De cookiewall als obstakel voor toegang tot een website Verlossen de vereisten voor toestemming de gebruiker van een gedwongen acceptatie? Begeleider: Max van Drunen

De cookiewall als obstakel voor toegang tot een

website

Verlossen de vereisten voor toestemming de gebruiker van een gedwongen

acceptatie?

Masterscriptie Informatierecht Marjolein Struik | 12401307 mjfstruik@gmail.com Universiteit van Amsterdam Begeleider: M.Z. van Drunen Inleverdatum: 6 januari 2020

ABSTRACT

Veel websites plaatsen op de beginpagina een cookiewall: een pop-up die gebruikers moeten accepteren in ruil voor toegang tot de website, waarmee de gebruiker instemt met het plaatsen van cookies voor het tonen van op de gebruiker afgestemde advertenties. Uit dit onderzoek blijkt dat instemming met dergelijke cookies slechts is toegestaan indien de gebruiker hiervoor geldig toestemming heeft gegeven.

Dit onderzoek beoogt antwoord te geven op de vraag hoe toestemming van een websitegebruiker, op grond waarvan toegang tot een website kan worden verkregen, moet worden geïnterpreteerd. Een beschrijvend en vergelijkend onderzoek van de huidige en toekomstige wetgeving maakt duidelijk dat de regels met betrekking tot toestemming zijn geharmoniseerd, maar er bestaat geen eenduidig kader met betrekking tot het al dan niet toestaan van een cookiewall. Daarnaast richt het onderzoek zich op eventuele beperkingen die toestemming op kunnen leggen aan een websitehouder. Uit een evaluerende uiteenzetting van het toestemmingsbegrip in het huidige recht en door rekening te houden met de belangen van de websitehouder en van de gebruiker, kan worden geconcludeerd dat het onwenselijk is om het plaatsen van een cookiewall toe te staan, omdat dit niet overeenstemt met de normdie aan toestemming wordt gesteld.

INHOUDSOPGAVE

INTRODUCTIE 5

1. HET GEBRUIKEN VAN EEN COOKIEWALL 7

1.1. Cookies en de cookiewall 7

1.2. Het belang van ondernemingen bij het plaatsen van een cookiewall 8

1.2.1. Online behavioural advertising 8

1.2.2. De economische waarde van de advertentiemarkt 9

2. TOESTEMMING 12

2.1. Definitie van toestemming 12

2.2. Functie en belang van toestemming 13

2.3. Het probleem van een cookiewall in het gegevensbeschermingsrecht 15

3. JURIDISCH KADER 18

3.1. Relevante wetgeving 18

3.1.1. e-Privacyrichtlijn en Telecommunicatiewet 18 3.1.2. Algemene Verordening Gegevensbescherming 19

3.1.3. e-Privacyverordening 20

3.2. Verhouding tussen wetgevingsregimes 21

3.2.1. Verhouding tussen de AVG en de e-Privacyrichtlijn 21 3.2.2. Verhouding tussen de AVG en de Telecommunicatierichtlijn 22 3.2.3. Verhouding tussen de AVG en de de-Privacyverordening 22

3.3. Criteria voor toestemming 23

3.3.1. Vrije toestemming 25 3.3.2. Specifieke toestemming 27 3.3.3. Geïnformeerde toestemming 28 3.3.4. Ondubbelzinnige wilsuiting 30 3.3.5. Toestemming vooraf 31 3.4. De cookiewall 32

3.4.1. Cookiewall overeenkomstig de e-Privacyrichtlijn 32 3.4.2. Cookiewall overeenkomstig de Telecommunicatiewet 32

3.4.4. Cookiewall overeenkomstig de e-Privacyverordening 34

4. WAARBORGT HET JURIDISCH KADER HET MAKEN VAN EEN

AUTONOME KEUZE? 36

4.1. Een eenduidig juridisch kader? 36

4.1.1. Harmonisatie toestemmingsbegrip 36

4.1.2. Verschillende bepalingen betreffende het al dan niet toestaan

van een cookiewall 36

4.1.3. Verhouding tussen e-Privacyrichtlijn en AVG 37 4.1.4. Verhouding tussen e-Privacyverordening en AVG 37 4.2. De cookiewall en de voorwaarden voor toestemming 38

4.2.1. Vrije toestemming 38

4.2.2. Overige vereisten voor toestemming 39

5. BELANGENAFWEGING BINNEN HET TOESTEMMINGSBEGRIP 41 5.1. Belangen van gebruikers in verhouding tot de belangen van ondernemingen 41

5.2. Belangenafweging mogelijk? 42 6. CONCLUSIE EN AANBEVELINGEN 45 6.1. Conclusie 45 6.2. Aanbevelingen 46 BIBLIOGRAFIE 47 BIJLAGEN 52

INTRODUCTIE

Tegenwoordig plaatst bijna iedere website bij het toetreden ervan een pop-up met de vraag of de gebruiker cookies wil accepteren, waarmee op de gebruiker afgestemde advertenties kunnen worden getoond. Veel websites gaan echter nog een stap verder en plaatsen een cookiewall op de beginpagina van hun website. Bij een cookiewall krijgt een websitebezoeker slechts toegang tot de website indien hij akkoord gaat met het plaatsen van cookies. De cookiewall biedt een websitegebruiker een zogenaamde take-it-or-leave-it keuze. De gebruiker is gehouden toestemming te geven en wanneer de gebruiker ervoor kiest toestemming niet te verlenen, kan er geen gebruik worden gemaakt van de website.1

De laatste jaren worden veel zorgen geuit over het verlenen van toestemming voor het plaatsen van een cookiewall. Deskundigen beredeneren dat toestemming in zo’n geval niet vrij is gegeven, omdat de gebruiker wordt ‘verplicht’ toestemming te geven indien hij de website wil kunnen bezoeken. Toestemming is een belangrijk begrip in het gegevensbeschermingsrecht. Voor verscheidene verwerkingen van gegevens worden toestemmingsverzoeken gevraagd. Het effectief informeren over het verstrekken van toestemming blijkt echter lastig, vooral wanneer dit complexe systemen betreft, zoals cookiewalls.

In maart 2019 heeft de Autoriteit Persoonsgegevens2 _{(hierna: AP) bepaald dat het plaatsen}

van een cookiewall onrechtmatig is omdat het in strijd is met de Algemene Verordening Gegevensbescherming (hierna: AVG). Dit betekent dat het plaatsen van een cookiewall – in Nederland – verboden is.3

Over dit standpunt van de AP wordt echter gediscussieerd. Huidige privacyregels verbieden namelijk nog geen take-it-or-leave it methodes. De Article 29 Working Party4 _{(hierna: WP29)}

benadrukt dat toestemming vrij moet worden gegeven, maar verbiedt het plaatsen van een cookiewall niet onder alle omstandigheden. De voorgestelde e-Privacyverordening zou

1 Zuiderveen Borgesius e.a., EDPL 2017/3, p. 3.

2 De Autoriteit Persoonsgegevens is de Nederlandse toezichthouder op de Algemene Verordening Gegevensbescherming.

3 Autoriteit Persoonsgegevens, Mag ik als organisatie een cookiewall gebruiken?, online, onbekend.

4 De Article 29 Working Party is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer. De Article 29 Working Party is inmiddels opgeheven en is op 25 mei 2018 opgevolgd door de European Data Protection Board.

mogelijk duidelijkheid kunnen bieden. Deskundigen verwachten en hopen dat in de e-Privacyverordening duidelijke regels omtrent cookiewalls worden opgenomen.

Onderzoeksvraag en methode

Dit onderzoek beoogt een bijdrage te leveren aan de discussie over het al dan niet mogen plaatsen van een cookiewall. Daarbij wordt voornamelijk aandacht besteed aan toestemming als grondslag voor de verwerking van persoonsgegevens. Het onderzoek beoogt nadere invulling te geven aan eventuele onduidelijkheid of onvolledigheid met betrekking tot dit onderwerp.

De beantwoording van de volgende beschrijvende en evaluerende onderzoeksvraag tracht duidelijkheid te scheppen in deze complexe discussie: Hoe moet toestemming van een websitegebruiker, op grond waarvan toegang tot een website kan worden verkregen, worden geïnterpreteerd op grond van het huidige en toekomstige recht en welke eventuele beperkingen legt dit op aan een websitehouder?

Deze vraag zal worden beantwoord middels een beschrijvend, evaluerend en vergelijkend onderzoek binnen de literatuur, wetgeving en aan de hand van WP29 richtlijnen en opinies. Hoofdstuk 1 geeft het gebruik van cookiewalls aan en bespreekt de belangen die ondernemingen hebben bij het plaatsen van een cookiewall. Hoofdstuk 2 gaat in op toestemming. Toestemming is het kernbegrip van dit onderzoek, omdat het een voorwaarde is voor een geldige verwerking van persoonsgegevens. Hoofdstuk 3 zet het juridisch kader met betrekking tot het plaatsen van een cookiewall uiteen. Er wordt ingegaan op de criteria van toestemming aan de hand van verschillende relevante wetgevingsregimes. Hoofstuk 4 analyseert of, op grond van het juridisch kader, toestemming voldoende duidelijkheid verschaft over het al dan niet mogen plaatsen van een cookiewall. Hoofdstuk 5 beantwoordt de vraag of de toestemmingsgrondslag ruimte biedt voor de belangen van de ondernemingen bij het plaatsen van een cookiewall.

