De Autoriteit Persoonsgegevens heeft op 7 maart 2019 bekend gemaakt dat cookiewalls niet langer zijn toegestaan. De toezichthouder stelt dat cookiewalls in strijd zijn met de Algemene verordening gegevensbescherming (''AVG'').
Een cookiewall is een beeldvullende pop-up die de toegang tot een website onmogelijk maakt. De bezoeker van de website is verplicht om de cookies via de pop-up te accepteren. Daarna kan de website pas (volledig) getoond worden. Een cookie is een klein tekstbestandje dat een website op de harde schijf van de computer van de websitebezoeker zet. Vaak betreffen dit ook zogenaamde 'tracking cookies' waarmee adverteerders bezoekers kunnen volgen. De adverteerders kunnen ook zien welke andere websites door de bezoeker worden geraadpleegd.
Cookiewall strijd met de AVG
Volgens de Autoriteit Persoonsgegevens is een cookiewall in strijd met de AVG, omdat hiermee géén geldige toestemming wordt verkregen van de websitebezoeker voor het plaatsen van (tracking) cookies. Volgens de toezichthouder dient te allen tijde toestemming te worden gevraagd om tracking cookies te plaatsen. Dit geldt niet alleen ten aanzien van websites, maar ook voor bijvoorbeeld applicaties. De Autoriteit Persoonsgegevens heeft daarnaast verduidelijkt dat het verbod op cookiewalls niet alleen geldt voor het plaatsen van cookies; ook vergelijkbare technieken zoals Javascript Flash cookies, HTML5 local storage en/of web beacons vallen onder het verbod.
Geen geldige toestemming
Het probleem ten aanzien van de cookiewall is dus het ontbreken van geldige toestemming van de websitebezoeker. Wat houdt dit precies in? Websitebezoekers moeten te allen tijde vrij zijn om toestemming te geven voor het gebruik van hun persoonsgegevens. Wanneer iemand niet echt een vrije keuze heeft, zoals in dit geval een cookiewall die zonder toestemming niet verdwijnt, is er geen sprake van geldige toestemming. De websitebezoeker kan namelijk de toestemming niet weigeren zonder nadelige gevolgen. In het geval van weigering kan de website namelijk niet (volledig) worden bezocht.
Hoe moet het dan wel?
Bezoekers van een website moeten de mogelijkheid krijgen om trackingcookies te weigeren. Dit kan bijvoorbeeld door het toepassen van een informatiebalk of een pop-up, met daarin een duidelijke optie voor het wel of niet accepteren van cookies. De cookies mogen niet geplaatst worden voordat de bezoeker een keuze heeft gemaakt. Wanneer de bezoeker de trackingcookies weigert, dan dient de bezoeker toch toegang te krijgen tot de website of applicatie.
Impact op verdienmodel (media)diensten
Trackingcookies zijn voor veel websites onderdeel van een verdienmodel. Er bestaat een kans dat door het verbod op cookiewalls, websites of applicaties met gratis (media)diensten zullen afnemen of verdwijnen. De vraag is of dat wenselijk is. Veel online (media)diensten zijn voor hun financiering grotendeels afhankelijk van de verkoop van advertenties. Door het algemene verbod op cookiewalls kunnen de advertentie inkomsten van deze bedrijven dalen, waardoor het aanbieden van gratis diensten niet meer (voldoende) rendabel is.
Naar mijn mening moeten websites de bezoeker duidelijk informeren over de werking van trackingcookies. Wat is de consequentie van de acceptatie en wat krijg ik ervoor terug? Wanneer een websitebezoeker gebruik wil maken van gratis diensten, dan kunnen 'in ruil daarvoor' tracking cookies op de betreffende computer worden geplaatst. Mocht de websitebezoeker géén trackingcookies accepteren, dan kan betaalde toegang als alternatief worden geboden. De vraag is of dit in de praktijk werkt en of dit past binnen het verdienmodel van online (media)diensten. Ik ben dan ook benieuwd naar de reacties van online (media)diensten die op dit moment een cookiewall toepassen en daarbij afhankelijk zijn van advertentie inkomsten.
Gepubliceerd op 7 maart 2019.
