EDPB-richtlijnen: cookies, toestemming en naleving

Het Europees Comité voor gegevensbescherming (EDPB – European Data Protection Board) heeft richtlijnen aangenomen voor de naleving van de AVG, om te verduidelijken wat geldige toestemming op websites is en om het gebruik van “cookiewalls” illegaal te maken.

EDPB is de hoogste toezichthoudende autoriteit op het gebied van de AVG in de EU. Hun richtlijnen vormen de basis voor handhaving door de nationale gegevensbeschermingsautoriteiten in elke EU-lidstaat.

We leggen de belangrijkste dingen uit die je moet weten over de EDPB-richtlijnen, zodat je ervoor kunt zorgen dat jouw website een veilige omgeving is (en voldoet aan de richtlijnen) voor jouw bezoekers.

EDPB-richtlijnen in het kort

Op 4 mei 2020 heeft het Europees Comité voor gegevensbescherming (EDPB) richtlijnen aangenomen voor naleving van de AVG. Deze verduidelijken wat geldige toestemming voor verwerking van persoonsgegevens in de EU is, en bevestigen dat het gebruik van “cookiewalls” als een manier om toestemming te verkrijgen niet-conform is.

Deze EDPB-richtlijnen bevestigen een uniforme toepassing van de AVG, zoals verschillende nationale gegevensbeschermingsautoriteiten en de uitspraak van het HvJEU inzake Planet49 onafhankelijk hebben beslist. Omdat de richtlijnen van EDPB bepalen hoe DPA’s in elke EU-lidstaat de AVG moeten handhaven, is het erg belangrijk om hiervan kennis te nemen.

Lees hier de EDPB-richtlijnen 05/2020 over geldige toestemming.

EDPB-richtlijnen voor geldige toestemming

Wil een toestemming geldig zijn volgens de AVG, dan moet deze voldoen aan de volgende voorwaarden:

  • Vrij gegeven
  • Specifiek
  • Geïnformeerd
  • Ondubbelzinnig

EDPB verduidelijkt in zijn richtlijnen dat “een ondubbelzinnige toestemming van de gebruiker” moet worden gemaakt met een duidelijke en bevestigende actie van de gebruiker.

Gebruikersacties, zoals scrollen/swipen door een website (ook bekend als impliciete toestemming) voldoen niet aan de vereiste van geldige toestemming onder de AVG.

Conform de EDPB-richtlijnen betekent dit dat de cookiebanner van jouw website niet mag aangeven dat doorgaan met browsen of scrollen op jouw domein wordt beschouwd als een toestemming voor het gebruik van cookies die persoonlijke gegevens verwerken. Dit is ook geen geldige vorm van toestemming is onder de AVG.

In plaats daarvan moet de cookiebanner van jouw website interactief zijn. De website mag géén cookies activeren die persoonlijke gegevens verzamelen. Dit mag nadat de gebruiker heeft geselecteerd welke categorieën cookies mogen worden geplaatst (bekend als voorafgaande toestemming).

De EDPB-richtlijnen verduidelijken ook dat het gebruik van vooraf aangevinkte opt-in-boxen niet GDPR-conform. Dit voldoet namelijk ook niet aan de eis van “duidelijke en bevestigende actie”.

Hier vullen de EDPB-richtlijnen het juridische precedent aan dat het Hof van Justitie van de Europese Unie (HvJEU) in oktober 2019, in het geval van Planet 49, heeft geschapen.

Dit HvJEU-besluit oordeelde dat vooraf aangevinkte vakjes op cookiebanners niet zijn toegestaan. Dit is omdat ze ook niet voldoen aan de vereiste dat toestemming een vrij gegeven, bevestigende actie moet zijn.

EDPB-richtlijnen voor cookiewalls

EDPB-richtlijnen maken ook duidelijk dat een “cookiewall” een niet-conforme manier is om toestemming voor websites te verkrijgen.

Cookiewalls werken door toegang tot websites afhankelijk te maken van de toestemming van de gebruiker. Het dan om de verwerking van hun persoonlijke gegevens. De EDPB-richtlijnen stellen heel duidelijk dat dit geen geldige toestemming is.

Aangezien een cookiewall werkt door gebruikers te dwingen toestemming te geven, om cookies op te slaan of toegang te krijgen tot reeds opgeslagen cookies in ruil voor toegang tot diensten en functionaliteiten, voldoen cookiewalls als manier om toestemming te verkrijgen niet aan de GDPR-vereiste dat een geldige toestemming vrijelijk moet worden gegeven en op basis van een echte keuze.

