image

Waarom hebben alle cookiepop-ups ineens een legitiem belang?

woensdag 30 september 2020, 11:31 door Arnoud Engelfriet, 16 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Sinds een tijdje valt me op dat allerlei cookiepop-ups niet alleen om toestemming vragen, maar ook opties aanbieden onder het kopje "legitiem belang". Vaak kun je die opties niet uitzetten, maar soms wel alleen heet dat dan "bezwaar". Wat is dit in vredesnaam?

Antwoord: Wie dit heeft bedacht, weet ik ook niet, maar ik vermoed dat diverse grote cookiepop-uptechnologieleveranciers (dat is een branche) dit hebben ingevoerd op verzoek van organisaties zoals het Interactive Advertising Bureau (IAB). Iedereen die iets doet met cookies en tracking, ziet de bui namelijk wel hangen dat toestemming het niet lang meer uithoudt als reden (grondslag) om marketing en profiling te doen.

Toestemming was ooit het argument om persoonsgegevens te mogen verzamelen en om met cookies te kunnen werken. Dus iedereen zette lekker een dikke cookiemuur voor zijn site, waardoor we nu met het fenomeen jaklikmoeheid of consent fatigue zitten. En, belangrijker, waardoor toezichthouders eens beter zijn gaan kijken en de terechte vraag stellen waarom het eigenlijk vrijwillig is, dat mensen moeten klikken om je site te kunnen bekijken. Ja, het is jouw site en je mag mensen weigeren, maar in de AVG/GDPR staat nu eenmaal dat toestemming weigeren zonder gevolgen moet blijven – en weigeren is een gevolg, hoe je het ook wendt of keert.

Snel op zoek naar alternatieven, en dan komen we natuurlijk meteen uit bij artikel 6 lid 1 sub f AVG:

de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde,

waarbij iedereen dan meteen wijst op overweging 47 die zegt dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst 'legitimate interest' zegt.

Toen is er ergens een brainstorm gekomen over welke soorten cookies en profiling onder dit kopje gerechtvaardigd kunnen worden. Je ziet dat terug in die menu's: dingen als security & monitoring, first-party analytics en het beperken van overlast door excessief cookiegebruik (ja, serieus heb ik gezien). Daar is dan dus geen toestemming voor nodig, dus die blijven dan buiten het lijstje met dingen waar je toestemming voor moet geven.

Wel staat in de AVG dat je de mogelijkheid tot bezwaar maken moet hebben, op basis van persoonlijke omstandigheden. Bij marketing is de bezwaarmogelijkheid onbeperkt, er hoeft dan geen omstandigheid te worden opgegeven. Daarom zie je dan weer afmeldknopjes bij veel "legitiem belang" opties. Maar een afmeldoptie is in het algemeen niet verplicht. Bij security-opties (monitoring van gedrag om inbrekers-in-spe te pakken) is het natuurlijk niet zinnig om mensen zich te laten afmelden.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
30-09-2020, 13:39 door Erik van Straten - Bijgewerkt: 30-09-2020, 13:42
Als het verzamelen van persoonsgegevens uitsluitend t.b.v. commerciële belangen van de verzamelaar, waaronder direct marketing, een "gerechtvaardigd belang" vormt voor die verzamelaar (met alle risico's op onopzettelijk lekken of bewust verkopen ervan) hebben we niks aan de AVG en moet deze ASAP worden vervangen door iets beters.
30-09-2020, 14:00 door Anoniem
AP: wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen.
30-09-2020, 14:29 door Anoniem
Door Erik van Straten: Als het verzamelen van persoonsgegevens uitsluitend t.b.v. commerciële belangen van de verzamelaar, waaronder direct marketing, een "gerechtvaardigd belang" vormt voor die verzamelaar (met alle risico's op onopzettelijk lekken of bewust verkopen ervan) hebben we niks aan de AVG en moet deze ASAP worden vervangen door iets beters.
Als zo'n hele lap wettekst met één zinnetje ergens in de zoveelste overweging zichzelf grotendeels uitgeschakelt dan zit het er dik in dat je dat zinnetje niet interpreteert zoals het bedoeld is. Het is in ieder geval niet hoe AP het interpreteert, die stelt dat een zuiver commercieel belang geen gerechtvaardigd belang oplevert.

