Waarom hebben alle cookiepopups ineens een legitiem belang?
Iemand vroeg me onlangs: Sinds een tijdje valt me op dat allerlei cookiepopups niet alleen om toestemming vragen, maar ook opties aanbieden onder het kopje “legitiem belang”. Vaak kun je die opties niet uitzetten, maar soms wel alleen heet dat dan “bezwaar”. Wat is dit in vredesnaam?
Wie dit heeft bedacht, weet ik ook niet, maar ik vermoed dat diverse grote cookiepopup-technologieleveranciers (dat is een branche) dit hebben ingevoerd op verzoek van organisaties zoals het Interactive Advertising Bureau (IAB). Iedereen die iets doet met cookies en tracking, ziet de bui namelijk wel hangen dat toestemming het niet lang meer uithoudt als reden (grondslag) om marketing en profiling te doen.
Toestemming
Toestemming was ooit het argument om persoonsgegevens te mogen verzamelen en om met cookies te kunnen werken. Dus iedereen zette lekker een dikke cookiemuur voor zijn site, waardoor we nu met het fenomeen jaklikmoeheid of consent fatigue zitten. En, belangrijker, waardoor toezichthouders eens beter zijn gaan kijken en de terechte vraag stellen waarom het eigenlijk vrijwillig is, dat mensen moeten klikken om je site te kunnen bekijken. Ja, het is jouw site en je mag mensen weigeren, maar in de AVG/GDPR staat nu eenmaal dat toestemming weigeren zonder gevolgen moet blijven – en weigeren is een gevolg, hoe je het ook wendt of keert.
Snel op zoek naar alternatieven, en dan komen we natuurlijk meteen uit bij artikel 6 lid 1 sub f AVG:
de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde,
waarbij iedereen dan meteen wijst op overweging 47 die zegt dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst ‘legitimate interest’ zegt.
Gerechtvaardigd
Toen is er ergens een brainstorm gekomen over welke soorten cookies en profiling onder dit kopje gerechtvaardigd kunnen worden. Je ziet dat terug in die menu’s: dingen als security & monitoring, first-party analytics en het beperken van overlast door excessief cookiegebruik (ja, serieus heb ik gezien). Daar is dan dus geen toestemming voor nodig, dus die blijven dan buiten het lijstje met dingen waar je toestemming voor moet geven.
Bezwaar maken
Wel staat in de AVG dat je de mogelijkheid tot bezwaar maken moet hebben, op basis van persoonlijke omstandigheden. Bij marketing is de bezwaarmogelijkheid onbeperkt, er hoeft dan geen omstandigheid te worden opgegeven. Daarom zie je dan weer afmeldknopjes bij veel “legitiem belang” opties. Maar een afmeldoptie is in het algemeen niet verplicht. Bij security-opties (monitoring van gedrag om inbrekers-in-spe te pakken) is het natuurlijk niet zinnig om mensen zich te laten afmelden.
Over de auteur: Arnoud Engelfriet is partner bij ICT Recht.
Gerelateerd event
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
3 Reacties
Benjamin van Rossum - Red Button Digital
Leuk artikel. Deze niet optionele toevoeging in de cookiemeldingen waren mij ook al opgevallen. Het antwoord op de vraag wat een gerechtvaardigd belang is, wordt natuurlijk door elke partij (met elk hun eigen belang) anders uitgelegd.
Uiteindelijk moet je maar kunnen aantonen dat een tracking cookie van bijvoorbeeld Facebook of Google daadwerkelijk een dergelijk groot belang heeft dat de samenleving het zó zwaarwegend vindt dat het erkenning heeft gevonden in het recht (quote AP).
Dit soort toevoegingen uit de koker van de advertising industrie zijn over het algemeen geen toevoeging voor de privacy van de consument.
bert
Kijk naar een nu.nl, en ik vind het nog erger dan ooit. Je wordt gewoon keihard gevolgd, of je nou wel of geen toestemming geeft. Volgens mij is EU weer aan zet om nog harder op te treden. Neem die zogenaamde lulkoek over “beveiliging”. Google als grootste hork van allemaal: steeds meer sites “protected by Recaptcha” terwijl het gewoon alternatieve tracking is niet onder mom adverteren maar onder mom beveiliging. Klopt echt niks van. Ik ontwerp alle sites nu standaard zonder volgen. Helemaal niks, geen anti-DOS scripts, geen ReCraptcha, geen analytics. Hoeft er ook geen consent Nag-screen op de site en weet een bezoeker dat het gewoon goed zit.
free bert
@bert, ik ben dan wel benieuwd hoe de exploitant van de door jou gebouwde websites geld verdient? In het geval van nu.nl is de gelezen content gratis. althans, in ruil voor jouw toestemming om al dan niet gerichte reclame te tonen. En hoe optimaliseer jij de door jou gebouwde websites zonder analytics? zo heb ik er een hekel aan als websites slecht ontworpen zijn en niet gebruiksvriendelijk. daar ben ik meteen weg, ook al zitten er 0 trackers in.