Wat betekenen de EDPB-richtlijnen voor mijn website?

De EDPB-richtlijnen bevestigen wat de bedoeling van de AVG al die tijd is geweest. De gebruikers echte, afdwingbare rechten op hun eigen gegevens en privacy geven.

In hun richtlijnen voor toestemming maakt de EDPB heel duidelijk dat elke poging om te voorkomen dat gebruikers echte macht krijgen over hun eigen persoonsgegevens (zoals het afdwingen van toestemming of het vertrouwen op slecht geïnformeerde impliciete toestemmingen) niet wordt getolereerd.

Met andere woorden: jouw website mag geen cookies activeren die persoonlijke gegevens verwerken. Dit mag alleen als de gebruiker hier duidelijk en bevestigend toestemming voor heeft gegeven.

Voor jouw website betekent dit:

  • Geen vooraf aangevinkte selectievakjes op uw cookiebanners
  • Scrollen en doorgaan met browsen is geen geldige toestemming
  • Cookiewalls zijn niet conform voor het verkrijgen van toestemming

Als jouw website een toestemmingsbanner gebruikt die cookies activeert op basis van bijvoorbeeld continu scrollen, dan moet je dit veranderen. Denk hierbij aan scrollen, klikken of browsen. Elke andere activiteit dan directe, expliciete interactie met de toestemmingsbanner, zijn niet toegestaan.

De EDPB-richtlijnen vormen de basis voor alle GDPR-handhaving op nationaal niveau door de respectieve gegevensbeschermingsautoriteiten in elke EU-lidstaat. Dus als jouw website opereert vanuit een EU-land of als jouw website persoonsgegevens verwerkt van personen uit een EU-land, dan moet je voldoen aan de EDPB-richtlijnen over AVG-naleving.

EDPB-richtlijnen en AVG-conformiteitstest

Weet je niet zeker of jouw website voldoet aan de AVG-vereisten voor rechtmatig gebruik van cookies en trackers? Twijfel je of jouw domein voldoet aan de EDPB-richtlijnen voor geldige toestemming? Neem contact met ons op, vraag een gratis QuickScan aan of start met een 30 dagen gratis proefperiode.

Je komt er dan wellicht achter dat jouw website veel meer cookies plaatst dan je weet, aangezien:

  • 72% van de cookies wordt in het geheim geladen door trackers van derden, waardoor ze bijna niet te detecteren zijn zonder de juiste scantechnologie.
  • 18% van de cookies op websites zijn Trojaanse paarden, d.w.z. trackers die van even diep laden als binnen acht andere cookies.
  • 50% van alle Trojaanse paarden verandert tussen bezoeken, dus gebruikers lopen het risico dat hun persoonlijke gegevens door verschillende derde partijen op uw website worden verzameld wanneer ze uw domein opnieuw bezoeken.

Bron: Beyond the Front Page, een onderzoekspaper uit 2020 over websitecookies.

CookieInfo, Cookiebot en EDPB-richtlijnen

Als grootste partner van Cookiebot in de Benelux adviseren en helpen we je graag. Wij bieden jou de Cookiebot oplossing, waarbij je gratis gebruik kan maken van onze Nederlandstalige support-desk, knowledge base en custom banner ontwerpen.

Cookiebot is ’s werelds toonaangevende platform voor toestemmingsbeheer dat ervoor zorgt dat jouw website voldoet aan alle belangrijke wetten inzake gegevensbescherming. De oplossing van Cookiebot is plug-and-play zonder handmatige implementatie of on-site integratie met jouw domein.

Implementeer Cookiebot eenvoudig vanuit de cloud om de privacy van jouw gebruikers te beschermen tegen gegevensmisbruik door derden.

Cookiebot voert diepe scans uit van jouw hele website om alle actieve cookies en trackers te detecteren, zelfs de verborgen Trojaanse paarden, en blokkeert alles automatisch totdat jouw gebruikers hun voorafgaande toestemming hebben gegeven, volledig in overeenstemming met de AVG.

