Welke juridische grondslagen moeten er in acht worden genomen bij toestandsverzoeken voor websites?

Toestemmingsvragen moeten voldoen aan de eisen van de AVG (artikel 7, lid 3), inclusief het recht op directe intrekking, de eenvoudige mogelijkheid tot weigering en de volledige uitschakeling van alle diensten na intrekking. Daarnaast moeten de doelen, de gegevensverwerker en de risico's duidelijk vermeld worden.

Welke tools hebben standaard toestemming volgens artikel?

Veel tools en plugins, zoals Google Analytics, Google Maps, Facebook plugins, Vimeo videos, SoundCloud players en externe scripts, hebben toestemming nodig. Dit geldt ook voor gangbare Consent tools zoals Borlabs Cookie of UserCentrics, aangezien deze dataverwerkingsprocessen omvatten.

Waarom is dataminimalisatie belangrijk voor websites?

De gegevensminimalisatie, conform artikel 5 lid 3 AVG, houdt in dat onnodige datatransfers moeten worden vermeden. Dit beschermt de privacy van gebruikers en vermindert het risico op datalekken.

Welke problemen zijn er met toestemmingstools?

Toestemmingstools zijn vaak niet in staat om alle privacy-eisen volledig na te leven. Er zijn objectieve redenen waarom ze niet betrouwbaar werken en daarom niet als enige oplossing moeten dienen.

Wat moet een website doen om de toestemming van gebruikers in te winnen?

Websites moeten gebruikers duidelijk en eenvoudig informeren over de verzamelde gegevens en het gebruik daarvan, en een expliciete toestemming vragen voor het verzamelen en verwerken van gegevens. Dit is een voorwaarde om de AVG te voldoen.

Checklist voor juridisch conforme toestemmingsverzoeken op websites: Regelgeving en rechtsgrondslagen

Voor veel tools en cookies is toestemming nodig. Zogenaamde toestemmingshulpmiddelen worden verondersteld hierbij te helpen, maar ze doen niet genoeg, zoals mijn praktijktest heeft aangetoond. Aan welke eisen moet een toestemmingsverzoek eigenlijk voldoen?

Inleiding

De inzet van dataverwerkende plugins en tools op websites is volgens Artikel 6 lid 1 GDPR in het algemeen alleen toegestaan als

a) er sprake is van een legitiem belang van de websitebeheerder, of

b) toestemming is verkregen van de bezoeker van de website.

Websites die geen cookies gebruiken en alleen gegevens verwerken zoals vereist (bijv. een contactformulier) hebben geen "cookie pop-up" nodig.
Dit geldt ook als er alleen noodzakelijke cookies worden gebruikt, zoals voor het beheer van het winkelmandje.

Verder schrijft de ePrivacy-verordening in art. 5 lid 3 voor dat ook het ophalen van cookies of het lezen van cookies een toestemmingsplichtig is. De verordening geldt over § 15 lid 3 TMG ook voor Duitsland, zoals de Hoge Raad in 2020 in het Planet49-arrest (28.05.2020 – I ZR 7/16) vaststelde. De voorschrift werd met § 25 TTDSG officieel in december 2021 ingevoerd.

De Artikel 44ff GDPR schrijven voor dat de overdracht van gegevens naar onzekere derde landen (zoals de VS) in principe niet is toegestaan. Omdat IP-adressenreeds persoonsgebonden gegevens zijn, treedt het GDPR-wet hier vooral op voor websites.

Op grond van deze rechtsregels zijn bijvoorbeeld de volgende tools verplicht tot toestemming:

Google Analytics: ePrivacy-verordening, gegevensoverdracht naar de VS. Meer details
Google Maps: ePrivacy-richtlijn (en/of andere). Meer details
Facebook Plugin: ePrivacy-verordening (en/of andere) ([1])
Google lettertypen (externer Abruf): Art 44ff. GDPR of Art. 5 GDPR (Datenminimierung). Meer Details
Google reCAPTCHA: ePrivacy-verordening (en/of andere). Meer details
YouTube-videos met cookies: ePrivacy-richtlijn (en/of andere)
YouTube-videos zonder cookies: Art. 44ff. AVG of Art. 5 AVG (gegevensminimisatie)
Vimeo-video's: Artikel 44ff. GDPR of Artikel 5 GDPR (gegevensbeperking). Meer details
SoundCloud Speler: ePrivacy-verordening (en/of andere). Meer details

De lijst kan bijna onbeperkt worden voortgezet met andere bekende tools. Het gerechtvaardigde belang kan voor al deze diensten worden uitgesloten. Dit kan zelfs gedeeltelijk technisch en dus onmiskenbaar worden bewezen.