1. HET GEBRUIKEN VAN EEN COOKIEWALL

Op grond van het huidige recht is toestemming van de betrokkene vereist voor het plaatsen van cookies.5 _{Volgens sommige deskundigen kan toestemming echter niet geldig worden}

gegeven indien een websitehouder een cookiewall plaatst. Zoals in de inleiding beschreven, bestaat er veel discussie over het al dan niet mogen plaatsen van een cookiewall. Ondernemingen betogen dat zij veel belang hebben bij het plaatsen van een cookiewall. In dit hoofdstuk zullen deze belangen van ondernemingen kort worden besproken. Voordat hierop wordt ingegaan, wordt eerst een beschrijving gegeven van een cookiewall.

1.1. Cookies en de cookiewall

Cookies zijn kleine tekstbestanden waarin een unieke code is opgeslagen, die op de computer van een gebruiker kunnen worden geplaatst zodat deze computer kan worden herkend.6

Cookies worden onder andere gebruikt om ingestelde taalvoorkeuren of de gebruikersnaam en het wachtwoord van een internetgebruiker te onthouden. Ook kan door middel van de unieke code een internetgebruiker worden geïdentificeerd en herkend wanneer deze een website voor de tweede keer bezoekt.7 _{Er bestaan meerdere soorten cookies met verschillende functies,}

onder andere de volgende twee. Zogenaamde session cookies (ook wel first-party cookies genoemd) worden geplaatst door de websitehouder en worden gebruikt voor het opslaan van tijdelijke informatie, zoals de inhoud van een virtueel winkelwagentje en zorgen ervoor dat een website naar behoren kan functioneren. Daarnaast bestaan er tracking cookies (ook wel third-party cookies genoemd) die, in tegenstelling tot session cookies, ook kunnen worden geplaatst door derde partijen zoals adverteerders. Deze derde partijen hebben meestal geen directe relatie met de gebruiker, maar kunnen door middel van het plaatsen van de tracking cookies het internetgedrag van gebruikers over verschillende websites volgen en observeren.8

Derde partijen kunnen deze informatie opslaan en gebruiken om profielen op te stellen van websitegebruikers, waarmee ze onder andere gerichte advertenties kunnen tonen.

5 Art. 5 lid 3 e-Privacyverordening; art. 11.7a Telecommunicatiewet; art. 6 lid 1 AVG.

6 Hoofnagle e.a, Harvard Law Policy Review 2012/6(2), p. 276; Leenes & Kosta, Computer Law & Security

Review 2015/31, p. 318.

7 Zuiderveen Borgesius, P&I 2011/1, p. 3.

Toestemming voor het plaatsen van cookies kan op verschillende manieren worden verkregen. Websites kunnen bijvoorbeeld een banner of pop-up plaatsen, wat de gebruiker de keuze geeft om akkoord te gaan met het plaatsen van tracking cookies of om deze te weigeren. Gebruikers kunnen na het weigeren van deze cookies de website gewoon blijven gebruiken. In sommige gevallen wordt er op een website een cookiewall geplaatst. De websitebezoeker krijgt in dat geval slechts toegang tot de website indien hij akkoord gaat met het plaatsen van tracking cookies, waarmee de websitebezoeker toestemming geeft om te worden gevolgd door derde partijen.

1.2. Het belang van ondernemingen bij het plaatsen van een cookiewall 1.2.1. Online behavioural advertising

Een veel voorkomend businessmodel van bedrijven is dat zij hun website of dienst gratis aanbieden. Als tegenprestatie worden enorm veel gegevens verzameld over de gebruikers van deze internetdiensten. Voorbeelden van gegevens die verzameld worden, zijn welke andere websites de gebruiker reeds heeft bezocht of welke artikelen de gebruiker heeft gelezen. Deze gegevens worden gebruikt om gerichte advertenties te kunnen tonen die passen bij hun interesses. Dit wordt ‘online behavioural advertising’ (hierna: OBA) genoemd.9 _De

advertenties lijken afkomstig te zijn van de website waarop ze worden getoond, maar zijn meestal afkomstig van advertentiebedrijven.10 _{Een voorbeeld van zo’n bedrijf is DoubleClick,}

dat in 2007 werd overgenomen door Google.11 _{Om de juiste advertenties te kunnen tonen op}

websites, verzamelen deze organisaties gegevens van gebruikers door het internetgedrag van mensen over verschillende websites te volgen. Dit doen ze door het plaatsen van tracking cookies. Tracking cookies maken het mogelijk om een gebruiker beter te leren kennen door hun voorkeuren te onthouden of door op te slaan hoe vaak en wanneer een gebruiker een bepaalde website heeft bezocht.12 _{Met de verzamelde gegevens kunnen bepaalde interesse}

profielen worden afgeleid en opgesteld. Door middel van deze profielen kunnen gerichte advertenties worden getoond, die lijken te passen bij de interesses en behoeften van de internetgebruiker.13

9 WP29, WP171, p. 3; Boerman, Kruikemeier & Zuiderveen Borgesius, Journal of Advertising 2017/46(3), p. 363.

10 Zuiderveen Borgesius, P&I 2011/1, p. 3.

11 Tweakers, Google koopt Doubleclick voor 3,1miljard dollar, online, april 2007. 12 Helberger, Amsterdam Law School Research Paper 2013/66, p. 3.

Veel websites staan advertentie organisaties of andere partijen toe om tracking cookies op hun website te plaatsen. Ter illustratie: de website van RTL plaatst zeker 66 verschillende cookies, afkomstig van verschillende partijen, ten behoeve van marketing.14 _{Websites worden vaak}

gefinancierd door advertentie-inkomsten en adverteerders betalen websites soms pas indien er daadwerkelijk op een advertentie wordt geklikt. OBA kan ervoor zorgen dat er vaker op een advertentie wordt geklikt.15 _{Daarom proberen sommige websites om toestemming voor het}

plaatsen van tracking cookies ten behoeve van OBA af te dwingen, door een cookiewall te plaatsen. Het plaatsen van een cookiewall kan een positief effect hebben op het verkrijgen van een geldige toestemming voor het verwerken van gegevens. Het garandeert dat gebruikers een dienst of website pas toetreden nadat ze zijn geïnformeerd over en toestemming hebben gegeven voor de verwerkingsactiviteiten.16

Er zijn op dit moment veel websites die, ten behoeve van OBA, een cookiewall plaatsen. Opvallend is dat er veel nieuwswebsites zijn die een cookiewall op hun website plaatsen, zoals de Telegraaf, de Volkskrant, het Parool en het AD. Daarnaast plaatsen ook de populaire sites Dumpert.nl en Tweakers.nl een cookiewall op hun website. Ook zijn er een aantal websites, zoals Bol.com, Nu.nl, Zalando.nl en Thuisbezorgd.nl, die uitgaan van indirecte toestemming voor het plaatsen van cookies, door het plaatsen van de volgende of soortgelijke mededeling: ‘door verder gebruik te maken van de website ga je akkoord met het gebruiken van cookies’.

1.2.2. De economische waarde van de advertentiemarkt

OBA is gebaseerd op de aanname dat door gepersonaliseerde advertenties vaker op advertenties wordt geklikt. Daarnaast kunnen gepersonaliseerde advertenties mensen eerder aanzetten tot koop.17 _{De advertentiemarkt in Europa lijkt voor een groot deel afhankelijk te}

zijn van OBA. Uit onderzoek is gebleken dat naar schatting de Europese online advertentiemarkt een economische waarde van 23,5 miljard euro in 2020 heeft. Van dit bedrag komt ruim 90 procent, namelijk 21,4 miljard euro, voort uit OBA.18 _{Daarnaast is}

14 Cookiebot, Cookie scan report, p. 5.

15 Zuiderveen Borgesius e.a., EDPL 2017/3, p. 2. 16 IAB Europe 2017 (Consent Working Paper), p. 14.

17 Boerman, Kruikemeier & Zuiderveen Borgesius, Journal of Advertising 2017/46(3), p. 369-370.

volgens IAB Europe (de Europese brancheorganisatie voor online marketing) gericht adverteren door middel van het verzamelen van data een van de grootste inkomstenbron voor de Europese digitale media. Advertenties gebaseerd op interesses leveren volgens de brancheorganisatie gemiddeld 200 procent meer omzet op in vergelijking met algemene of context gerelateerde advertenties.19 _{Bovendien blijkt uit een Duits onderzoek dat het}

verbieden van een cookiewall grote delen van de online advertentiemarkt in gevaar kan brengen. Indien het plaatsen van een cookiewall verboden wordt en er als gevolg daarvan minder gepersonaliseerde advertenties getoond kunnen worden, zou dit in Duitsland kunnen leiden tot een verlies van ongeveer 35 procent van de totale online advertentie-inkomsten. Voor bedrijven die hun content gratis aanbieden en hun verdienmodel voornamelijk baseren op online advertentie-inkomsten (zoals kranten, uitgevers en mediabedrijven) zal dit, volgens dit onderzoek, een bedreiging zijn voor het voortbestaan van hun organisatie.20 _{In haar}

voorstel voor de Privacyverordening verwijst IAB Europe naar overweging 25 uit de e-Privacyrichtlijn, waarin is opgenomen dat toegang tot een website afhankelijk mag worden gesteld van toestemming voor het plaatsen van tracking cookies. IAB Europe raad aan dat in de Privacyverordening eenzelfde voorwaarde moet gelden. Indien deze bepaling in de e-Privacyverordening niet wordt gehandhaafd, wordt het de digitale media moeilijk gemaakt om genoeg inkomsten te verwerven door middel van online advertising. Dit heeft volgens IAB Europe tot gevolg dat content, nieuws en andere diensten niet meer gratis aangeboden kunnen worden.21 _{Geconcludeerd kan worden dat volgens advertentie-industrie de effectiviteit van}

adverteren wordt vergroot door OBA. Uit onderzoek is echter gebleken dat dit niet altijd het geval hoeft te zijn.22 _{Daarnaast is weinig bekend of OBA mensen daadwerkelijk eerder op}

advertenties laat klikken in vergelijking met contextueel adverteren.23

Bovenstaande argumenten vinden grondslag in het fundamentele recht op vrijheid van ondernemerschap, op grond waarvan elke onderneming de vrijheid heeft om te kiezen voor een bepaald businessmodel.24 _{Het recht op vrijheid van ondernemerschap omvat de vrijheid}

om een economische activiteit of handelsactiviteit uit te oefenen, de contractsvrijheid en de vrije mededinging.25 _{Beargumenteerd kan worden dat ondernemingen de vrijheid moeten}