Als er wel een gerechtvaardigd belang is dan wil dat nog niet zeggen dat alles meteen geoorloofd is. Dat belang moet afgewogen worden tegen de belangen van de betrokkenen. Van het slag mensen dat alles naar hun eigenbelang toe redeneert verwacht ik niet dat ze die afweging zuiver zullen maken, overigens.
30-09-2020, 18:31 door Anoniem
Het valt me ook op dat ik sinds een maand ofzo ineens veel meer en veel vaker die zeikerige toestemmingsvragen krijg, ook herhaaldelijk van dezelfde site. Kennelijk is er ergens iets veranderd (wellicht in Firefox ofzo, of in een of andere algemene plugin voor dit gedoe) waardoor dit keer op keer terug komt.
Het zijn ook allemaal sterk op elkaar lijkende formuliertjes die dit probleem hebben, waarbij je om een hele serie doelen gevraagd wordt of je dat wel of niet wilt. Gelukkig is het als je niet blind op OK klikt default wel allemaal UIT en hoef je dat alleen nog maar te bevestigen (2 kliks dus) maar wel vervelend dat dit steeds maar terug komt.

Waarom is er niet 1 globale instelling (ik weet het, DIE IS ER, de DNT header) waarmee je al dat gezeik kunt omzeilen?
30-09-2020, 20:21 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Als het verzamelen van persoonsgegevens uitsluitend t.b.v. commerciële belangen van de verzamelaar, waaronder direct marketing, een "gerechtvaardigd belang" vormt voor die verzamelaar (met alle risico's op onopzettelijk lekken of bewust verkopen ervan) hebben we niks aan de AVG en moet deze ASAP worden vervangen door iets beters.
Als zo'n hele lap wettekst met één zinnetje ergens in de zoveelste overweging zichzelf grotendeels uitgeschakelt dan zit het er dik in dat je dat zinnetje niet interpreteert zoals het bedoeld is.
Als nergens staat hoe dat zinnetje bedoeld is, deugt de tekst niet. Ik kan me voorstellen dat je voor niches ruimte wilt laten voor latere invulling middels jurisprudentie, maar m.i. hebben we het hier over de essentie van de GDPR/AVG. M.i. moet daar dan geen speld tussen te krijgen zijn.

Door Anoniem: Het is in ieder geval niet hoe AP het interpreteert, die stelt dat een zuiver commercieel belang geen gerechtvaardigd belang oplevert.

Als er wel een gerechtvaardigd belang is dan wil dat nog niet zeggen dat alles meteen geoorloofd is. Dat belang moet afgewogen worden tegen de belangen van de betrokkenen. Van het slag mensen dat alles naar hun eigenbelang toe redeneert verwacht ik niet dat ze die afweging zuiver zullen maken, overigens.
Exact. Daarom vind ik dat je niet afhankelijk moet zijn van de interpretatie van een AP met als gevolg dat je waarschijnlijk jaren moet wachten voordat de hoogste rechter uitspraak doet (terwijl het verzamelen doorgaat). Met het risico dat die uitspraak verkeerd uitvalt, bijv. omdat een AP in een ander EU-land er anders over denkt.
30-09-2020, 22:45 door Anoniem
Dit is de reden dat ik steeds vaker sites alleen bezoek in "private window" (of equivalent), plus reclame blokkers.. En als dan iets niet werkt ging het de site maker kennelijk meer om mijn gegevens dan om een belangrijk bericht. Dus dan maar niet.

