Wat is toestemming en waarom is het belangrijk?

Consent, ook bekend als toestemming, is de vrijwillige toestemming die een website nodig heeft om gegevens van bezoekers te verwerken. Het is belangrijk omdat de AVG (GDPR) stelt dat gegevens alleen met een dergelijke toestemming of op andere rechtsgrondslagen mogen worden verwerkt om de privacy te waarborgen.

Welke soort cookies zijn technisch noodzakelijk en vereisen geen toestemming?

Technische Cookies, wie z. B. Sitzungs-Cookies zur Sitzungsverwaltung oder Cookies für die Abrechnung mit der VG Wort, sind technisch notwendig und bedürfen keiner Zustimmung gemäß den gesetzlichen Bestimmungen. Andere Cookies, die lediglich zur Nutzerverfolgung dienen, benötigen hingegen eine Zustimmung.

Welke soorten cookies zijn technisch noodzakelijk?

Technische cookies zijn voornamelijk cookies voor het beheer van de sessie, die de inlogfunctie en de winkelwagen mogelijk maken, evenals cookies voor de verrekening van de auteursvergoeding. Daarnaast zijn cookies voor het opslaan van gebruikersinstellingen, zoals taal, technisch noodzakelijk.

Moeten third-party cookies toestemming vragen?

Ja, alle der door derderdenpartij aangeboden cookies vereisen toestemming, aangezien ze in de meeste gevallen niet technisch noodzakelijk zijn. Een leveringsovereenkomst (AVV) is het minimum wat verwacht wordt om de derde als eerste te beschouwen.

Wat is er met cookies omtrent het opslaan van gebruikersinstellingen?

Koekjes om gebruikersinstellingen op te slaan, zoals de geselecteerde taal, zijn technisch noodzakelijk en vereisen geen toestemming. Deze koekjes maken een gepersonaliseerde ervaring op de website mogelijk, zonder dat er extra diensten nodig zijn.

Welke soorten datatransmissie zijn technisch noodzakelijk?

Technische datoverdracht omvat bijvoorbeeld het bedienen van websites, het gebruik van cookies om de gebruikerservaring te verbeteren en de overdracht van gegevens die essentieel is voor de werking van de website.

Moeten cookies altijd toestemming van de gebruiker vereisen?

Ja, de meeste cookies zijn technisch niet noodzakelijk en vereisen daarom de voorafgaande toestemming van de gebruiker in overeenstemming met de toepasselijke privacywetgeving.

Wat betekent 'technisch noodzakelijk' in de context van dataverwerking?

'Technisch noodzakelijk' betekent dat de datatransmissie of het gebruik van cookies essentieel is voor de juiste werking van de website en het verstrekken van de aangeboden diensten, en niet bepaald wordt door het louter comfortbehoefte van de aanbieder.

Sichere KI, digitaler Datenschutz & Website-Compliance

Inleiding

In Artikel 6 GDPR zijn de wettelijke gronden genoemd, waarop een gegevensverwerking is toegestaan. Voor websites zijn er in wezen precies twee redenen waarom een gegevensverwerking is toegestaan.

De eerste reden is een door de bezoeker van de website vrijwillige toestemming. Deze wordt ook als Consent bezeichnet en kan door de gegeven persoon op elk moment weer ingetrokken worden.

De tweede reden is het gerechtvaardigde belang van de beheerder van een website.

Omdat er aan toestemmingen aanzienlijke formele voorwaarden zijn verbonden en de toestemmingsaanvraag graag wordt vermeden, proberen veel partijen het gerechtvaardigde belang als rechtvaardiging aan te voeren. Dit wordt ook gebruikt als excuus wanneer er niets meer in het achterhoofd komt, bijvoorbeeld bij het beantwoorden van een verzoek van een betrokkene of in een juridische procedure.

Voor wat soort zaken is eigenlijk toestemming nodig?