De toestemmingsbanner van Cookiebot voldoet volledig aan de EDPB-richtlijnen voor een geldige toestemming met:

  • automatische blokkering van alle cookies en trackers voor voorafgaande toestemming
  • gedetailleerde, bevestigende keuze van toestemming voor vier categorieën cookies
  • volledige cookieverklaring van aanbieder, doel, duur en type van elke cookie
  • eenvoudige manier voor gebruikers om toestemming te wijzigen of in te trekken
  • veilig gedocumenteerde toestemming van de gebruiker
  • automatische verlenging van toestemming van gebruikers

EDPB-richtlijnen in detail

De EDPB-richtlijnen over geldige toestemming is een gedetailleerd document van 33 pagina’s dat op 4 mei 2020 is aangenomen.

In de rest van dit artikel zullen we elk van de belangrijke secties van de EDPB-richtlijnen nader bekijken die geldige toestemming onder de AVG verduidelijken:

  • Vrijelijk gegeven toestemming
  • Voorwaardelijkheid van toestemming
  • Gedetailleerde toestemming
  • Specifieke toestemming
  • Geïnformeerde toestemming
  • Intrekking van toestemming
  • Aanvullende voorwaarden voor het verkrijgen van geldige toestemming
  • Rechten van betrokkenen

Lees hier de volledige EDPB-richtlijnen.

Wie is de EDPB?

Het Europees Comité voor gegevensbescherming (EDPB) is de leidende toezichthoudende autoriteit die verantwoordelijk is voor de consistente toepassing van de algemene verordening gegevensbescherming (AVG) in de EU.

EDPB is opgericht met de goedkeuring van de AVG in 2018 en bestaat uit vertegenwoordigers van de nationale gegevensbeschermingsautoriteiten in elke EU-lidstaat.

De taak van de EDPB bestaat uit het aannemen van algemene richtlijnen en het nemen van beslissingen die verduidelijken hoe de AVG moet worden geïnterpreteerd door websites, bedrijven en organisaties voor volledige naleving.

EDPB-richtlijnen en -besluiten vormen de hoeksteen van de handhaving van de AVG in EU-lidstaten, waar elke nationale gegevensbeschermingsautoriteit verantwoordelijk is voor de toepassing van de AVG.

Vrijelijk gegeven toestemming

Bij het verkrijgen van toestemming van gebruikers voor het activeren van cookies die persoonlijke gegevens verwerken, moet jouw website ervoor zorgen dat deze vrijelijk wordt gegeven. Dit is een basisvoorwaarde voor geldige toestemming in de AVG.

Als de gebruiker geen echte keuze heeft, zich gedwongen voelt om toestemming te geven of negatieve gevolgen zal ondervinden als hij niet instemt (zoals verlaagde diensten of toegang geweigerd), dan is de toestemming niet geldig.

Jouw website mag geen toestemming bundelen, d.w.z. als toestemming wordt gepresenteerd als een niet-onderhandelbaar onderdeel van de Algemene Voorwaarden, wordt aangenomen dat deze niet vrij is gegeven.

Dienovereenkomstig wordt toestemming niet als geldig beschouwd als de gebruiker niet in staat is om toestemming te weigeren of in te trekken zonder gevolgen (zoals verminderde kwaliteit van diensten of weigering van toegang).

Voorwaarden van toestemming

Zoals hierboven kort is vermeld, is het bundelen van toestemmingen niet conform, verduidelijken de EDPB-richtlijnen.

Om toestemming afhankelijk te maken van b.v. acceptatie van voorwaarden of het uitvoeren van een dienst waarvoor de door cookies en trackers verwerkte persoonsgegevens niet nodig zijn, wordt beschouwd als een ongeldige vorm van toestemming.

De AVG bevat zes rechtsgrondslagen voor de verwerking van persoonsgegevens, waarvan de eerste met toestemming van de gebruiker is en de tweede voor de uitvoering van een contract.

EDPB-richtlijnen maken het heel duidelijk dat deze twee rechtsgrondslagen niet kunnen worden samengevoegd of vervaagd. Dat wil zeggen dat als jouw website afhankelijk is van toestemming van de gebruiker voor het gebruik van cookies en trackers die persoonsgegevens verwerken, kan deze toestemming niet afhankelijk worden gesteld van de uitvoering van een dienst die dat wel doet de persoonsgegevens hoeven niet te worden uitgevoerd (zie GDPR artikel 7, 4 voor meer informatie hierover).

