GDPR-conform ontwerp van inhoudsbanners

Cookiebanners vliegen als irritante vliegen om ons heen. Sommige zijn compleet overbodig, andere doen alleen alsof ze GDPR-compliant zijn en de overgrote meerderheid voldoet niet aan de GDPR-richtlijnen. Daarom probeer ik hieronder de belangrijkste punten te belichten.

1. de GDPR is niet de schuld van alles!

De feitelijke reden waarom voor bepaalde diensten op websites vooraf toestemming moet worden gevraagd aan de websitebezoeker is niet de GDPR, maar artikel 5 (3) van de ePrivacy-richtlijn:

De lidstaten dragen er zorg voor dat de opslag van informatie of de toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan indien de betrokken abonnee of gebruiker daarmee heeft ingestemd op basis van duidelijke en volledige informatie die hem is verstrekt, onder meer over de doeleinden van de verwerking. .....

Aangezien de ePrivacy-richtlijn voorrang heeft op de GDPR, kan de rechtsgrondslag voor het gebruik van dergelijke diensten niet art. 6, lid 1, letter f „legitiem belang“ van de GDPR zijn, maar is alleen art. 6, lid 1, letter a GDPR „toestemming“ van toepassing.
De vorm waarin toestemming moet worden verkregen, is weer te vinden in de GDPR.

2. Waar heb je eigenlijk toestemming voor nodig en waarvoor niet?

a. Toestemming is bijvoorbeeld niet vereist voor

• Client-side eindapparaatinformatie (bijv. IP-adressen, schermresolutie, besturingssysteem) voor het weergeven van websites/apps en voor de beveiliging van de website/app
• Technisch noodzakelijke cookies voor taal- en lettertype-instellingen, voor gebruikersauthenticatie bij het inloggen, voor gebruikersinstellingen, voor een winkelmandfunctie of het aanbieden van online formulieren (sessiecookies)
• Integratie van diensten om de presentatie te verbeteren, laadtijden te verkorten of de website te optimaliseren (bijv. levering van inhoud via CDN, webfonts, enz.)

In principe dus Geen toestemmingen noodzakelijk zijn voor cookies/diensten die de werking van de website garanderen of die nodig zijn voor de levering van een uitdrukkelijk door de gebruiker gevraagde dienst. Als u alleen dergelijke functies op uw website gebruikt, hebt u helemaal geen cookie- of toestemmingsbanner nodig, maar hoeft u alleen uw privacybeleid dienovereenkomstig aan te vullen.

De beruchte banners „We gebruiken cookies blah, blah, blah... OK“ zijn onnodig en dienen alleen om gebruikers te verwarren en dommer te maken.

Toestemming is normaal gesproken niet vereist voor tools die worden gebruikt om puur statische webanalyses uit te voeren (bijvoorbeeld om de website te optimaliseren). Matomo valt bijvoorbeeld in deze categorie, vooral omdat de dienst ook op onze eigen servers kan worden gehost. Het gebruik van dergelijke diensten kan worden gebaseerd op de rechtsgrondslag van legitiem belang (art. 6, lid 1, lit. f, GDPR). In sommige gevallen is het zinvol om een belangenafweging uit te voeren en te documenteren. Dit is echter puur een kwestie van gegevensbescherming en heeft niets te maken met bannerontwerp.

Google Analytics is hierop een uitzondering, omdat het een „echt“ trackinginstrument is vanuit het oogpunt van de toezichthoudende autoriteiten - zelfs als de websitebeheerder eigenlijk alleen geïnteresseerd is in de websitestatistieken. Google Analytics vereist daarom toestemming.

b. Toestemming is vereist voor:

• Statistische analyse en bereikmeting
• Op gedrag/locatie gebaseerde reclame
• Plugins voor sociale media

Een mogelijk alternatief voor social media plugins kan de Heise 2-klik oplossing zijn (Shariff-knop). Of je kunt gewoon afbeeldingen of pictogrammen met een link gebruiken in plaats van de plugins. In dit geval is er geen toestemming nodig en hoeft alleen de relevante informatie in het privacybeleid te worden opgenomen. Optioneel kun je ook een mouseover pop-up gebruiken met een melding (e.g. „U wordt doorgestuurd naar de Facebook-pagina“ of iets dergelijks). Dan loop je al voorop.