Zeer duidelijk is de situatie wanneer op een website cookies worden geplaatst die technisch niet noodzakelijk zijn. Daarbij horen alle cookies die niet echt absoluut noodzakelijk zijn. Als eigenlijk noodzakelijk kunnen bijvoorbeeld cookies voor Sessiebeheer of voor de afrekening met VG Wort worden beschouwd, om een wettelijk vastgelegde auteursvergoeding te berekenen.

Alles wat dient om gebruikers te volgen, dus om gebruikers te tellen, moet eerst kritisch worden bevraagd en is m.i. gegarandeerd niet noodzakelijk als de cookie-levensduur langer is dan 24 uur.

De rechtsgrond voor de noodzaak van een toestemming bij het gebruik van cookies is in Artikel 5, lid 3 ePrivacy Richtlijn respectievelijk nieuwsgemaakt in § 25 TTDSG geregeld. Het TTDSG zegt echter dat cookies voor het volgen van gebruikers technisch niet noodzakelijk zijn, want sessie-cookies om de teller bij te houden zijn niet noodzakelijk, "omdat de aanbieder van een telemediendienst een door de gebruiker uitdrukkelijk gewenste telemediendienst ter beschikking stellen kan." Hetzelfde is in de ePrivacy Richtlijn genoemd, want het TTDSG volgt zich zeer nauw aan de tekst van de genoemde richtlijn.

Onnodige gegevensoverdrachten

In Artikel 5, lid 1, onder c GDPR is de verplichting tot gegevensbeperking genoemd. Hierdoor moet een gegevensverwerking passend zijn voor het doel en beperkt moeten blijven tot wat noodzakelijk is voor de doeleinden van de verwerking. Ook Artikel 25 GDPR vereist een privacyvriendelijke inrichting.

Een voorbeeld van onnodige gegevensoverdrachten zijn afbeeldingen die op een website zijn ingebouwd en worden geladen van een derde server. Uiteraard kan een afbeelding ook op de eigen server worden opgeslagen. Bij het ophalen van een andere server worden verkeersgegevens, inclusief de netwerkadressen van de gebruiker naar een derde overgedragen. Omdat netwerkadressen als persoonsgebonden gegeven gelden, is zulk een gegevensoverdracht aanvankelijk niet toegestaan. Het is dus andersom dan veel mensen denken: gegevensoverdrachten naar derden zijn van zichzelf niet toegestaan en alleen in het concreet te bekijken specifieke geval mogelijk toelaatbaar.

Kritische gegevensoverdrachten

Als kritisch beschouw ik hier datentransfers naar onveilige derde landen. Een onveilig derde land is elk land waarvoor de AVG niet van toepassing is en waarvoor geen passendebesluit door de Europese Commissie bestaat. Ook geldt dit naar mijn mening voor passendebesluiten die niet houdbaar lijken. Bijvoorbeeld, geen besluit van de Europese Commissie verandert iets aan het feit dat de Verenigde Staten gegevens van Europese burgers volgens de AVG onrechtmatig verwerken.

Met aanbieders uit onzekere derde landen kunnen standaardovereenkomstsklachten (SCC) of bindende bedrijfsregels (CBR) worden afgesloten om het probleem op te lossen. Dit gaat echter alleen als de nationale wetgeving dergelijke overeenkomsten respecteert. In de VS is dit niet het geval. Zolang er Cloud Act, FISA en EO 12333 bestaat, luidt de antwoord op de vraag of datatransfers naar derden in de VS zonder toestemming zijn toegestaan: Nee.

Artikel 44 GDPR en de volgende artikelen noemen de eisen. Een toestemming voor risicovolle gegevensoverdrachten mag alleen uitzonderlijk en niet voortdurend op een toestemming worden gesteund, zoals artikel 49 GDPR onthult. Hieraan wordt bijna elke website tekortschieting die een toestemming voor tools van Amerikaanse aanbieders vraagt, bijvoorbeeld voor de Facebook Pixel of voor Google Analytics. ([1]) ([2]) ([3])

Een kritische datentransfer vindt bijvoorbeeld plaats bij het opvragen van een bestand van een server van een Amerikaanse aanbieder. Ook hier geldt, dat altijd de netwerkadres van de gebruiker als persoonsgegeven wordt overgedragen.