19 IAB Europe 2017 (position on the proposal for an ePrivacy Regulation), p. 2.

20 Hildebrandt, Arnold 2017; DDMA, Nieuwe cookieregels bedreiging media industrie, online, 15 februari 2018.

21 IAB Europe 2017 (position on the proposal for an ePrivacy Regulation), p. 4,6.

22 Boerman, Kruikemeier & Zuiderveen Borgesius, Journal of Advertising 2017/46(3), p. 369-370. 23 Zuiderveen Borgesius 2014, p. 265.

24 Art. 16 Handvest van de Grondrechten van de Europese Unie.

hebben om hun website op een bepaalde manier in te richten en te bepalen wie en onder welke voorwaarden diegene toegang tot een website krijgt. Een absoluut verbod op cookiewalls zou een beperking op het businessmodel van veel websites tot gevolg hebben en daarmee een beperking op het grondrecht.

Bedrijven lijken een belang te hebben bij het plaatsen van tracking cookies op de eindapparatuur van hun gebruikers. Het recht op vrijheid van ondernemerschap is echter niet absoluut en kan worden afgewogen tegen andere grondrechten. Tegenover de belangen van ondernemingen staan de belangen van de gebruikers, welke door het plaatsen van een cookiewall in hun recht op gegevensbescherming kunnen worden geschaad. Het geven van toestemming is belangrijk voor het waarborgen van het recht op de bescherming van persoonsgegevens, zoals in het volgende hoofdstuk wordt besproken.

2. TOESTEMMING

Het plaatsen van een cookiewall kan strijdig zijn met het gegevensbeschermingsrecht, indien beredeneerd wordt dat toestemming niet geldig kan worden verkregen. Toestemming is een voorwaarde die centraal staat in de huidige privacyregels en waar veel waarde aan wordt gehecht. Toestemming als grondslag voor gegevensverwerking bestaat al heel lang. In 1973 stelde het US Department of Health, Education & Welfare een eerste versie van de ‘Fair Information Principles’ op. De Fair Information Principles worden gezien als de basisbeginselen van het gegevensbeschermingsrecht. In de eerste versies van deze beginselen wordt toestemming al genoemd als voorwaarde voor het verzamelen van persoonsgegevens.26

In dit hoofdstuk wordt een uitleg gegeven aan het begrip ‘toestemming’. Eerst wordt kort de definitie van toestemming uiteengezet aan de hand van privacywetgeving. Daarna wordt beschreven wat de functie en het belang is van toestemming in het gegevensbeschermingsrecht. Tot slot worden een aantal problemen van toestemming besproken als gevolg van het plaatsen van een cookiewall.

2.1. Definitie van toestemming

Toestemming is een belangrijke grondslag en wordt expliciet genoemd in artikel 8 van het Handvest van de grondrechten van de Europese Unie (hierna: Handvest). In dit artikel is het recht op bescherming van persoonsgegevens vastgelegd, waaruit volgt dat iedere betrokkene recht heeft op een eerlijke verwerking van persoonsgegevens. In het Handvest is bepaald dat persoonsgegevens slechts mogen worden verwerkt indien de betrokkene hiervoor toestemming heeft gegeven of wanneer de wet in een andere gerechtvaardigde grondslag voorziet.27

Ook in secundaire wetgeving neemt toestemming een belangrijke plaats in. Europese privacyregels proberen erop toe te zien dat betrokkenen worden geïnformeerd wanneer en waarvoor hun persoonsgegevens worden verwerkt, aan de hand van geïnformeerde

26 Gellman 2013, p. 5, 10. 27 Art. 8 lid 2 Handvest.

toestemmingsregels. De Richtlijn bescherming persoonsgegevens geeft een definitie van toestemming en omschrijft het als “elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt”.28 _{In Nederland werd de Richtlijn bescherming persoonsgegevens}

geïmplementeerd in de Wet bescherming persoonsgegevens, waarin de voorgaande definitie van toestemming werd overgenomen.29 _{Daarnaast verwees ook de e-Privacyrichtlijn naar de}

definitie van toestemming in de Richtlijn bescherming persoonsgegevens.30 _{Inmiddels is de}

Richtlijn bescherming persoonsgegevens vervangen, en verwijst de e-Privacyrichtlijn naar de definitie van toestemming in de AVG.31

De AVG heeft de definitie van toestemming nader gespecificeerd. Toestemming is hierin omschreven als “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting, waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”.32 _{Hoewel de}

definitie uit de AVG vergelijkbaar is met de die uit de Richtlijn bescherming persoonsgegevens, heeft de AVG eraan toegevoegd dat een wilsuiting ondubbelzinnig moet zijn gegeven. In hoofdstuk 3 zal nader worden in gegaan op de voorwaarden voor een geldige toestemming.

2.2. Functie en belang van toestemming

Toestemming van de betrokkene is een belangrijk element bij de bescherming van persoonsgegevens. Met de regels omtrent toestemming beoogt de wetgeving betrokkenen in staat te stellen om een autonome keuze te maken, oftewel keuzes te maken in hun eigen belang. Al van oudsher wordt toestemming gekoppeld aan het idee dat een betrokkene controle moet kunnen uitoefenen over de wijze waarop en waarvoor zijn of haar persoonsgegevens worden gebruikt.33 _{Zo definieerde in 1967 de beroemde privacygeleerde}

Alan Westin privacy als “the claim of individuals, groups, or institutions to determine for

28 Art. 2 sub h Richtlijn bescherming persoonsgegevens. 29 Art. 1 sub i Wet bescherming persoonsgegevens. 30 Art. 2 sub f e-Privacyrichtlijn.

31 Art. 2 sub f e-Privacyrichtlijn; art. 94 lid 2 AVG. 32 Art. 4 sub 11 AVG.

themselves when, how and to what extend information about them is communicated to others”.34

Het begrip toestemming kan worden gerelateerd aan het begrip ‘informationele zelfbeschikking’.35 _{Informationele zelfbeschikking kan worden gedefinieerd als “het recht van}

het individu om in beginsel zelf te beschikken over de openbaarmaking en het gebruik van persoonlijke gegevens”.36 _{Informationele zelfbeschikking impliceert dat een persoon in}

beginsel zelf moet bepalen in hoeverre persoonsgegevens worden gebruikt en bekend gemaakt, om een bestaan te kunnen leven dat zelfbepaald is.37 _{Zelfbeschikking van een}

betrokkene is een belangrijke voorwaarde voor toestemming, omdat dit de betrokkene invloed geeft op de verwerking van zijn persoonsgegevens.38 _{Betrokkenen weten echter lang niet altijd}

welke gegevens over hen worden opgeslagen en waarvoor die gegevens worden gebruikt, wat maakt dat men niet altijd controle heeft over de hen betreffende gegevens. Dit gebrek aan autonomie wordt gezien als een privacy probleem.39 _{Daarom is het uitoefenen van controle,}

door het al dan niet verlenen van toestemming, een belangrijk uitgangspunt voor de bescherming van persoonsgegevens.

Naast het hebben van zelfbeschikking door het kunnen verlenen van toestemming, is toestemming een algemene grond voor rechtmatigheid.40 _{Deze grondslag wordt specifiek}

genoemd in de AVG. Op grond van de AVG is alleen in specifieke gevallen een verwerking van persoonsgegevens toegestaan en moet iedere verwerking een grondslag hebben. Een grondslag heeft als functie het legitimeren van een handeling en geeft de verwerkingsverantwoordelijke een reden om persoonsgegevens te mogen verwerken. In artikel 6 lid 1 van de AVG is een limitatieve lijst van grondslagen opgenomen. Eén van de mogelijke juridische grondslagen voor het verwerken van persoonsgegevens is het verkrijgen van toestemming van de betrokkenen, waarop in de AVG veel nadruk is gelegd.41 _{Naast de}

toestemmingsgrondslag kan een verwerking ook worden gebaseerd op een van de vijf andere grondslagen. Toestemming is echter een belangrijke grondslag en wordt vaak gebruikt wanneer persoonsgegevens worden verwerkt in de online omgeving. Het risico van het

34 Westin 1967, p. 7. 35 WP29, WP187, p. 8. 36 Lynskey 2015, p. 178. 37 Hooghiemstra 2018, p. 15. 38 WP29, WP187, p.10. 39 Calo, Ind.L.J. 2011/86(1131), p. 1134. 40 WP29, WP187, p. 7.

baseren van een verwerking op de toestemmingsgrondslag, is dat toestemming te allen tijde mag worden ingetrokken.42 _{Wanneer een bedrijf afhankelijk is van de verwerking, kan het}

daarom soms beter zijn om die verwerking op een andere grondslag te berusten.