Het belangrijkste bij elementen waarvoor toestemming is vereist, is dat toestemming altijd moet worden verkregen voordat er gegevens worden verzameld en/of overgedragen!

3. kaartdiensten, video- en streamingplatforms

Hierover bestaat momenteel geen consensus. Sommige deskundigen op het gebied van gegevensbescherming gaan ervan uit dat ook voor deze diensten voorafgaande toestemming vereist zal zijn zodra de ePrivacy-verordening is aangenomen (die eigenlijk tegelijk met de GDPR in werking zou moeten treden - maar dat zal nog wel even duren). De huidige uitspraken van het Europees Hof van Justitie (najaar 2019) en het Federale Hof van Justitie (mei 2020) wijzen ook in deze richting.

Het Beierse Staatsbureau voor toezicht op gegevensbescherming (LDA Bayern) stelt momenteel op zijn website dat het insluiten van video's zonder voorafgaande toestemming is toegestaan als de video pas start nadat de gebruiker er actief op heeft geklikt en er tot dat moment geen gegevensoverdracht heeft plaatsgevonden (2-klik-oplossing of Embetty). Daarnaast moeten YouTube-video's worden geïntegreerd in de uitgebreide gegevensbeschermingsmodus (no-cookie).

De LDA Bayern heeft een soortgelijke mening over de situatie met Google Maps. De inhoud van Google Maps mag alleen worden geladen als de gebruiker actief gebruik maakt van de kaartendienst, bijvoorbeeld met een extra klik (2-klik-oplossing).

Ik heb hierover navraag gedaan bij de Beierse overheidsinstantie voor gegevensbescherming. De bovenstaande beschrijving komt momenteel nog steeds overeen met de beoordeling van de autoriteit. Er werd echter op gewezen dat de redenen voor de beoordeling nog in detail moeten worden geanalyseerd. Dit kan leiden tot een wijziging van de beoordeling.

Dus als je voorbereid wilt zijn op de toekomst, moet je nu al overwegen om met toestemming te werken voor deze diensten. Omdat er altijd meer mogelijk is op het gebied van gegevensbescherming!

4. principes voor toestemming

Toestemming moet van tevoren gegeven worden, geïnformeerd en vrijwillig. Dat betekent in gewone taal:

a. VOORAF:
Bij het voor de eerste keer openen van een website moeten eerst alle scripts worden gedeactiveerd die mogelijk gebruikersgegevens verzamelen en doorgeven aan derden.
b. Geïnformeerd:
De gebruiker moet compacte informatie krijgen over de geïmplementeerde services in eenvoudige, duidelijke taal. Een duidelijk ontwerp is hier echt zinvol. De gebruiker moet immers worden geïnformeerd en niet worden afgeschrikt.
c. TOESTEMMING:
Toestemming mag niet vooraf zijn toegewezen voor een selectievakje. De gebruiker moet er actief mee instemmen en hoeft de selectie niet ongedaan te maken.

Opmerking:
Algemene informatie zoals „Deze site gebruikt cookies voor webanalyse en advertenties“ of „... om uw surfervaring te verbeteren“ alleen is niet voldoende omdat de bijbehorende verwerking niet transparant wordt gemaakt.

Daarnaast betekent vrijwilligheid dat de bezoeker een echte keuze heeft - dat wil zeggen dat hij de website kan gebruiken, zelfs als hij geen toestemming geeft voor het gebruik van optionele diensten.

5 Documentatie en bewijsplicht

Toestemming moet gedocumenteerd en verifieerbaar zijn. Naar de mening van veel deskundigen op het gebied van gegevensbescherming is bewijs door middel van „abstracte“ informatie voldoende (bijv. toestemmingstekst met datum, script of code van de banner met datumstempel, tijd- en versiestempel, cookie-ID van de gebruiker, enz.) Het verzamelen van aanvullende gebruikersgegevens voor het leveren van bewijs is niet noodzakelijk en in strijd met het principe van gegevensminimalisatie.

6. annulerings-/uitschakelfunctie

Gebruikers hebben het recht om hun toestemming op elk moment in te trekken. Dit betekent dat er altijd een opt-out oplossing moet zijn voor de gebruikte diensten. Deze opt-out-functie moet voor bezoekers van de site op elk moment gemakkelijk toegankelijk zijn en moet natuurlijk ook echt werken.

