Veel tools mogen pas worden gebruikt nadat de gebruiker toestemming heeft gegeven. Het volgende overzicht laat zien voor welke van de bekendere tools toestemming nodig is.
Altijd weer wordt de vraag gesteld of een bepaald hulpmiddel, zoals bijvoorbeeld Google Maps, gewoon op een website mag worden gebruikt.
Er zijn in wezen drie rechtsgrondslagen die kunnen worden gebruikt om te beslissen of er toestemming moet worden verkregen:
- Worden persoonlijke gegevens verwerkt zonder legitiem belang?
- Worden persoonlijke gegevens doorgegeven aan onveilige derde landen zoals de VS?
- Worden cookies die niet noodzakelijk zijn gebruikt door de service of is de service niet functioneel noodzakelijk?
De verwerking vermeld onder 1. is in de meeste gevallen gelijk te stellen met een gegevensdoorgifte. Een rechtmatig belang kan in het bijzonder niet worden aangenomen als de gegevensoverdracht vermijdbaar what. Een gegevensoverdracht is duidelijk vermijdbaar, bijvoorbeeld bij het ophalen van externe lettertypen.
Alvorens de IP-adres een persoonsgegeven is, is iedere aanvraag van een bestand (beeld, script, video, lettertype etc.) van een externe adres een gegevensbeschermingsrechtelijk relevante handeling. ([1])
Onzekere derde landen in het spel zijn, kan zelfs met een WHOIS-verzoek niet betrouwbaar worden beantwoord. Omdat echter de verantwoordelijke voor een website moet bewijzen dat er geen contact is met onzekere derde landen, zou je van het slechtste uit moeten gaan.
Zodra niet-functionele cookies (of hun waarden) overgedragen kunnen worden, geldt de ePrivacy Richtlijn. Zij schrijft een toestemming voor, ongeacht of persoonsgegevens in het cookie zijn opgeslagen of niet. De ePrivacy Richtlijn geldt ook voor Duitsland, zoals de Bundesgerichtshof heeft vastgesteld. Dat de aard van de gegevens voor de toestemming vereiste onbelangrijk is, heeft de EuGH in het vonnis over Planet49 vastgesteld.
Het overzicht laat zien voor welke tools toestemming nodig is voor wettelijk toegestaan gebruik en waar deze vandaan kan worden gehaald. Voor sommige tools zijn er speciale artikelen die nog meer informatie geven. Deze tools zijn voorzien van een link in de tabel.
| Gereedschap | Toestemming nodig? |
|---|---|
| Google Analytics | Ja, zie Configuraties van Google Analytics (ePrivacy en art. 5 en 6 GDPR) |
| Google Maps | Ja, omdat er cookies worden gebruikt (ePrivacy) |
| Google Schriften | Ja, omdat gegevensoverdracht vermijdbaar is en omdat gegevens mogelijk wereldwijd worden verspreid (art. 5 en 6 GDPR en andere) |
| Google reCAPTCHA | Ja, omdat er cookies worden gebruikt (ePrivacy) |
| Fast Fonts (Fonts.com) | Ja, omdat er een trackingpixel moet worden geïntegreerd en omdat de provider is gevestigd in de VS (art. 6 en 44 e.v. GDPR) |
| Google Tag Manager | Ja, omdat er cookies bij betrokken zijn (ook al willen veel mensen dat niet geloven. Mijn bijdrage aan Tag Manager bewijst het) en omdat gegevensoverdracht vóór toestemming vermijdbaar is (ePrivacy en art. 5 en 6 GDPR) |
| Externe afbeeldingen | Ja, omdat de gegevensoverdracht gemakkelijk te vermijden is (Art. 5 GDPR) |
| SoundCloud Audio Player | Ja, omdat er cookies worden gebruikt (ePrivacy) |
| YouTube Video | Ja, omdat er cookies bij betrokken zijn of uitgebreide tracking zonder cookies (ePrivacy en Art. 6 GDPR) |
| Vimeo Videos | Ja, omdat er vermijdbare gegevensoverdrachten plaatsvinden en omdat de provider in de VS is gevestigd (art. 6 en 44 e.v. GDPR) |
| OneTrust | Ja, omdat de aanbieder van deze toestemmingsfunctie in de VS is gevestigd (art. 44 e.v. AVG). |
| Cloudflare Dateien | Ja, omdat de exploitant van dit content delivery netwerk gegevensbescherming niet serieus neemt en omdat de gegevensoverdracht vermeden kan worden of omdat er gegevensbeschermingsvriendelijke datacenters zijn (art. 6 en 44 e.v. GDPR) |
| Font Awesome | Ja, omdat er een vermijdbare gegevensoverdracht plaatsvindt en omdat de provider in de VS is gevestigd (art. 5 en 6 en 44 e.v. GDPR) |
| Facebook Pixel | Ja, want … alles spreekt tegen vanuit het oogpunt van gegevensbescherming. Hetzelfde geldt voor Facebook plugins, Twitter plugins. Pinterest-plugins enz. Specifiek: Voor tracking geldt de toestemmingsvereiste (art. 5 en 6 GDPR). Als er cookies worden gebruikt, blijft de ePrivacy-richtlijn van toepassing. |
Wie je iemand over een opgave-inlossolutie nadenkt, zou hij mijn uitgebreide onderzoek naar Consent Tools moeten lezen. Volgens mij zijn ze allemaal in de praktijk onbruikbaar omdat ze illegale websites achterlaten. Het hele gebeuren heb ik Cookiegeddon genoemd, omdat het resultaat zo schaamtevol is.
Wie je nog een Consent Tool moet gebruiken, krijg je veel werk. Mijn checklist voor Einwilligingsvragen vertelt waarom.
De volgende procedure is beter:
- Onnodige gereedschappen verwijderen. Zo eenvoudig kan het leven soms zijn (wie nu boos wordt, zou zich ernstig moeten bezighouden met de voordelen van sommige gereedschappen, bijvoorbeeld met Google Maps of Google Analytics)
- Gebruik alternatieven, zie ook mijn artikelen over de tools in de tabel (voorbeeld: Google fonts kunnen lokaal worden geïntegreerd, video's kunnen worden vervangen door een lokale kopie of een voorbeeldafbeelding met een externe link)
Onder alle abonnees van mijn nieuwsbrief verschenk ik af en toe gratis webpagina-controles. Als u een eerste beoordeling wilt hebben, schrijf dan even aan mij. Ik geef u een kort, nuttig commentaar op uw website.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.