Autoriteit Persoonsgegevens legt verbod op ‘cookiewall’

Voor alle webwinkels en websites die gebruikmaken van cookies is het belangrijk om de privacyverklaring up-to-date te hebben en om een cookieverklaring te formuleren. Zo blijkt nu dat een cookiemuur (de vervelende beeldvullende pop-up die toegang tot websites onmogelijk maakt voordat deze pop-up ‘weggeklikt’ wordt), niet langer kan en mag van de Autoriteit Persoonsgegevens.

Waarom mag de cookiemuur niet meer?
Volgens de Autoriteit Persoonsgegevens voldoet deze manier van toestemming vragen voor de verwerking van persoonsgegevens (die bij sommige cookies van toepassing zijn) niet aan de vereisten die worden gesteld in de AVG. Dit besluit komt echter niet geheel onverwachts gezien de vereisten waaraan de toestemming moet voldoen namelijk:

  • vrijelijk gegeven (geen druk bij het geven van toestemming of het benadelen wanneer deze niet wordt gegeven);
  • ondubbelzinnig (er moet een duidelijke actieve handeling zijn);
  • geïnformeerd (mensen dienen geïnformeerd te worden);
  • specifiek (de toestemming moet gegeven worden voor een specifiek en afgebakend doel).

De Autoriteit Persoonsgegevens oordeelt nu dat er geen sprake is van een vrijelijk gegeven toestemming wanneer een website een zogeheten cookiemuur opwerpt. Het ontzeggen van toegang wanneer een bezoeker niet akkoord gaat met het cookiebeleid, en het daarmee uitoefenen van druk is onrechtmatig. Een website moet gewoon bezocht kunnen worden, ook wanneer iemand geen toestemming geeft om zijn of haar gegevens te verzamelen.

Hoe moet het dan wel?
Er is een rechtmatige grondslag nodig om (gewone) persoonsgegevens te verwerken op uw website . Een bezoeker van de website dient toestemming te geven om persoonsgegevens te verwerken hier is een actieve handeling van de bezoeker nodig. U mag dus niet uitgaan van het principe ‘wie zwijgt stemt toe’. Een “vinkje” moet actief aangeklikt worden en mag niet op voorhand al zijn aangevinkt bij het bezoek van een website.

Daarnaast moet een bezoeker duidelijk geïnformeerd worden over

  • de identiteit van de organisatie;
  • het doel van elke verwerking waarvoor de toestemming wordt gevraagd;
  • welke persoonsgegevens verzamelt en verwerkt worden;
  • het recht dat gebruikers hebben om de toestemming weer in te trekken.
  • de toestemming dient vrij gegeven zijn.

Een bezoeker van een website moet daadwerkelijk de keuze hebben om te weigeren, zonder dat hier negatieve consequenties aan verbonden zijn. Hier stelt de Autoriteit Persoonsgegevens nu strengere eisen aan.

Hulp nodig op het gebied van AVG?
Benieuwd of uw website of organisatie voldoet aan de wettelijke vereisten van de AVG? Of heeft u andere vragen over de verwerking van persoonsgegevens? Neem dan gerust contact op met de juridische specialisten van Wesselman.

Heeft u een vraag over de AVG?

Mariëlle Scheepens - van den Boom

Mariëlle Scheepens - van den Boom helpt u graag verder.

Heeft u een vraag?

Wij helpen u graag persoonlijk verder! Nu bellen