2.3. Het probleem van een cookiewall in het gegevensbeschermingsrecht

Wanneer een website tracking cookies wil plaatsen, wordt de gebruiker voor de keuze gesteld om hier al dan niet toestemming voor te verlenen. Websites die gebruikmaken van een cookiewall dwingen deze toestemming als het ware af. In 2016 is een enquête gehouden onder de Nederlandse bevolking waarmee de meningen omtrent cookiewalls werd onderzocht. Hieruit is gebleken dat 60% van de ondervraagden het gebruik van cookiewalls, waarbij zij persoonlijke informatie moeten verschaffen in ruil voor het kunnen gebruiken van een website, onacceptabel vinden.43 _{Naast het feit dat gebruikers het onacceptabel vinden wanneer}

er een cookiewall wordt geplaatst, zijn er ook daadwerkelijke problemen aan te tonen als gevolg van het plaatsen van een cookiewall. Dit zal in deze paragraaf worden toegelicht. (a) Recht op privacy en bescherming van persoonsgegevens

Het recht op privacy is een fundamenteel recht en vindt grondslag in artikel 8 EVRM en artikel 7 Handvest. Het recht op bescherming van persoonsgegevens is een specifieker recht dan het recht op privacy en wordt beschermd door artikel 8 van het Handvest en door de AVG. Het plaatsen van cookiewalls kan gebruikers dwingen om hun privacy prijs te geven, doordat ze moeten ‘betalen met hun persoonsgegevens’. Het slechts tracken van gebruikers, door middel van cookies, kan al een privacy schending met zich meebrengen indien dit wordt gedaan ten behoeve van OBA. Het opslaan van persoonsgegevens kan invloed hebben op de wijze waarin gebruikers zich gedragen. Door middel van tracking cookies, zoekopdrachten of het gedrag van gebruikers op sociale media, kan heel precies worden bijgehouden wat iemand doet, waar iemand zich bevindt of waar iemand van houdt. Deze gegevens die onder andere voor OBA worden opgeslagen, kunnen als privé worden beschouwd. Dit kan een chilling effect meebrengen. Wanneer gebruikers zich beseffen dat ze worden gevolgd, kan dit tot gevolg hebben dat gebruikers hun gedrag veranderen of bepaalde handelingen niet meer

42 Art. 7 lid 3 AVG.

zullen uitvoeren.44 _{Het bestaan van een chilling effect als gevolg van OBA is echter moeilijk}

aan te tonen.45

(b) Gevaar van vele, lange en complexe toestemmingsverzoeken

Informatieplichten worden beschouwd als een belangrijke voorwaarde in de privacywetgeving. Van verwerkingsverantwoordelijken wordt verwacht dat zij betrokkenen duidelijke informatie verstrekken wanneer persoonsgegevens op grond van toestemming worden verzameld.46 _{Het is echter niet altijd even makkelijk om betrokkenen effectief te}

informeren over datgeen waarvoor toestemming wordt gevraagd. De doeleinden en onderliggende logica waarvoor de gegevens worden verwerkt bij het plaatsen van tracking cookies zijn vaak gecompliceerd, waardoor privacyverklaringen voor betrokkenen moeilijk te begrijpen zijn.47 _{Een individu zal daarom vaak niet in staat zal zijn om de privacy gevolgen}

van de verwerkingen te overzien.48 _{Als gevolg zullen betrokkenen in situaties waarin}

persoonsgegevens worden verzameld lang niet altijd weten dat dit gebeurt en waarvoor deze gegevens worden verzameld, laat staan wat de consequenties ervan kunnen zijn.49

Daarnaast ontvangen betrokkenen in de digitale context dagelijks meerdere verzoeken om toestemming te geven voor het verwerken van persoonsgegevens. Volgens de WP29 kan dit leiden tot ‘klikmoeheid’: wanneer men waarschuwingen te vaak tegenkomt, wordt het bedoelde waarschuwingseffect waar een toestemmingsverzoek voor moet zorgen minder en zullen betrokkenen eerder akkoord gaan met een dergelijk toestemmingsverzoek.50 _Hierbij

komt dat privacyverklaringen vaak lang zijn en het lezen ervan veel tijd kost.51 _{Hieruit kunnen}

situaties ontstaan waarin toestemmingsverzoeken niet meer worden gelezen en betrokkenen toestemming verlenen zonder precies te weten waarvoor. Omdat toestemming meestal wordt gevraagd voor handelingen die zonder toestemming onrechtmatig zijn, kan dit een risico vormen voor betrokkenen.52

(c) Recht op toegang tot informatie

44 Lynskey 2015, p. 216.

45 Zuiderveen Borgesius 2014, p. 297 (zie p. 253 voor een enquête die een chilling effect wel aantoont); Van der Sloot, P&I 2011/2, p. 64-65.

46 Art. 7 lid 2 AVG; ov. 32 AVG. 47 Jarovsky, EDPL 2018/4(4), p. 448. 48 Moerel, Prins 2016, p. 91.

49 Acquisti, Grossklags 2008, p. 1-2; Zuiderveen Borgesius, NJB 2015/680, p. 3. 50 WP29, WP259, p. 17.

51 Jarovsky, EDPL 2018/4(4), p. 449. 52 WP29, WP259, p. 20.

In beginsel heeft iedereen het recht op toegang tot informatie, op grond van artikel 10 EVRM en artikel 11 Handvest. Volgens het EHRM is het internet van algemeen belang voor de toegankelijkheid van nieuws en om de verspreiding van informatie mogelijk te maken. De beperking van internettoegang wordt door het EHRM gezien als een schending van de vrijheid van meningsuiting en het recht op informatie.53 _{Elk individu moet in staat zijn eigen}

ideeën te vormen waarbij het internet een belangrijke rol speelt voor het vergaren van informatie. Het plaatsen van een cookiewall geeft de gebruiker slechts een keuze om tracking cookies te accepteren. Indien de gebruiker hiervoor geen toestemming wenst te geven, krijgt een gebruiker geen toegang tot de website. Het slechts voorwaardelijk toegang geven tot een website kan dus het recht op toegang tot informatie beletten. Erop kan worden gewezen dat er alternatieve websites bestaan waar dezelfde informatie beschikbaar is. Dit kan echter problematisch zijn indien het nieuwswebsites zijn die een cookiewall plaatsen. Elke nieuwswebsite heeft specifieke eigenschappen en toont informatie op een bepaalde manier, waardoor informatie per medium kan verschillen en alternatieven niet altijd geschikt kunnen zijn.54

3. JURIDISCH KADER

53 EHRM 18 december 2012 (Yildirim/Turkije) §48.

Dit hoofdstuk licht toe hoe hoofdstuk 1 en 2 concreet vorm krijgen in secundaire wetgeving, door een uiteenzetting van het juridisch kader dat betrekking heeft op het plaatsen van een cookiewall. Voor het plaatsen van cookies is, zoals eerder vermeld, toestemming van de betrokkene vereist.55 _{Uit het vorige hoofdstuk blijkt dat toestemming een centraal begrip is in}

het gegevensbeschermingsrecht. Dit hoofdstuk gaat in op de interpretatie van toestemming van een betrokkene, op grond van relevante regelgeving. In dit hoofdstuk zullen slechts bepalingen worden besproken die betrekking hebben op het plaatsen van cookies en zal derhalve worden in gegaan op toestemming in de digitale context. Hieronder wordt in paragraaf 1 de relevante wetgeving worden besproken. Daarna wordt in paragraaf 2 ingegaan op de verhouding tussen de AVG en de andere wetgeving. Vervolgens worden in paragraaf 3 de criteria voor toestemming besproken. Hierbij zullen de overeenkomsten en verschillen tussen wetgeving worden aangekaart. Tot slot wordt in paragraaf 4 uiteengezet of een cookiewall is toegestaan op grond van de verschillende wetgevingsregimes.

3.1. Relevante wetgeving

Het vereiste van toestemming als grondslag voor de verwerking van persoonsgegevens ten gevolge van het plaatsen van cookies, is in verschillende wetgevingsregimes vastgelegd. De relevante bepalingen uit deze wetgevingsregimes worden hieronder kort besproken.

