Stel, je bezoekt een website en er wordt gevraagd of je cookies wil accepteren. Accepteer je de cookies niet, dan krijg je geen verdere toegang tot de site. De website geeft een uitleg van de cookies. Je leest dat functionele cookies gebruikt worden om de website te verbeteren. Verder zie je dat analytische cookies worden gebruikt om bezoekersstatistieken bij te houden. Bij de laatste cookie, een tracking cookie, lees je dat je internetgedrag wordt gevolgd. Dit wil je liever niet, maar als je niet alle cookies accepteert, krijg je geen toegang tot de website. In deze situatie is sprake van een cookiewall, oftewel een cookiemuur. Wat is een cookiewall? En is zo’n cookiewall toegestaan? Deze vragen worden in dit artikel behandeld.
Wat houdt een cookiewall in?
Door middel van een cookiewall wordt het bezoeken van een website, dienst of app geblokkeerd. Dit is het geval als een bezoeker geen toestemming geeft voor het gebruiken van cookies. De bezoeker moet dus alle cookies accepteren om verder toegang te krijgen. Zoals ook al in de intro is besproken, is geen toestemming vereist voor het plaatsen van functionele en analytische cookies. Deze cookies leveren namelijk geen privacy inbreuk op. Tracking cookies daarentegen leveren wel een inbreuk op de privacy, omdat tracking cookies individuele bezoekers volgen in hun internetgedrag. Tracking cookies mogen dus altijd geweigerd worden door bezoekers.
Tracking cookies
Tracking cookies kom je bijvoorbeeld tegen op Bol.com. Als je Bol.com bezoekt, staan er vaak advertenties op. De advertenties zijn veelal afkomstig van een advertentiebureau. Bezoekt de internetgebruiker vervolgens een andere website, zoals Coolblue, dan kan het zo zijn dat het advertentiebureau daar ook actief op is. Met het eerder geplaatste cookie kan de adverteerder kijken naar het zoekgedrag van de internetgebruiker. Op die manier wordt duidelijk naar welke producten de internetgebruiker op zoek is en passen adverteerders hun advertenties per individuele internetgebruiker aan. Ben je bijvoorbeeld op zoek geweest naar een bank? Dan kan het zijn dat je overal advertenties voor een bank ziet. Dat komt dan door de tracking cookies.
Een cookiewall is dus een gewiekste manier om toestemming te krijgen voor het plaatsen en gebruiken van tracking cookies. Bezoekers worden als het ware gedwongen om tracking cookies te accepteren, want geen toestemming = geen toegang.
Is een cookiewall wel of niet toegestaan?
Mag een website, app of dienst een cookiewall plaatsen? Nee! De Autoriteit Persoonsgegevens (hierna: AP) heeft op 7 maart 2019 in een normuitleg aangegeven dat cookiewalls verboden zijn. Allereerst mogen overheidsdiensten, bijvoorbeeld waterschappen, provincies, gemeenten, politie, het UWV en het CBR geen cookiemuur gebruiken. Dit staat in de Telecommunicatiewet. Ook commerciële diensten mogen geen cookiewalls gebruiken. Commerciële diensten zijn bijvoorbeeld nieuwssites, vakantiesites, Facebook en Instagram.
De AP heeft aangegeven dat cookiewalls niet zijn toegestaan, omdat ze niet voldoen aan het toestemmingsvereiste die de Algemene Verordening Gegevensbescherming (hierna: de AVG) voor tracking cookies stelt. Volgens de AVG moet toestemming voor tracking cookies voldoen aan drie eisen:
- Websites, apps en overige diensten moeten aantonen dat bezoekers toestemming hebben gegeven.
- Bezoekers moeten toestemming altijd zonder nadelige gevolgen kunnen intrekken.
- Tot slot moet de toestemming door de bezoeker vrij gegeven zijn.
Toestemming aantonen
Cookiewalls voldoen aan de eerste eis. Toestemming kan namelijk bijgehouden en geregistreerd worden. Dat kan door het loggen van IP-adressen van bezoekers die toestemming gegeven hebben.
Toestemming intrekken zonder nadelige gevolgen
Bezoekers kunnen de toestemming altijd intrekken bij cookiewalls, namelijk via hun browser. Het intrekken heeft echter nadelige gevolgen omdat de website na intrekking niet meer bezocht kan worden. Daarom voldoen cookiewalls niet aan deze eis.
Bezoekers moeten de vrije toestemming kunnen geven
Tot slot geeft een cookiewall bezoekers geen vrije toestemming. Als bezoekers volledig gebruik willen maken van de website, dienst of app, dan moeten ze namelijk altijd toestemming geven. In de volgende paragraaf wordt hier dieper op ingegaan.