Dit is het deel van de EDPB-richtlijnen dat het gebruik van cookiewalls effectief uitsluit als een vorm van het verkrijgen van toestemming, aangezien een gedwongen toestemming niet vrijelijk wordt gegeven (lees: geldig).

Dwang tot instemming met het niet noodzakelijk verzamelen van persoonlijke gegevens staat een vrijelijk gegeven toestemming in de weg. De EDPB-richtlijnen verduidelijken dit.

Gedetailleerde toestemming

De meeste websites hebben veel verschillende cookies in gebruik, die allemaal verschillende gegevens verzamelen voor verschillende doeleinden door verschillende providers.

De EDPB-richtlijnen verduidelijken dat als jouw website persoonsgegevens voor meerdere doelen verwerkt, gebruikers vrij moeten kunnen kiezen welk doel ze accepteren. Zij kunnen niet verplicht worden in te stemmen met een bundel verwerkingsdoeleinden.

Dit betekent voor jouw website dat je alle cookies en hun verschillende doeleinden moet kennen. Gebruikers moeten de mogelijkheid hebben om de sommige cookies te selecteren en andere niet, ook wel gedetailleerde toestemming genoemd.

Specifieke toestemming

Geldige toestemming, zo verduidelijken de EDPB-richtlijnen, moet specifiek zijn. Oftewel een duidelijke bepaling van een specifiek, expliciet en legitiem doel voor de beoogde verwerkingsactiviteit.

Om te voldoen aan de GDPR-vereiste voor een specifieke toestemming, moet jouw website ervoor zorgen dat:

  • Specificatie van het doel als bescherming tegen het insluipen van ongewenste functies. Oftewel, dat persoonlijke gegevens voor meerdere doeleinden worden gebruikt zonder de specifieke toestemming van de gebruiker voor elk doel).
  • Gedetailleerdheid in verzoeken om toestemming
  • Duidelijke scheiding van informatie met betrekking tot het verkrijgen van toestemming voor gegevensverwerkingsactiviteiten van informatie over andere zaken

Geïnformeerde toestemming

EDPB-richtlijnen verduidelijken dat geldige toestemming moet voldoen aan een  geïnformeerde toestemming. Dat wil zeggen dat gebruikers moeten weten en begrijpen waar ze mee instemmen.

Jouw website moet voldoen aan deze minimale inhoudsvereisten om geïnformeerde toestemming te krijgen:

  • Informatie over jou (jouw bedrijf) en de identiteit van je website,
  • Doel van elk van de verwerkingen waarvoor toestemming wordt gevraagd op uw website,
  • Welk type gegevens worden verzameld en gebruikt op uw website,
  • De moegelijkheid bieden om een gegeven toestemming in te trekken,
  • Informatie over het gebruik van de gegevens voor geautomatiseerde besluitvorming,
  • De mogelijke risico’s van gegevensoverdracht als gevolg van het ontbreken van een adequaatheidsbesluit en van passende waarborgen, zoals beschreven in artikel 46.

De informatie moet in duidelijke en heldere taal zijn geschreven en moet gemakkelijk te begrijpen zijn voor de gemiddelde persoon. Niet alleen voor advocaten…

Intrekking van toestemming

Als jouw website afhankelijk is van toestemming voor de verwerking van persoonsgegevens, door middel van cookies en trackers, moet je bereid zijn de keuzes van gebruikers te respecteren om die toestemming in te trekken. Dit is een AVG-vereiste.

Gebruikers moeten hun toestemming net zo gemakkelijk kunnen intrekken als ze deze hebben gegeven. Het is een voorwaarde voor de geldigheid van een toestemming dat de gebruiker deze net zo gemakkelijk kan intrekken.

Gebruikers moeten hun toestemming vrijelijk en zonder gevolgen kunnen intrekken. Ontzeggen van toegang tot een website of een verminderde dienstverlening mag dus geen gevolg zijn.

Alle verwerking van persoonsgegevens die plaatsvond nadat de gebruiker ermee had ingestemd en voordat de toestemming werd ingetrokken, is wettig.

Aanvullende voorwaarden voor het verkrijgen van geldige toestemming

De bewijslast voor het aantonen van een gegeven toestemming ligt bij de website-eigenaar en/of -beheerder.

Dit betekent dat je moet kunnen aantonen dat de gebruiker toestemming heeft gegeven aan jouw website om cookies te plaatsen. Denk hierbij aan cookies en trackers die persoonlijke gegevens verzamelen. Documentatie van toestemming moet veilig worden opgeslagen.