3.1.1. e-Privacyrichtlijn en Telecommunicatiewet

De e-Privacyrichtlijn is slechts van toepassing op de verwerking van gegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken.56 _{Artikel 5 lid 3 e-Privacyrichtlijn bevat een bepaling die voorziet in}

het waarborgen van de vertrouwelijkheid van communicatie, in het specifiek met betrekking tot de opslag van informatie en het verkrijgen van toegang tot informatie die is opgeslagen in de eindapparatuur van gebruikers.57 _{Deze bepaling beoogt de persoonlijke levenssfeer van de}

gebruiker van elektronische communicatienetwerken te beschermen, omdat gegevens op eindapparatuur (zoals een smartphone of laptop) deel uitmaken van de persoonlijke levenssfeer van de gebruiker. In de praktijk heeft deze bepaling betrekking op verschillende

55 Art. 6 lid 1 AVG; art. 5 lid 3 e-Privacyverordening; art. 11.7a Telecommunicatiewet. 56 Art. 3 lid 1 e-Privacyrichtlijn.

situaties, zoals bij het gebruik van spionagesoftware of webtaps.58 _{De bepaling heeft ook}

betrekking op de situatie waarin cookies worden ingezet als hulpmiddel om bijvoorbeeld de doeltreffendheid van reclame te onderzoeken.59 _{In 2009 is in artikel 5 lid 3 e-Privacyrichtlijn}

een wijziging opgenomen die het slechts toestaat om informatie op te slaan of toegang te krijgen tot informatie die reeds is opgeslagen op de eindapparatuur van gebruikers, indien daarvoor toestemming is verkregen van de betrokkene en de betrokkene is voorzien van duidelijke en volledige informatie overeenkomstig de AVG.60

In 2012 heeft Nederland als eerste land van Europa deze bepaling uit de e-Privacyrichtlijn geïmplementeerd in haar wetgeving, door artikel 11.7a op te nemen in de Telecommunicatiewet. De bepaling in de Telecommunicatiewet bevat een van de meest strikte implementaties van artikel 5 lid 3 e-Privacyrichtlijn in Europa.61 _{Op grond van deze}

bepaling is het niet toegestaan om zonder medeweten van de gebruiker persoonlijke informatie zoals foto’s, video’s en e-mails, op een computer of smartphone van een gebruiker te lezen of kopiëren. Daarnaast verbiedt het artikel het verspreiden en plaatsen van schadelijke software, zoals virussen.62 _{De bepaling heeft in de praktijk voornamelijk betrekking op het}

plaatsen van cookies en wordt ook wel de ‘cookiewet’ genoemd.63 _{Op grond van artikel 11.7a}

Telecommunicatiewet is het opslaan of lezen van informatie op randapparatuur slechts toegestaan indien de gebruiker is voorzien van duidelijke en volledige informatie en daarvoor toestemming heeft verleend.

3.1.2. Algemene Verordening Gegevensbescherming

Het doel van de AVG is het waarborgen van het fundamentele recht op bescherming van persoonsgegevens.64 _{Indien bedrijven gegevens verzamelen door middel van tracking cookies}

welke te beschouwen zijn als persoonsgegevens, is de AVG van toepassing. Verwerkingen ten behoeve van OBA brengen vaak verwerkingen van persoonsgegevens met zich mee.65

Iedere verwerking van persoonsgegevens moet overeenkomstig de AVG voldoen aan bepaalde beginselen. Een van deze beginselen schrijft voor dat persoonsgegevens slechts

58 Ov. 24 e-Privacyrichtlijn. 59 Ov. 25 e-Privacyrichtlijn.

60 Art. 5 lid 3 e-Privacyrichtlijn jo. Art. 94 lid 2 AVG.

61 Leenes & Kosta, Computer Law & Security Review 2015/31, p. 321. 62 Kamerstukken II 2013/14, 33902, 3, p. 1.

63 Kamerstukken II 2013/14, 33902, 3, p. 2.

64 Art. 1 lid 2 AVG; art. 2 AVG; ov. 1 AVG; art. 8 Handvest. 65 WP29, WP171, p. 9.

mogen worden verwerkt ‘op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is’.66 _{Voor een rechtmatige verwerking vereist de AVG dat de}

verwerking is gebaseerd op, ten minste, een van de genoemde grondslagen in artikel 6 lid 1 van de AVG. De eerste grondslag waarop een rechtmatige verwerking kan worden gebaseerd is het geven van toestemming door de betrokkene, voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.67 _{Naast deze voorwaarde noemt}

artikel 6 AVG nog vijf andere voorwaarden waarop de verwerkingsverantwoordelijke zijn verwerking kan baseren. Gezien cookies op grond van de e-Privacyrichtlijn en de Telecommunicatiewet slechts kunnen worden geplaatst indien daarvoor toestemming is verkregen, is toestemming overeenkomstig artikel 6 AVG ook de juiste grondslag waarop een dergelijke verwerking kan worden gebaseerd.

3.1.3. e-Privacyverordening

In januari 2017 heeft de Europese Commissie een voorstel voor de e-Privacyverordening gepubliceerd. De e-Privacyverordening zal de e-Privacyrichtlijn (en daarmee ook de regels uit hoofdstuk 11 van de Telecommunicatiewet) gaan vervangen. De onderhandelingen over de definitieve inhoud van de verordening zijn nog echter nog steeds bezig. De e-Privacyverordening beoogt “een hoog niveau van bescherming van de persoonlijke levenssfeer voor gebruikers van elektronische communicatiediensten en een gelijk speelveld voor alle marktdeelnemers te garanderen”.68 _{De e-Privacyverordening stelt regels op voor}

bedrijven die data verwerken voor elektronische communicatiediensten en is daarmee specifiek gericht op elektronische dienstverlening. In de verordening worden onder andere regels opgesteld voor het gebruik van e-mail, cookies, telemarketing en andere vormen van elektronische communicatie.

De e-Privacyverordening geeft aan dat het verwerken van elektronische communicatiegegevens nuttig kan zijn voor zowel bedrijven als consumenten. De e-Privacyverordening verruimt ten opzichte van de e-Privacyrichtlijn de mogelijkheden om metagegevens die verkregen zijn via elektronische communicatie te verwerken. Overweging 17 van de e-Privacyverordening benadrukt echter dat er veel waarde wordt gehecht aan de vertrouwelijkheid van communicatie van eindgebruikers. Daarom moet voor een verwerking

66 Art. 5 lid 1 sub a AVG. 67 Art. 6 lid 1 sub a AVG.

van elektronische communicatiegegevens toestemming worden verkregen van de eindgebruiker.

Artikel 8 van de e-Privacyverordening regelt specifiek de bescherming van gegevens die zijn opgeslagen en verband houden met de eindapparatuur van gebruikers en is vergelijkbaar met artikel 5 lid 3 van de e-Privacyrichtlijn. Op grond van het artikel is het in beginsel niet toegestaan om verwerkings- en opslagcapaciteit van eindapparatuur te gebruiken of om gegevens uit de eindapparatuur van gebruikers te verzamelen. Dit is slechts toegestaan als een van de uitzonderingen uit artikel 8 lid 1 e-Privacyverordening zich voordoet. Een van de mogelijke uitzonderingen voor het verzamelen van gegevens van de eindapparatuur van de gebruiker, is wanneer de gebruiker toestemming heeft gegeven voor een dergelijke verzameling.69

3.2. Verhouding tussen wetgevingsregimes

De e-Privacyrichtlijn, de Telecommunicatiewet en de e-Privacyverordening richten zich uitsluitend op de verwerking van persoonsgegevens via elektronische communicatiediensten. De AVG bevat regels die betrekking hebben op alle vormen van verwerkingen van persoonsgegevens, zowel analoog als digitaal. De bepalingen besproken in de vorige paragraaf voorzien allemaal in regels voor de verwerking van persoonsgegevens ten gevolge van het plaatsen van cookies. Omdat alle bepalingen van huidig geldend recht zijn (en de e-Privacyverordening naar verwachting in werking zal gaan treden) is duidelijkheid nodig over de verhouding tussen de verschillende wetgevingsregimes.

3.2.1. Verhouding tussen de AVG en de e-Privacyrichtlijn

In de e-Privacyrichtlijn is vastgelegd dat regels uit de e-Privacyrichtlijn dienen ter specificatie en aanvulling op de AVG.70 _{Hierin wordt echter niet aangegeven welke regels dienen ter}

specificatie en welke ter aanvulling op de AVG. Om deze reden heeft de EDPB in maart 2019 een opinie gepubliceerd over de verhouding tussen de e-Privacyrichtlijn en de AVG.71

Volgens de EDPB zijn sommige bepalingen uit de e-Privacyrichtlijn een lex specialis ten opzichte van de AVG. Deze bepalingen hebben voorrang op algemene bepalingen uit de

69 Art. 8 lid 1 sub b e-Privacyverordening.

70 Art. 1 lid 2 e-Privacyrichtlijn; art. 94 lid 2 AVG. 71 EDPB 2019.

AVG, indien ze specifiek zijn opgesteld om een onderwerp te regelen dat ook door de AVG wordt gereguleerd. Voor zover de opgeslagen informatie persoonsgegevens bevat, is artikel 5 lid 3 e-Privacyrichtlijn volgens de EDPB een lex specialis en heeft het daarom voorrang op artikel 6 AVG. Artikel 5 lid 3 e-Privacyrichtlijn vereist voor de opslag voor informatie of het verkrijgen van toegang tot die informatie een voorafgaande toestemming. De EDPB betoogt derhalve dat een dergelijke verwerking slechts kan worden gedaan op grond van een voorafgaande toestemming en daarom niet op een andere verwerkingsgrondslag uit artikel 6 AVG kan worden gebaseerd.72 _{De AVG heeft daarom geen aanvullende werking met}

betrekking tot het plaatsen van cookies, tenzij de hieruit verkregen gegevens verder worden verwerkt voor bijvoorbeeld OBA. Volgens de EDPB is voor die verwerking een aanvullende verwerkingsgrondslag op grond van artikel 6 AVG vereist.73

Daarnaast heeft de AVG aanvullende werking, indien uit de e-Privacyrichtlijn specifieke verplichtingen volgen en in de AVG soortgelijke verplichtingen zijn vastgelegd met een andere doelstelling.74 _{Indien uit de e-Privacyrichtlijn specifieke verplichtingen volgen met}

dezelfde doelstelling, biedt de AVG geen aanvullende verplichting.

