over websites en cookies van de Belgische gegevensbeschermingsautoriteit in haar nieuwe vorm: wat moet u weten…
Op 17 december publiceerde de Belgische gegevensbeschermingsautoriteit (de vroegere privacycommissie en ook wel GBA genoemd) het eerste vonnis (‘beslissing ten gronde’) met betrekking tot websites en cookies. Dat vonnis richt zich tot de website www.jubel.be en de non-conformiteiten van de website tegenover oude en nieuwe privacy wet- en regelgeving. Het gaat in op onder meer transparantie, de bereikbaarheid van de organisatie, cookies en de toestemming die in vele gevallen voor cookies nodig is. Deze blog bespreekt de belangrijkste vaststellingen uit het vonnis. We gaan in op de privacyverklaring in het algemeen en cookie management specifiek.
De GBA wil met dit vonnis een precedent scheppen en een duidelijke waarschuwing naar andere organisaties (die een website beheren) uitsturen. Bent u onzeker over hoe compliant uw website is, aarzel niet en contacteer Infosentry voor verdere ondersteuning! We werken samen de gepaste oplossingen uit.
Algemene opmerkingen
In eerste instantie komt de GBA met een aantal algemene opmerkingen wanneer het gaat over de privacy- en cookieverklaring die op een website wordt gepubliceerd. Er wordt gesteld dat deze:
- gemakkelijk vindbaar moet zijn;
- in alle talen van de bezoekers waartoe de website zich richt, beschikbaar moet zijn;
- in de taal van de bezoeker (indien gekend) moet worden getoond. Dat geldt ook voor de cookie consent manager;
- de verwerkingsverantwoordelijke en haar contactgegevens expliciet moet vermelden;
- de doeleinden en de daaraan gelinkte rechtsgronden moet weergeven en specifiëren;
- beter niet verwijst naar oudere privacywetgeving of wetgeving uit andere jurisdicties;
- de rechten van de betrokkene moet vermelden en waar mogelijk / nodig verder toelichten. Het recht om toestemming in het kader van cookies in te trekken mag daarbij niet vergeten worden (‘cookie consent’);
- de bewaartermijnen en hun achterliggende logica moet vermelden en specifiëren.
Cookies en cookie (consent) management
In tweede instantie, maar minstens even belangrijk, richt de GBA zich op de cookies die door de website worden geplaatst, de grond op basis waarvan deze cookies worden geplaatst en de correcte toepassing van die grond. Zo is ook het vragen van geldige toestemming in het vizier gekomen.
De GBA schept met dit vonnis meer duidelijkheid over haar standpunt inzake cookies en cookie (consent) management. De GBA bevestigt daarbij een aantal conclusies uit het eerdere Planet49-arrest en richtlijnen die andere toezichthouders in het kader van cookie management hebben gegeven. Hierna een kort overzicht van de belangrijkste vaststellingen uit het verslag:
- Cookies mogen pas geplaatst worden wanneer daarvoor een cookieverklaring is weergegeven en (op een correcte manier) toestemming werd gevraagd. Dat met uitzondering van cookies die zouden nodig zijn voor het weergeven van de website.
- Cookie banners, pop-ups en consent managers moeten een voldoende centrale plaats op de website krijgen. Een banner onderaan de pagina lijkt zo niet te volstaan…
- Cookie consent managers moeten gelaagd zijn en dus voldoende mogelijkheden bieden. Zo moet het mogelijk zijn om cookies te weigeren, goed- of af te keuren per categorie of allemaal toe te staan. Een toestemming per cookie lijkt voor de GBA op vandaag niet vereist.
- Websites mogen geen opt-out politiek toepassen, vooraf aangevinkte checkboxen vormen geen geldige toestemming op basis waarvan verdere verwerking kan gebeuren.
- …
De sanctie
Tot slot is het belangrijk even te kijken naar de boete die is opgelegd. De boete bedraagt 15 000 euro en werd bepaald op basis van de jaaromzet van de organisatie. Dat bleek zo’n 0,88% te zijn. De boete komt na herhaaldelijk overleg met de organisatie. Zo zijn er 3 controles (inclusief kennisgeving) en een hoorzitting aan vooraf gegaan. De GBA verwijt de organisatie als het ware onzorgvuldig te zijn geweest in het naleven van de wettelijke verplichtingen.
Wil uw organisatie zeker zijn over de correcte toepassing van GDPR/AVG, het correct gebruik van cookies of het toepassen van toestemming in deze? Neem dan zeker contact op met Infosentry via ons contactformulier. Wij kijken dan jullie website na en komen met die oplossingen die u nodig heeft.