Uitstapje: Oplossingen voor toestemming

Het lijkt alsof veel mensen het niet willen weten, of ze weten het niet. Beide is even slecht: Consent Tools van OneTrust en UserCentrics sturen potentiële gegevens naar de VS, namelijk wanneer de scripts voor het opbouwen van de toestemmingsaanvraag worden geladen (zie de hier verlinkte praktijktests die laten zien dat in de praktijk OneTrust en UserCentrics tegenover de GDPR te stellen zijn). ([1]) ([2])

Demnach bedürften de toestemmingen van OneTrust en UserCentrics zelf een toestemming, voordat dit storende en vaak sterk gebrekkige zogenaamde cookie popup wordt getoond.

Technisch noodzakelijke diensten

Een digitale dienst wordt ook als Hulpmiddel aangeduid. Diensten in dit verband zijn bijvoorbeeld Matomo, Google Maps, OpenStreetMap of externe lettertypen. De benaming dienst is hier in de breedste zin bedoeld en omvat ook externe afbeeldingen. De benaming kan worden gerechtvaardigd door het Engelse woord "to serve" . Een server is dus een knecht of bediende. Elk oproep naar een extern server betekent in zoverre de gebruikmaking van een dienst. Hierin zijn ook opgenomen het reine versturen van gegevens naar een server, waarbij geen antwoord van de server wordt verwacht (voorbeeld: tracking-gegevens door Google Analytics aan een Google-server versturen).

Een digitale dienst is elke communicatie met een server.
Breed gedefinieerde notie van de term dienst in de context van digitale privacy

De bezochte webpagina kan ook als dienst worden beschouwd. Het verstrekken van een in de browser gevraagde webpagina is blijkbaar technisch noodzakelijk als iemand deze webpagina wil aanbieden. Hiertoe is geen toestemming vereist.

willekeurige bestandsaanroepen van een eigen server, die zowel geen gegevensverstrekking aan derden als geen extra gegevensverwerking betekenen die verder dan de door de levering van de website sowieso reeds toegestane zijn, zijn ongevaarlijk en vereisen geen toestemming.

Anderszins zijn er verder geen diensten technisch noodzakelijk. Elke website kan aanvankelijk zonder verdere diensten functioneren. Binds een website een afsprakenbeheer van een andere aanbieder aan, kan dit vanwege het doel van de website mogelijk technisch noodzakelijk zijn. Er mag echter dan worden verwacht dat een DPA met de aanbieder van het afsprakenbeheer is gesloten en dat de aanbieder zich volledig en gegarandeerd houdt aan de AVG. Aanbieders uit onzekerere derde landen vallen hier dus af, tenzij er geen toestemming wordt ingewonnen.

Bij bijna geen dienst is het technisch noodzakelijk voor een website
Inzicht gebaseerd op een nauwkeurige analyse van de anatomie van een website

Als een website absoluut een afspraaksysteem nodig heeft, moet de beheerder een leverancier zoeken die privacy-conform is. Als er geen dergelijke leverancier wordt gevonden, moet de beheerder van de website ofwel op de afspraakbeheer te verzichten of zelf een te ontwikkelen. Laatstgenoemde kan naar mijn mening worden opgelegd. Of deze inschatting uiteindelijk geen rol speelt, maakt niet uit. Als je geen parkeerplaats kunt vinden om vanaf daar naar de supermarkt te lopen en boodschappen te doen, mag je daarom niet verkeerd parkeren. Het maakt niet uit of je vanwege een ontbrekende reguliere parkeerplaats niet kunt winkelen. Hooguit in een noodsituatie zou men in een individueel geval kunnen argumenteren dat verkeerd parkeren geduld kan worden. Dit individuele geval komt echter op websites bijna nooit voor, omdat een website met haar geheel openbaar toegankelijk aanbod automatisch altijd gericht is op talrijke potentiële gebruikers.