EDPB beveelt als beste praktijk aan dat toestemmingen met passende tussenpozen worden vernieuwd.

Rechten van de betrokkene

Onthoud dat jouw gebruikers over AVG-beveiligde rechten beschikken die je altijd moet respecteren om aan de regels te voldoen. Zij hebben het recht op:

  • de mogelijkheid om de verzamelde en opgeslagen persoonlijke gegevens te wissen wanneer de toestemming is ingetrokken
  • beperking
  • rectificatie
  • toegang
  • gegevensoverdraagbaarheid

De oplossing van Cookiebot en GDPR-naleving

Met de oplossing van Cookiebot zorg je ervoor dat jouw website voldoet aan alle AVG-nalevingsvereisten waaraan deze moet voldoen wanneer cookies worden gebruikt die persoonlijke gegevens van gebruikers binnen de EU verwerken.

Belangrijke punten in de oplossing van Cookiebot:

  • Scant en vindt alle cookies en trackers, zelfs de verborgen Trojaanse paarden
  • Blokkeert automatisch alles totdat de gebruiker specifieke, gedetailleerde toestemming heeft gegeven
  • Documenteert en slaat elke verkregen toestemming veilig op
  • Verlengt jaarlijks toestemming

FAQ’s

Wat is de EDPB?

Het Europees Comité voor gegevensbescherming (EDPB – European Data Protection Board) is de hoogste toezichthoudende instantie die verantwoordelijk is voor de toepassing en handhaving van de Algemene Verordening Gegevensbescherming (AVG) in de EU. De EDPB bestaat uit vertegenwoordigers van de gegevensbeschermingsautoriteiten in elke EU-lidstaat, en hun belangrijkste functie is het vaststellen van algemene richtlijnen en het nemen van beslissingen over de interpretatie en handhaving van de AVG.

Wat zeggen de EDPB-richtlijnen?

De EDPB-richtlijnen voor geldige toestemming, sinds mei 2020,  verduidelijken wat geldige toestemming is, wanneer ze afhangen van de toestemming van de gebruiker voor de verwerking van persoonsgegevens. Bijvoorbeeld door het gebruik van cookies en trackers op websites. De EDPB-richtlijnen sluiten het gebruik van cookiewalls uit (gedwongen toestemming) en specificeren wat websites moeten doen om een geldige toestemming te krijgen voor de verwerking van persoonsgegevens.

Wat is geldige toestemming volgens de EDPB?

De EDPB-richtlijnen verduidelijken dat geldige toestemming een vrij gegeven, geïnformeerde, specifieke en ondubbelzinnige keuze is van een gebruiker. Dit betekent dat je jouw website gebruikers een echte keuze moet geven tussen alle verschillende cookies en trackers, voorafgaand aan de activering en verwerking van persoonsgegevens. Scrollen en doorgaan met browsen op websites is geen geldige toestemming en cookie-banners mogen geen vooraf aangevinkte selectievakjes hebben.

Hoe kan ik mijn website(s) laten voldoen aan de AVG?

Ten eerste moet je op de hoogte zijn van alle cookies en trackers die op jouw website actief zijn, zodat je gebruikers kunt informeren over hun type, doel, duur en provider.
Ten tweede moet je alle cookies (behalve de noodzakelijke cookies) blokkeren totdat de gebruikers hun duidelijke en bevestigende toestemming hebben gegeven, waarmee ze geactiveerd kunnen worden.
Ten derde moet u alle toestemmingen veilig documenteren en jaarlijks vernieuwen.
Ten vierde moet u het voor de gebruiker net zo gemakkelijk zijn om een toestemming in te trekken als deze voor hem gegeven was.

Probeer nu 14 dagen gratis Cookiebot

Cookie scanner, cookie banner, cookieverklaring en cookie toestemming in één.

  • Cookies op je website gebruiken volgens AVG, ePrivacy en cookie wetgeving
  • Cookiebeheer volledig geautomatiseerd
  • Cookie banner op basis van jouw huisstijl
  • Automatisch opgestelde cookieverklaring, altijd up to date

De Cookiebot oplossing draait op 1.4 miljoen Websites, beheert 5.2 miljard maandelijkse User Consents en Ondersteunt 47+ talen.