Hier kunt u in seconden (kostenloos en zonder registratie) controleren of een website privacyvriendelijk is of of Behoefte aan actie bestaat.

Online websitecontrole

Checklist voor hulpmiddelen voor toestemming

Als u risikobewust genoeg bent om een van de gangbare opgave- of toestemmingsoplossingen te willen gebruiken, helpt u de volgende checklijst bij het controleren of uw plan goed is. De gangbare oplossingen zijn namelijk geen oplossing, zoals mijn praktijktest heeft aangetoond.

Volgens mijn tests ongezond zijn de volgende Consent Tools:

De eisen aan vraaggesprekken over toestemming worden bepaald door de wetstekst van de AVG en von rechterlijke uitspraken van het EHRM en het BH. Inmiddels zijn er ook uitspraken van kleinere rechtbanken, zoals van LG Rostock (15.09.2020 – 3 O 762/19), die het als onrechtmatig beschouwen wanneer de afwijzing niet even eenvoudig mogelijk is als de toestemming.

Vereisten voor toestemmingsvragen:

Het recht op herroepen moet duidelijk zichtbaar zijn → Art. 7 lid 3 GDPR
Het afwijzen zou zo eenvoudig mogelijk moeten zijn als het instemmen → Rechtbank Rostock
Een inbreuk op de privacy is niet toegestaan → EU-rechtbank uitspraak Planet49
Eenvoudige terugvindbaarheid van de herroepingsmogelijkheid → Art. 7 lid 3 GDPR
De herroeping moet eenvoudig mogelijk zijn (aantal klikken!) → Art. 7 lid 3 GDPR
De herroeping moet volledig mogelijk zijn (alle cookies wissen, alle diensten afmelden) → Art. 7 Abs. 3 GDPR
Na annulering moet de website automatisch opnieuw worden geladen om eerder actieve services te deactiveren door de website opnieuw te laden
Opgave van diensten waarin men instemt. Mogelijkheid om per dienst in te stemmen of in categorieën van diensten→ Art. 12 GDPR, Art. 7 Abs. 4 GDPR
Voor diensten → Art. 13 AVG
1. Naam van de aanbieder (volledige bedrijfsnaam inclusief adres en land)
2. Opgave van de doelen → Artikel 5, lid 1 GDPR
3. De ontvangers van de gegevens noemen (volledige bedrijfsgegevens inclusief adres en land)
4. Benaming van de landen waar gegevens worden verzameld
5. Opgave van risico's bij overdracht naar onzekere derde landen → Art. 49 Abs. 1 GDPR
6. Naamgeving van alle cookies voor de service. Per cookie:
  1. Cookienaam
  2. Opgave van doelen → Rechtbank van het Europees Parlement en de Raad – uitspraak Planet49
  3. Benoeming van de levensduur → EU-rechtbank uitspraak Planet49
Registratie van de gegeven toestemming als bewijs bij navraag → Art. 7 lid 1 GDPR
Eerst na toestemming mogen scripts voor video's van Vimeo of YouTube, externe lettertypen, evenals de overige meeste Google Tools inclusief Google Tag Manager geladen worden. De VS zijn een onzekere derde land. Ook standaardcontractbepalingen veranderen daar niets aan.
Volledige uitleg van alle gegevensverwerkingsactiviteiten voor de diensten die in het privacybeleid worden gebruikt.
Het privacybeleid moet direct toegankelijk zijn ondanks het toestemmingsvenster; de link ernaar mag niet worden verborgen door een pop-up.
Het privacybeleid moet leesbaar zijn zonder dat je een toestemmingsvraag hoeft weg te klikken.

Het kan goed zijn dat er nog meer vereisten zijn. Ik hoor het graag als er iets ontbreekt.

Belangrijk om te weten:

Diensten worden ook wel als tools of plugins aangeduid. Bijna elk bekend tool heeft een toestemming nodig.
Cookies zijn maar een reden voor een toestemming. Zie IP-adressen en gegevensminimisatie, evenals mijn vakartikel.
IP-adressen zijn persoonsgegevens. Elk bezoek aan een website of dienst betekent het uitwisselen van persoonsgegevens.
Gegevensminimisatie: Onnodige gegevensoverdrachten zijn te vermijden → Art. 5 lid 3 GDPR.
Zogenoemde Consent Tools zijn volgens de praktijktest ongeschikt voor het naleven van alle gegevensbeschermingsregels. Er zijn zelfs objectieve redenen waarom Consent Tools niet betrouwbaar kunnen functioneren. ([1])