Cookiebot biedt zelf geen DPA aan, omdat de leverancier Cybot vindt dat dit niet nodig is, omdat er helemaal geen persoonsgegevens door Cookiebot verwerkt worden zouden worden. Dit is natuurlijk onzin en getuigt van een ernstige gebrekkige kennis op het gebied van gegevensbescherming.

Kortom, er zijn nauwelijks technisch noodzakelijke diensten. Afhankelijk van de aard van de website kan de ene of andere benodigde functie belangrijk zijn, moet deze dan wel volgens de privacywetgeving worden uitgevoerd. Volledig privacy vanwege een zogenaamd belangrijke functie uitsluiten als argument.

Technisch noodzakelijke cookies

De meeste cookies zijn absoluut niet noodzakelijk. Dit begint al met het feit dat cookies niet zomaar bestaan, maar door diensten worden gecreëerd en gebruikt. Deze diensten zijn echter, zoals hierboven beschreven, in de meeste gevallen technisch niet noodzakelijk. Daardoor zijn ook de absolute meeste cookies technisch niet noodzakelijk.

Cookies zijn bijna altijd niet technisch noodzakelijk
Er zijn slechts zeer weinig uitzonderingen

De technisch noodzakelijke cookies zijn op minder dan één hand te tellen. Dit zijn:

Cookies voor sessiebeheer
VG Wort cookies voor de verrekening van de auteursvergoeding
Cookies voor het opslaan van gebruikersinstellingen, zoals de taal
Om veiligheid te waarborgen kunnen cookies nodig zijn, maar niet noodzakelijk aanleidingshalve. Zie CSRF Tokens
Komt me er nu niet meer bij

De sessiebeheer omvat de mogelijkheid voor redacteuren, beheerders, maar ook gebruikers van een online winkel om in te loggen. Het sessiebeheer omvat ook de beheer van een winkelwagen.

De VG Wort cookies zijn daarom noodzakelijk om zowel fraude als het dubbele registreren van snel achter elkaar plaatsvindende toegang tot dezelfde persoon (redelijk effectief) te kunnen detecteren.

Voor een meerlinguale website kan een cookie ook nuttig zijn om de gekozen taal te onthouden. Deze taalcontrole zou ook zonder cookies mogelijk zijn, zou dan echter mogelijk omslachtiger zijn en zou vanaf het begin een geschikte structuur van de website vereisen. Bijvoorbeeld, URL-paden naar inhoud zouden zodanig gekozen moeten worden dat de taal in het pad gecodeerd is. Aan de andere kant zou voor elke pagina een uitvoer per aangeboden taal moeten bestaan, zodat altijd duidelijk is in welke taalruimte een gebruiker zich bevindt.

Ook andere instellingen die een gebruiker op een website kan uitvoeren, zijn denkbaar. Hiertoe behoren ook de beslissing over privacy-instellingen (toestemming). Opt-out cookies, die door derden worden gelezen, acht ik niet toegestaan. Want een optionele derde-dienst die wordt geladen om vervolgens niets te doen, heeft geen zin en is daarom niet noodzakelijk. Hij mag helemaal niet worden geladen als de gebruiker dat niet wenst.

Conclusie

Ik stel tot nader order vast dat alle cookies van derden altijd toestemming vereisen. Een DPA is al het minimum dat wordt verwacht. Want dan is de derde geen derde meer, maar een eerste. Schrijf me alsjeblieft als je een geval ziet waar een cookie van een derde partij technisch noodzakelijk is, dus wanneer er geen DPA is!

Hetzelfde geldt voor gegevensaanvragen van derden. Ik kan tot nu toe geen voorbeeld bedenken, behalve het VG Wort tellpixel of soortgelijke situaties waarin er wettelijke regels zijn vastgesteld, dat een gegevensaanvraag zonder DPA toegestaan zou zijn omdat deze onvermijdelijk is. Vragen jullie me alsjeblieft om een voorbeeld te noemen als jullie er eentjes kennen.

Deze bijdrage wil de discussie aanwakkeren en doet (nog) geen aanspraak op alle situaties te hebben meegenomen. Ik vermoed echter dat ik minstens in de buurt van de waarheid ben, als het niet zelfs al direct getroffen is.