Een interessant verhaal in deze context betreft de NPO die kiennelijk geen tracking cookies meer gebruikt en daarmee MEER reclame inkomsten krijgt (https://www.reddit.com/r/thenetherlands/comments/hmewyx/reclameinkomsten_npo_stijgen_na_het_uitschakelen/

De reden: men verkoopt nu rechtstreeks reclame, niet via allerlei vage tussenbedrijven die én de gebruikers tracken én zelf een groot deel van de zogenaamde "gerichte reclame" inkomsten achterhouden. Nog afgezien van alle vertraging door extra Internet traffic en sessies. Some zie je de inhoud pas NADAT alle reclame blingbling geladen is! Nou, zo lang wacht ik niet, dan ben ik al lang weg

Sowieso begrijp ik dat hele "gerichte reclame" blabla niet. Als ik op een site over auto's kijk vind ik reclame voor auto's prima. Als ik op een site over boten kijk idem bij reclame over boten. Waarom denkt iemand in hemelsnaam dat ik maanden nadat ik sokken via Internet heb gekocht, dat ik op een site over auto's reclame over sokken wil zien?
01-10-2020, 09:59 door Anoniem
Door Erik van Straten: Als nergens staat hoe dat zinnetje bedoeld is, deugt de tekst niet. Ik kan me voorstellen dat je voor niches ruimte wilt laten voor latere invulling middels jurisprudentie, maar m.i. hebben we het hier over de essentie van de GDPR/AVG. M.i. moet daar dan geen speld tussen te krijgen zijn.
Als ideaalbeeld ben ik het daar volstrekt mee eens, maar ik denk dat het net zo ondoenlijk is om een wet volkomen bugvrij aan te nemen als het is om een computerprogramma volkomen bugvrij in productie te nemen.
01-10-2020, 10:12 door Anoniem
Door Anoniem: Dit is de reden dat ik steeds vaker sites alleen bezoek in "private window" (of equivalent), plus reclame blokkers..
Dat snap ik niet, dan heb je toch alleen maar MEER last van het beschreven probleem???
Want dan ziet ie je iedere keer als nieuwe bezoeker die nog even door alle toestemming rituelen heen moet...
01-10-2020, 11:57 door Anoniem
Door Anoniem:
Door Anoniem: Dit is de reden dat ik steeds vaker sites alleen bezoek in "private window" (of equivalent), plus reclame blokkers..
Dat snap ik niet, dan heb je toch alleen maar MEER last van het beschreven probleem???
Want dan ziet ie je iedere keer als nieuwe bezoeker die nog even door alle toestemming rituelen heen moet...
Andere anoniem hier. MEER last hebt van toestemmingsrituelen impliceert MINDER last van het met elkaar in verband brengen van verschillende bezoeken en het opbouwen van profielen op basis daarvan. Gebruiksgemak is niet het enige criterium, het is mogelijk om bewust voor wat extra handelingen te kiezen om iets wat je nog minder bevalt tegen te gaan.
01-10-2020, 16:48 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dit is de reden dat ik steeds vaker sites alleen bezoek in "private window" (of equivalent), plus reclame blokkers..
Dat snap ik niet, dan heb je toch alleen maar MEER last van het beschreven probleem???
Want dan ziet ie je iedere keer als nieuwe bezoeker die nog even door alle toestemming rituelen heen moet...
Andere anoniem hier. MEER last hebt van toestemmingsrituelen impliceert MINDER last van het met elkaar in verband brengen van verschillende bezoeken en het opbouwen van profielen op basis daarvan. Gebruiksgemak is niet het enige criterium, het is mogelijk om bewust voor wat extra handelingen te kiezen om iets wat je nog minder bevalt tegen te gaan.
Ja maar je denkt toch hoop ik niet dat het klikken op het toestemmings schermpje (met welk antwoord dan ook) of het gebruiken van een "private window" daar enige invloed op heeft?
02-10-2020, 10:05 door Anoniem
Door Anoniem:
Door Anoniem: Andere anoniem hier. MEER last hebt van toestemmingsrituelen impliceert MINDER last van het met elkaar in verband brengen van verschillende bezoeken en het opbouwen van profielen op basis daarvan. Gebruiksgemak is niet het enige criterium, het is mogelijk om bewust voor wat extra handelingen te kiezen om iets wat je nog minder bevalt tegen te gaan.
Ja maar je denkt toch hoop ik niet dat het klikken op het toestemmings schermpje (met welk antwoord dan ook) of het gebruiken van een "private window" daar enige invloed op heeft?
Je denkt toch hoop ik niet dat cookies uitsluitend voor de schijn dienen en tracking uitsluitend via andere technieken wordt gerealiseerd?