3.2.2. Verhouding tussen de AVG en de Telecommunicatierichtlijn

Wanneer tracking cookies worden geplaatst is overeenkomstig artikel 11.7a lid 4 Telecommunicatiewet sprake van een verwerking van persoonsgegevens. Bij iedere verwerking van persoonsgegevens moeten de regels uit de AVG worden nageleefd. Daarom moeten, bij het plaatsen van tracking cookies, de regels uit zowel artikel 11.7a Telecommunicatiewet, als uit de AVG worden nageleefd en heeft de AVG een aanvullende werking.75

3.2.3. Verhouding tussen de AVG en de de-Privacyverordening

In het voorstel voor de e-Privacyverordening is opgenomen dat de regels zullen dienen ter specificatie en aanvulling van de algemene regels voor de bescherming van persoonsgegevens

72 Zie ook WP29, WP171, p. 9-10. 73 EDPB 2019, p. 13-14.

74 Art. 95 AVG.

uit de AVG en derhalve het beschermingsniveau van de AVG niet zal verlagen.76 _{De laatste}

gewijzigde versie van de e-Privacyverordening bepaalt dat indien de e-Privacyverordening geen specifieke regels voor een verwerking van persoonsgegevens voorschrijft, de regels uit de AVG gelden.77 _{Op het moment dat de e-Privacyverordening de e-Privacyrichtlijn vervangt,}

zal artikel 95 AVG naar verwachting betrekking gaan hebben op de verhouding tussen de e-Privacyverordening en de AVG. Overeenkomstig paragraaf 3.2.1 kan hieruit worden afgeleid dat de AVG aanvullende verplichtingen kan stellen indien de e-Privacyverordening specifieke bepalingen betreffende een bepaald onderwerp bevat, mits de bepalingen een andere doelstelling beogen.

3.3. Criteria voor toestemming

Hieronder worden de criteria voor toestemming uiteengezet, waarbij de overeenkomsten en verschillen tussen de relevante wetgevingsregimes worden besproken.

Voordat de AVG in werking trad, verwezen de e-Privacyrichtlijn en de Telecommunicatiewet naar de definitie van toestemming als bedoeld in de Wet Bescherming Persoonsgegevens.78

De invoering van de AVG heeft echter de Wet Bescherming Persoonsgegevens vervangen. Dit heeft ertoe geleid dat voor de definitie van toestemming als bedoeld in artikel 5 lid 3 e-Privacyrichtlijn en artikel 11.7a Telecommunicatiewet wordt verwezen naar de definitie ervan in de AVG.79 _{Ook de e-Privacyverordening verwijst voor de definitie van toestemming naar}

de definitie ervan in de AVG.80 _{De AVG definieert toestemming van de betrokkene als “elke}

vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”.81

Door de WP29 zijn richtlijnen opgesteld waarin bepalingen en begrippen uit de AVG en de e-Privacyrichtlijn worden toegelicht en verduidelijkt. Naast een uiteenzetting van criteria in de wetgeving, wordt hieronder ook in gegaan op deze uitleg door de WP29. Voordat de AVG van toepassing was, heeft de WP29 in 2013 een specifiek document opgesteld waarin een 76 Ov. 5 e-Privacyverordening; Zwenne, Kroes & van Eymeren 2018, p. 6.

77 Raad van de Europese Unie, Interinstitutional File: 2017/0003(COD), overweging 2a. 78 Art. 1 sub i Wet bescherming persoonsgegevens.

79 Art. 2 sub f e-Privacyrichtlijn jo. art. 94 lid 2 AVG; art. 11.1 sub g Telecommunicatiewet. 80 Ov. 18 e-Privacyverordening; art. 9 lid 1 e-Privacyverordening.

richtlijn wordt gegeven voor het verkrijgen van geldige toestemming bij het plaatsen van cookies op grond van de e-Privacyrichtlijn.82 _{Na de totstandkoming van de AVG heeft de}

WP29 in 2017 een nieuw advies opgesteld over de definitie van toestemming.83 _{De AVG}

specificeert het toestemmingsbegrip, waardoor het volgens de WP29 noodzakelijk was om een advies op te stellen met nadere toelichting van het begrip. De WP29 benadrukt in dit advies dat de bestaande adviezen over toestemming relevant blijven84_{, voor zover ze zijn te}

verenigen met het nieuwe wetgevingskader van de AVG. In het nieuwe advies beoogt de WP29 bepaalde onderwerpen aan te vullen, maar het is geen vervanging van eerdere adviezen.85

Voor een geldige toestemming moet er volgens artikel 4 lid 11 AVG worden voldaan aan verschillende elementen die waarborgen dat betrokkenen daadwerkelijk toestemming geven tot bepaald gebruik van hun persoonsgegevens. Deze elementen zijn achtereenvolgens: vrije toestemming; specifieke toestemming; geïnformeerde toestemming; ondubbelzinnige wilsuiting. Daarnaast worden er in artikel 7 AVG extra voorwaarden aan toestemming gesteld.

Deze elementen en voorwaarden gelden ook voor toestemming als bedoeld in de e-Privacyrichtlijn en e-Privacyverordening. De e-e-Privacyrichtlijn verwijst naar toestemming als bedoeld in de AVG, waaronder artikel 4 lid 11 en artikel 7 AVG vallen. 86 _De

e-Privacyverordening verwijst specifiek naar beide bepalingen uit de AVG.87 _De

Telecommunicatiewet verwijst echter slechts specifiek naar artikel 4 lid 11 AVG. Daardoor kan de opvatting bestaan, dat de overige vereisten voor toestemming overeenkomstig de AVG niet van toepassing zijn voor een verwerking op grond van artikel 11.7a Telecommunicatiewet.88 _{Echter, zoals in paragraaf 3.2.2. is beschreven, moeten alle regels uit}

de AVG ook worden nageleefd, indien een een verwerking van persoonsgegevens door het plaatsen van tracking cookies plaatsvindt.

3.3.1. Vrije toestemming

82 WP29, WP208. 83 WP29, WP259.

84 Voornamelijk WP29, WP187. 85 WP29, WP259, p. 3.

86 Art. 2 sub f e-Privacyrichtlijn jo. art. 94 lid 2 AVG. 87 Art. 9 lid 1 e-Privacyverordening.

Voor het verkrijgen van een geldige toestemming vereist de AVG ten eerste dat de toestemming vrij kan worden gegeven. De betrokkene moet zijn wil met betrekking tot de gegevensverwerking in vrijheid kunnen uiten.89 _{Toestemming kan niet worden geacht vrij te}

zijn gegeven indien de betrokkene geen echte of vrije keuze heeft of als toestemming niet zonder nadelige gevolgen geweigerd of ingetrokken kan worden.90 _{Het is aan de}

verwerkingsverantwoordelijke om aan te tonen dat het mogelijk is om toestemming te kunnen weigeren of intrekken zonder nadelige gevolgen.91

Volgens de WP29 wordt met het element ‘vrij’ een werkelijke keuze en controle voor de betrokkene bedoeld.92 _{Naar mening van de WP29 kan toestemming niet rechtsgeldig worden}

gegeven indien de betrokkene het risico van aanzienlijk negatieve gevolgen loopt wanneer hij niet toestemt. Daarnaast kan er volgens haar geen sprake zijn van vrije toestemming wanneer de gevolgen van de toestemming de keuzevrijheid van de betrokkenen inperken.93 _{De WP29}

stelt dat toestemming slechts geldig is indien de gebruiker een echte keuze heeft kunnen maken. Zo moet een betrokkene op de beginpagina van de website de mogelijkheid worden geboden om sommige of alle cookies te accepteren of weigeren, waarbij de mogelijkheid wordt behouden om in de toekomst deze instellingen te kunnen wijzigen.94

De AVG maakt niet duidelijk wanneer er sprake is van een weigering of intrekking met nadelige gevolgen. De WP29 noemt hiervan wel een aantal voorbeelden, bijvoorbeeld wanneer het intrekken van toestemming leidt tot extra kosten voor de betrokkene of tot vermindering van diensten.95 _{Ook kan beargumenteerd worden dat er sprake is van nadelige}

gevolgen, wanneer door het weigeren van cookies de functionaliteit van een website verminderd.96

Bij het verkrijgen van een vrije toestemming spelen ook de volgende elementen een rol. Eis van granulariteit

89 Art. 3:33 BW en 3:35 BW zijn van overeenkomstige toepassing; de Vries in: T&C Privacy- en

telecommunicatierecht 2016. 90 Ov. 42 AVG. 91 Ov. 42 AVG. 92 WP29, WP259, p. 6. 93 WP29, WP187, p. 12; WP29, WP259 p. 5-6; ov. 42,43 AVG. 94 WP29, WP208, p. 4-5. 95 WP29, WP259, p. 21.

