een euconsent-v2-cookie geplaatst op het apparaat van de gebruiker en kan worden gekoppeld aan het IP-adres van de gebruiker. Deze bevat onder andere de TC-string en informatie over de toestemmingen voor alle standaard IAB-aanbieders en doelen.
Gevolgen van uitspraak
Persoonsgegevens omvatten alle informatie over geïdentificeerde of identificeerbare natuurlijke personen. Informatie valt ook onder de noemer persoonsgegevens als deze niet direct te herleiden is naar een persoon, maar ook indien deze door middel van aanvullende informatie indirect aan een persoon kan worden gekoppeld.[2] Zoals in dit geval de TC-string met een IP-adres. Het Hof stelt dat vanwege het feit dat gebruikers kunnen worden geïdentificeerd door middel van het koppelen van de TC-string aan aanvullende gegevens zoals met name het IP-adres, deze gegevens persoonsgegevens zijn in de zin van art. 4 punt 1 AVG.
Deze zaak geeft weer dat een organisatie vanwege een bepaalde technologische toepassing onverwachts onder de werkingssfeer van de AVG kan komen te vallen, met als gevolg dat aan de verplichtingen uit de AVG moet worden voldaan. Zo moet er bijvoorbeeld onder bepaalde omstandigheden een verwerkingsregister worden bijgehouden, moeten er verwerkersovereenkomsten worden afgesloten en moet er op een uitgebreide manier verantwoording worden afgelegd.
Zelfstandig, gezamenlijk of geen verwerkingsverantwoordelijkheid?
Daarnaast kwam in deze zaak aan de orde of sprake was van gezamenlijke verwerkingsverantwoordelijkheid tussen IAB Europe en haar leden. Eerder werd door het Hof een ruime definitie toegekend aan het begrip ‘verantwoordelijke’ om betrokkenen bij de verwerking van persoonsgegevens een hoge mate van doeltreffende bescherming te bieden.[3] Van belang is wie het doel en de middelen van de verwerking vaststelt. Uit de definitie in artikel 4 lid 7 AVG volgt dat deze vaststelling zowel zelfstandig als gezamenlijk kan plaatsvinden. Gezamenlijke verantwoordelijkheid resulteert ook niet per definitie in een gelijkwaardige verantwoordelijkheid.[4] In de praktijk is dit niet altijd even makkelijk vast te stellen. De rechter oordeelde in deze zaak dat vanwege het feit dat IAB het Transparancy & Consent Framework heeft opgesteld, een standaard die als doel heeft om naleving van de AVG te bevorderen, zij daardoor het doel van de verwerking vaststelden. De vaststelling van de middelen van de verwerking gebeurde volgens het Hof door de IAB en haar leden gezamenlijk. Dit baseerde het Hof onder andere op het feit dat IAB haar leden kan schorsen als deze de voorschriften uit het TCF niet naleven. Ook het feit dat IAB in het TCF meerdere technische specificaties heeft opgenomen voor het verwerken van de TC-string met daarnaast regels voor haar leden over de inhoud, de opslag, het delen en het raadplegen van de TC-string, draagt volgens het Hof bij aan deze conclusie. Het Hof geeft de kanttekening dat er wel een onderscheid gemaakt moet worden tussen enerzijds de verwerking van persoonsgegevens door de leden van IAB bij de opslag van de toestemmingsvoorkeuren in de TC-string, en anderzijds de verdere verwerking van de informatie op eigen verantwoordelijkheid. Deze zaak laat zien dat organisaties scherp moeten zijn op de verwerking van data. Er kan onverwachts sprake zijn van verwerkingsverantwoordelijkheid, ofwel zelfstandig, ofwel gezamenlijk met anderen, met alle gevolgen van dien.
De gevolgen voor gebruikers
De gevolgen van deze zaak voor gebruikers kunnen niet onbelicht blijven. Gebruikers geven dan wel toestemming voor het gebruik van hun persoonsgegevens, maar of men als gebruiker ook daadwerkelijk de gevolgen inziet van deze toestemming is nog maar de vraag. De persoonsgegevens worden op zeer grote schaal verkocht, met als gevolg dat het surfgedrag met behulp van deze informatie in kaart gebracht kan worden. En doordat een groot gedeelte van de gebruikers veelal relatief veel tijd online spendeert, geeft dit surfgedrag vaak een meer gedetailleerde weergave van iemands persoonlijke leven dan diegene zich eigenlijk realiseert. Organisaties zoals Bits of Freedom, het Instituut voor Informatierecht van de Universiteit van Amsterdam en wijzelf als Privacy1 zien de uitspraak als een belangrijke stap om grenzen te stellen aan het verzamelen van persoonsgegevens.
Conclusie
Concluderend is het dus niet altijd op voorhand duidelijk wanneer er sprake is van een persoonsgegeven of wanneer en in welke mate sprake is van verwerkingsverantwoordelijkheid, en voor welke (fasen van) verwerkingen deze verantwoordelijkheid dan geldt. Onduidelijkheid hierover heeft negatieve gevolgen voor de betrokken organisaties en personen.
Zo kan het niet voldoen aan de verplichtingen uit de AVG onder andere leiden tot een verhoogd risico op onrechtmatige toegang, ongewenste wijziging en verdwijning van de persoonsgegevens. Uit deze primaire risico’s voor de rechten en vrijheden van betrokkenen, vloeien daarnaast secundaire risico’s voor de organisatie zelf voort. Te denken valt aan risico op reputatieschade, verlies van (klant-)vertrouwen, omzetverlies, verlies van marktwaarde, boetes, schadeloosstellingen, proceskosten en dergelijke. Ook hier geldt het credo: ‘Voorkomen is beter dan genezen.’
Is het voor uw organisatie ook niet altijd duidelijk of de AVG nou wel van toepassing is, en wat er dan precies van uw organisatie wordt verlangd? Neem dan gerust contact op met Privacy1. Wij helpen u graag op weg met ons advies of onze kennisproducten!
Deze blog is geschreven door Jasper Hartmans.
[1] Een gegevensmakelaar is een betrouwbare derde partij, die diensten aanbiedt om de betrouwbaarheid van geautomatiseerde verwerking, uitwisseling en opslag van gegevens tussen partijen te waarborgen en zorgt voor uniforme bewerking en doorlevering van gegevens.
[2] HvJEU 5 december 2023, C‑683/21, EU:C:2023:949, punt 58 (Nacionalinis visuomenės sveikatos centras); HvJEU 19 oktober 2016, C‑582/14, EU:C:2016:779, punt 41 (Breyer).
[3] zie naar analogie HvJEU 5 juni 2018, C‑210/16, EU:C:2018:388, punt 28 (Wirtschaftsakademie Schleswig-Holstein).
[4] zie naar analogie HvJ 10 juli 2018, C‑25/17, EU:C:2018:551, punten 66 en 69 en aldaar aangehaalde rechtspraak (Jehovan todistajat).