Als het nou ook weer niet uitsluitend is dan is er inderdaad sprake van enige invloed. Ik denk dat cookies niet uitsluitend voor de schone schijn worden geplaatst en dat er daadwerkelijk iets mee gedaan wordt, en daarom denk ik dat er wel sprake is van enige invloed. Vandaar dat ik MINDER last schreef en niet GEEN last.

Met andere woorden: lees wat niet zwart/wit geformuleerd is niet alsof het wel zwart/wit geformuleerd is.
12-10-2020, 06:00 door Anoniem
Google Chrome is verwijderd door mij vanwege de instelling acceptatie cookies inclusief derden!
Ook EGDE kwam met een trukendoos te voorschijn, deze is nu uitgeschakeld, hoe door mijn firewall van mijn virusscanner.
Nog beter is volledig verwijderen.
15-10-2020, 20:36 door Anoniem
Een wat late reactie, maar Arnoud had het onderscheid tussen de AVG en ePrivacy Directive (telecommunicatiewet/“cookiewet”) wat beter kunnen benadrukken.
Gerechtvaardigd belang is namelijk een term uit de AVG die van toepassing is op tracking cookies (lees unieke, persoonlijke cookies). Het is nadrukkelijk geen term uit de ePrivacy Directive, die van toepassing is op alle cookies.
Onder de ePrivate Directive zijn alleen strikt noodzakelijke cookies toegestaan, net als analytische cookies met geringe privacy inbreuk. Security cookies mogen dus wel geplaatst worden omdat deze als strikt noodzakelijk gezien kunnen worden. Voor advertentie of profilering cookies gaat dat zeker niet op. Er moet dus nog steeds toestemming gevraagd worden voor deze, al trekt de IAB zich daar niet veel heel van aan.
20-10-2020, 12:48 door Anoniem
Voor de meeste cookies is een dubbele rechtvaardiging nodig: het moet mogen van de Cookiewet EN het moet mogen van de AVG. Sommige cookies worden niet gebruikt om persoonsgegeven te verzamelen of te linken; daarbij is alleen maar een rechtvaardiging vanuit de Cookiewet nodig; de AVG is niet van toepassing.

'legitiem belang' is een rechtvaardiging vanuit de AVG. Maar alle cookies hebben ook nog een rechtvaardiging vanuit de Cookiewet nodig.
21-10-2020, 14:16 door Anoniem
Iemand die beweert cookies nodig te hebben voor zijn/haar website is gewoon of een prutser die geen webpagina kan schrijven of iemand die wat anders in de zin heeft, namelijk illegaal ontfutselen van gegevens. Dat laatste is volgens mij computervredebreuk, anders gezegd ordinaire diefstal. Ik ben nog geen site tegengekomen waar de keuze is tussen betalen om de site te bezoeken (....) of cookies te accepteren.
En dan die debiele reclame. Als een fabrikant van automerk X weer een auto aanprijst, terwijl je van fabrikant met automerk X voor de deur hebt staan, dan zegt die fabrikant van automerk X eigenlijk dat je een slechte auto hebt gekocht. Vervang fabrikant van automerk X door wat anders, afijn de strekking zal duidelijk zijn. Zo debiel is dus reclame. Niet meer kopen, kennelijk slecht product of merk.
28-06-2021, 16:15 door Anoniem
Door Anoniem:
Exact. Daarom vind ik dat je niet afhankelijk moet zijn van de interpretatie van een AP met als gevolg dat je waarschijnlijk jaren moet wachten voordat de hoogste rechter uitspraak doet (terwijl het verzamelen doorgaat).
Sowieso dat dat jaren moet duren is waanzin... En intussen gaat het verzamelen, zonder gevolgen voor de daders, gewoon door.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.