Vrije toestemming vereist dat er afzonderlijk toestemming kan worden gegeven voor verschillende verwerkingen. Een dienst kan meerdere verwerkingsactiviteiten voor meer dan een doeleinde omvatten. Betrokkenen moeten in dergelijke gevallen in staat zijn om vrij te kunnen kiezen voor welke doeleinden ze toestemming geven.97

Wanverhouding

Er kan geen sprake zijn van vrije toestemming wanneer er een duidelijke wanverhouding bestaat tussen de betrokkene en de verwerkingsverantwoordelijke. Dit is bijvoorbeeld het geval indien de verwerker een overheidsinstantie is of bij een relatie tussen de werkgever en de werknemer.98 _{Er kan ook sprake zijn van ongeldige toestemming indien er een dergelijke}

wanverhouding bestaat tussen een website en een gebruiker. Een voorbeeld hiervan is wanneer een groot bedrijf, zoals Facebook, een cookiewall hanteert. In dat geval kan beargumenteerd worden dat er een duidelijke wanverhouding bestaat tussen het bedrijf en de gebruiker. Gebruikers die graag gebruik maken van een site als Facebook, kunnen het gevoel hebben dat ze geen andere keuze hebben dan het accepteren van cookies.99

Artikel 7 lid 4 AVG

Artikel 7 lid 4 AVG geeft aan toestemming niet wordt geacht vrij te zijn gegeven, indien het aanvaarden van een verwerking voorwaardelijk wordt gesteld aan het uitvoeren van een overeenkomst of het verlenen van een dienst, terwijl dit niet noodzakelijk is voor het uitvoeren van de overeenkomst of verlenen van de dienst.100 _{Wat er wordt verstaan onder}

noodzakelijk voor de uitvoering van een overeenkomst, wordt niet in de AVG toegelicht. Volgens de WP29 verzekert deze bepaling dat de verwerking van persoonsgegevens waarvoor toestemming wordt gevraagd, niet als tegenprestatie voor een overeenkomst kan worden gebruikt. De WP29 legt uit dat de keuze van een betrokkene wordt beperkt, wanneer deze wordt gedwongen om in te stemmen met het gebruik van persoonsgegevens die niet strikt noodzakelijk zijn voor de verwerking. De WP29 benadrukt dat het gegevensbeschermingsrecht is gericht op het beschermen van grondrechten, waardoor het van essentieel belang is dat een betrokkene de controle heeft over zijn of haar persoonsgegevens. Verondersteld kan worden dat toestemming voor het verwerken van niet noodzakelijke

97 Ov. 32, 43 AVG.

98 Ov. 43 AVG; WP29, WP259, p. 6.

99 Zuiderveen Borgesius e.a., EDPL 2017/3, p. 9. 100 Art. 7 lid 4 AVG; ov. 43 AVG.

persoonsgegevens, niet kan worden beschouwd als een verplichte tegenprestatie voor de uitvoering van een overeenkomst of het verlenen van een dienst.101

De WP29 geeft aan dat voor de beoordeling van de noodzakelijkheid van een verwerking van persoonsgegevens voor de uitvoering van een overeenkomst, het belangrijk is om vast te stellen wat de reikwijdte van de overeenkomst is en welke gegevens nodig zijn voor de uitvoering van die overeenkomst. Er moet een direct en objectief verband bestaan tussen het doel van de uitvoering van de overeenkomst en de verwerking van persoonsgegevens.102 _De

term ‘noodzakelijk voor de uitvoering van een overeenkomst’ moet volgens de WP29 strikt worden geïnterpreteerd.103 _{Als voorbeelden noemt de WP29 het verwerken van het adres van}

een betrokkene, zodat online gekochte spullen kunnen worden toegestuurd of het verwerken van creditcards gegevens, zodat een betaling kan worden gedaan.104

De woorden ‘onder meer’ uit artikel 7 lid 4 suggereren dat er andere factoren zijn die meespelen bij de beoordeling of toestemming vrijelijk wordt gegeven. Hieruit kan worden afgeleid, dat het afhankelijk maken van een dienst van toestemming niet per definitie betekent dat toestemming ongeldig is.105 _{De WP29 heeft in een opinie uit 2014 aangegeven, dat het}

verkrijgen van gratis online diensten in ruil voor het gebruiken van hun persoonsgegevens een geldige toestemming kan opleveren, indien er een alternatieve versie van de diensten mogelijk is waarbij persoonsgegevens niet worden gebruikt voor marketing doeleinden.106 _{In een latere}

opinie beredeneerd de WP29 dat de gelijkwaardige dienst moet worden aangeboden door dezelfde en dus niet door een andere verwerkingsverantwoordelijke. De keuzevrijheid wordt anders afhankelijk gemaakt van andere spelers in de markt en van de beoordeling van de gebruiker of diegene een dienst gelijkwaardig vindt.107

3.3.2. Specifieke toestemming

Naast het vereiste van een vrije toestemming moet toestemming ook kunnen worden verleend ten opzichte van een of meer specifieke doeleinden.108 _{De eis van een specifieke toestemming}

101 WP29, WP259 p. 8. 102 WP29, WP259 p. 8. 103 WP29, WP217, p. 16-17. 104 WP29, WP259, p. 8.

105 Zuiderveen Borgesius e.a., EDPL 2017/3, p. 9. 106 WP29, WP217, p. 47.

107 WP29, WP259, p. 9-10.

is nauw verbonden aan het vereiste van een geïnformeerde toestemming en moet daarnaast worden geïnterpreteerd in lijn met het vereiste van een granulaire toestemming. Granulaire toestemming moet worden verleend om een betrokkene in staat te stellen om voor verschillende verwerkingen afzonderlijke toestemming te kunnen geven.109

Volgens de WP29 bevestigt de eis van specifieke toestemming dat de betrokkene een keuze moet hebben ten opzichte van elk van de afzonderlijke doeleinden en draagt het bij aan een zekere mate van transparantie en controle voor de betrokkene.110 _{Om te kunnen voldoen aan}

het vereiste voor een specifieke toestemming moet de verwerkingsverantwoordelijke volgens de WP29 zorgen voor (i) een specificatie van de doeleinden, (ii) granulariteit in toestemmingsverzoeken, bijvoorbeeld door voor elk doel afzonderlijk een opt-in aan te bieden en (iii) een duidelijk onderscheid tussen informatie die betrekking heeft op het verkrijgen van toestemming voor gegevensverwerking en informatie die betrekking heeft op andere zaken.111

3.3.3. Geïnformeerde toestemming

Voordat betrokkenen toestemming geven voor een verwerking is het blijkens de AVG belangrijk dat aan hen informatie wordt verstrekt over deze toestemming, zodat betrokkenen een geïnformeerde beslissing kunnen nemen en begrijpen waar ze mee instemmen. Artikel 5 lid 3 e-Privacyrichtlijn en artikel 11.7a Telecommunicatiewet kennen ook specifiek het vereiste van een geïnformeerde toestemming. Op grond van deze bepalingen moet de betrokkene zijn voorzien van duidelijke en volledige informatie overeenkomstig de AVG. Op grond van de Telecommunicatiewet moet bovendien het verstrekken van informatie voorafgaand zijn aan het verkrijgen van toestemming.112 _{Artikel 8 lid 1 sub b}

e-Privacyverordening noemt deze informatieplicht niet specifiek. Het is onduidelijk waarom de Europese Commissie dit vereiste niet heeft opgenomen.

De verwerkingsverantwoordelijke is verplicht om de informatie genoemd in artikel 13 en 14 AVG te verstrekken in duidelijke en eenvoudige taal.113 _{Ook moet de}

verwerkingsverantwoordelijke overeenkomstig artikel 7 lid 2 AVG bij het vragen van toestemming, ervoor zorgen dat het toestemmingsverzoek in duidelijke en eenvoudige taal

109 Ov. 43 AVG. 110 WP29, WP259 p. 11. 111 WP29, WP259 p. 11.

112 Kamerstukken II 2013/14, 33902, 3, p. 12. 113 Art. 12 lid 1 AVG.

wordt verstrekt. Daarnaast moet het toestemmingsverzoek in begrijpelijke en gemakkelijk toegankelijke vorm worden gepresenteerd en moet het afzonderlijk en gescheiden zijn van andere informatie.114 _{Indien toestemming wordt gegeven via elektronische middelen is het}

overeenkomstig overweging 32 AVG belangrijk dat het toestemmingsverzoek duidelijk en bondig is.

Volgens de WP29 betekent toestemming in een duidelijk en eenvoudige taal als bedoeld in de AVG, dat het gemakkelijk te begrijpen moet zijn voor de gemiddelde betrokkene en er geen uitgebreide privacyverklaringen mogen worden gebruikt die bijvoorbeeld slechts begrijpelijk zijn voor juristen.115 _{De WP29 heeft eerder al toelichting gegeven aan de informatieplicht}

overeenkomstig artikel 5 lid 3 e-Privacyrichtlijn. Geïnformeerde toestemming kan, naar mening van de WP29, slechts worden verkregen indien voorafgaand aan de verwerking informatie betreffende de verzending en het doel van de cookies aan de gebruiker zijn verstrekt.116 _{Aan de gebruiker moet worden vermeld door wie cookies worden geplaatst en}

gelezen, wie beschikking krijgt over de gegevens en wie de verantwoordelijke is van de door het plaatsen en lezen verkregen gegevens. Daarnaast moet aan de gebruiker duidelijk worden gemaakt wanneer cookies worden gebruikt om profielen op te stellen en of deze profielen vervolgens worden gebruikt om gerichte reclame te tonen.117 _{Verder is volgens de WP29}

informatie vereist over de bewaartermijn van cookies en moeten gebruikers worden geïnformeerd over de manieren waarop zij hun voorkeuren met betrekking tot cookies kunnen vastleggen. Deze informatie moet worden verstrekt op het moment en de plek waar de toestemming voor een verwerking wordt gezocht, bijvoorbeeld op de beginpagina van een website.118

In de onlangs verschenen uitspraak van het Europese Hof van Justitie in de zaak Planet49, heeft het Hof het voorgaande bevestigd en geoordeeld dat websitehouders verplicht zijn om betrokkenen te informeren over toegang van derde partijen tot data verzameld door cookies. Volgens het Hof is dit noodzakelijke informatie voor de keuze van de betrokkene, over het al dan niet verlenen van toestemming. Volgens het Hof is het niet noodzakelijk dat alle derde

114 Zie ook ov. 39. 115 WP29, WP259, p. 14. 116 WP29, WP171, p. 13. 117 WP29, WP171, p. 24. 118 WP29, WP208, p. 3.

partijen die toegang hebben tot data verzameld door cookies worden vermeld en is het slechts noemen van categorieën van derden voldoende.119

3.3.4. Ondubbelzinnige wilsuiting

De AVG vereist dat voor een geldige toestemming de betrokkene een ondubbelzinnige wilsuiting heeft gegeven, door middel van een duidelijke actieve handeling of verklaring.120

Een ondubbelzinnige actieve handeling vergt dat de betrokkene een opzettelijke handeling heeft verricht waarmee toestemming wordt verleend voor de specifieke verwerking. Indien het verzoek voor toestemming via elektronische middelen moet worden gegeven, mag het toestemmingsverzoek niet onnodig storend zijn voor het gebruik van de dienst in kwestie.121

Ten tijde van de totstandkoming van artikel 11.7a Telecommunicatiewet, heeft de Nederlandse regering bepaald dat de eis van ondubbelzinnige toestemming voor een verwerking op grond van deze bepaling niet is vereist. Bij het gebruik van tracking cookies wordt echter een verwerking van persoonsgegevens verondersteld122_{, wat meebrengt dat de}

regels uit de AVG moeten worden nageleefd.123 _{Geconcludeerd kan worden dat de eis van}

ondubbelzinnige toestemming ook op grond van de Telecommunicatiewet is vereist, indien tracking cookies op de eindapparatuur van de gebruiker worden geplaatst. Volgens de regering is voor ondubbelzinnige toestemming vereist dat naast de mogelijkheid om in te stemmen met het plaatsen van cookies, ook de mogelijkheid wordt geboden om te weigeren. Deze keuze kan duidelijk worden gemaakt door het verschaffen van de mogelijkheid om in te stemmen met het plaatsen van cookies en daarnaast het bieden van de mogelijkheid om geen toestemming te verlenen (door middel van een ja- en nee knop).124

Er zijn websites die een toestemmingssysteem hanteren waarbij de gebruiker wel de mogelijkheid heeft om cookies door middel van verschillende selectievakjes te weigeren of accepteren, maar waarbij het ‘accepteer’-vakje vooraf is aangevinkt.125 _{In de hiervoor}

aangehaalde zaak Planet49 heeft het Hof echter geoordeeld dat toestemming niet geldig is verleend indien dit wordt gedaan door middel van een vooraf aangevinkt selectievakje, dat de

119 HvJ EU 1 oktober 2019 (Planet49) §77, 80. 120 Art. 4 lid 11; ov. 32 AVG.

121 Ov. 32 AVG. 122 Art. 11.7a lid 4 Tw.

123 Kamerstukken II 2013/14, 33902, 3, p. 3, 13.

124 Kamerstukken II 2013/14, 33902, 3, p. 14; WP29, WP187, p. 23. 125 Zoals de websites van de Speld, Ikea en PowNed.

gebruiker moet uitvinken wanneer hij geen toestemming wenst te verlenen. Het Hof benadrukt dat toestemming een ondubbelzinnige wilsuiting moet zijn die bestaat uit een actieve handeling, wat niet kan volgen uit passief gedrag.126

Ook volgens de WP29 moet toestemming voor het plaatsen van cookies worden geuit door middel van een actieve, ondubbelzinnige handeling waarbij er geen twijfel mag bestaan over de intentie van de gebruiker. De WP29 noemt verschillende manieren die geschikt zijn om de toestemming te verkrijgen, zoals splash screens, banners of configuratie via browser instellingen.127

3.3.5. Toestemming vooraf

Zowel de AVG, de e-Privacyrichtlijn als de Telecommunicatiewet stellen niet specifiek het vereiste van een voorafgaande toestemming. Dit vereiste kan echter wel worden verondersteld. De bepalingen uit de AVG en de e-Privacyverordening schrijven voor dat de betrokkene toestemming heeft gegeven, wat impliceert dat toestemming moet zijn gegeven voor de aanvang van de gegevensverwerking.128 _{Ook in artikel 5 lid 3 e-Privacyrichtlijn en}

artikel 11.7a lid 1 sub b Telecommunicatiewet is bepaald dat een verwerking slechts is toegestaan, indien een betrokkene toestemming heeft verleend.

Door de WP29 wordt ook aangenomen dat toestemming voorafgaand aan de verwerking moet worden gegeven.129 _{Indien cookies worden geplaatst, betekent dit volgens de WP29 dat}

toestemming daaraan voorafgaand moet worden verkregen en voordat opgeslagen informatie in de eindapparatuur van de gebruiker wordt verzameld. Websites moeten er zorg voor dragen dat cookies pas mogen worden geplaatst op het eindapparaat van de gebruiker indien zijn of haar wensen met betrekking tot deze cookies zijn aangegeven.130

3.4. De cookiewall

3.4.1. Cookiewall overeenkomstig de e-Privacyrichtlijn

126 HvJ EU 1 oktober 2019 (Planet49) §52, 54, 61, 65. 127 WP29, WP208, p. 4-5.

128 Art. 6 lid 1 AVG; art. 8 lid 1 sub b e-Privacyverordening 129 WP29, WP187, p. 30; WP29, 259, p. 17-18.

De e-Privacyrichtlijn lijkt het plaatsen van een cookiewall niet te verbieden. Overweging 25 van de e-Privacyrichtlijn staat toe dat aan toegang tot specifieke inhoud van een website de voorwaarde wordt verbonden, dat hiervoor een cookie of soortgelijke voorziening wordt aanvaard.131 _{Deze cookies mogen slechts worden geplaatst indien ze voor legitieme}

doeleinden worden gebruikt. Uit de overweging lijkt te volgen dat websitehouders, op grond van de e-Privacyrichtlijn, gebruikers toegang tot hun website kunnen weigeren wanneer ze niet akkoord gaan met het plaatsen van cookies.

De WP29 heeft hier echter kritiek op geuit, omdat deze benadering in strijd kan zijn met de mogelijkheid die gebruikers moeten krijgen om het opslaan van cookies op hun computer te weigeren.132 _{Daarnaast is het echter onduidelijk wat met ‘specifieke inhoud’ wordt bedoeld}

en of hiermee voorwaardelijke toegang tot de gehele website wordt bedoeld.133 _{Volgens de}

WP29 kan uit de bewoording in overweging 25 van de e-Privacyrichtlijn worden afgeleid dat slechts aan bepaalde specifieke inhoud van de website, en dus niet de gehele website, de voorwaarde van het bewust aanvaarden van cookies mag worden verbonden. De WP29 is van mening dat de gebruiker de mogelijkheid moet houden om een website te bezoeken zonder dat cookies worden geplaatst.134

3.4.2. Cookiewall overeenkomstig de Telecommunicatiewet

Volgens de Nederlandse regering is het niet verschaffen van toegang tot een website of het slechts tegen betaling gebruikmaken ervan, niet voldoende om aan te nemen dat de gebruiker geen vrije keuze kan maken met betrekking tot het plaatsen van cookies.135 _{De Nederlandse}

regering heeft het plaatsen van een cookiewall dan ook niet verboden en wijst op het verdienmodel van websites, die is gebaseerd op inkomsten die een website genereert door middel van reclame op die website. Het niet verschaffen van toegang tot een website indien een gebruiker niet akkoord gaat met het plaatsen van cookies, is volgens de regering een rechtmatige manier om aan het toestemmingsvereiste te voldoen. Dit kan echter niet als rechtmatig worden beschouwd, indien een bezoeker in grote mate afhankelijk is van diensten van een bepaalde website.136 _{De ACM heeft zich in 2016 bij het standpunt van de regering}

131 Ov. 25, laatste zin e-Privacyrichtlijn.

132 WP29, WP126, p. 3; Kosta, Int. Journal of Law and Information Technology 2013/21(4), p. 395-396. 133 Zuiderveen Borgesius e.a., EDPL 2017/3, p. 8.

134 WP29, WP208 p. 5.

135 Kamerstukken II 2013/14, 33902, 3, p. 14.