7. Hoe kan de toestemmingsbanner eruitzien?

De volgende inhoud is verplicht in de banner:

• Verantwoordelijke persoon (indien niet duidelijk genoeg op de pagina)
• Naam van het gereedschap
• Doel van de verwerking
• Ontvanger van de gegevens
• Verwijzing naar het vrijwillige karakter met herroepingsoptie (opt-out oplossing)
• Link naar het privacybeleid
• Wees voorzichtig bij het plaatsen van de banner: de toegang tot de juridische kennisgeving en het privacybeleid mag niet worden afgedekt!

Alleen de noodzakelijke inhoud wordt gespecificeerd; je bent vrij om de banner naar eigen inzicht vorm te geven. Om het scherm niet te vol te maken, kan de informatie in verschillende submenu's beschikbaar worden gemaakt. Zo zou de 1e laag van een banner met de minimale vereisten kunnen worden ontworpen:

Dit voorbeeld is slechts een van de vele mogelijke ontwerpvarianten van de eerste informatielaag en dient alleen ter oriëntatie.

Er is een heel scala aan Consent Management Provider (CMP) tools. Op internet kun je meer te weten komen over de services en verschillen. Enkele voorbeelden van de bekendere tools zijn Cookiebot, Borlabs Cookie, Usercentrics of Consentmanager.

De basisvereisten voor een inhoudstool moeten het volgende omvatten

• Het toestemmingshulpmiddel onmiddellijk weergeven bij het bezoeken van de pagina (geldt ook voor APP's)
• De banner weergeven zonder de verplichte wettelijke informatie op de website te bedekken, zoals de wettelijke kennisgeving, algemene voorwaarden of het privacybeleid
• Cookies of reclame-ID's van mobiele eindapparaten mogen alleen worden ingesteld/verwerkt als de gebruiker actief toestemming geeft (d.w.z. geen toestemming door passief gedrag zoals navigeren op de website, automatisch sluiten na een bepaalde tijd of wegklikken van de toestemmingshulpmiddelen).
• Het moet ook mogelijk zijn om de website/app te bezoeken als gebruikers cookies of reclame-ID's etc. weigeren.
• Opt-out functie
• Logging en rapportage ter ondersteuning van de bewijsplicht van het systeem

Meer informatie is bijvoorbeeld te vinden in de gids voor telemedia-aanbieders van de conferentie voor gegevensbescherming en een FAQ-lijst over cookies en tracking van de gegevensbeschermingsautoriteit van Baden-Württemberg.

Elke websitebeheerder moet uiteindelijk - ook met advies van zijn webbureau - beslissen welke oplossing voor hem geschikt is. Het is de moeite waard om de tools van alle relevante aanbieders te controleren en te vergelijken als je jezelf de moeite wilt besparen om zelf een oplossing te programmeren.
Vanuit het oogpunt van gegevensbescherming moet bij de selectiecriteria ook worden meegenomen of de aanbieder GDPR-naleving garandeert en welke serverlocaties worden gebruikt.

8 En de marketing?

Het valt niet te ontkennen dat veel websitebezoekers niet gevolgd willen worden en daarom op „alles weigeren“ zullen klikken. Ook al is dit vanuit het oogpunt van marketing en analyse misschien betreurenswaardig, de sitebezoekers oefenen slechts hun wettelijk verankerde recht op informatieve zelfbeschikking uit.

Onlangs woonde ik een informatie-evenement bij waar een medewerker van de Zweedse consent manager provider Jaohawi AB een presentatie gaf. De presentatie bevatte een aantal zeer interessante cijfers over dit onderwerp:

Bij het analyseren van de acceptatiegraad stelden onze collega's bijvoorbeeld vast dat gemiddeld 40-50% van de websitebezoekers de knop „Alle services accepteren“ selecteert. Omgekeerd betekent dit natuurlijk dat 50-60% weigeren hun toestemming te geven.

Volgens de spreker kan de approval rating worden verhoogd tot ongeveer 65% door de banner te optimaliseren. Met loyale vaste klanten stijgt de approval rating naar ongeveer 70%.

Volgens zijn uitleg kan gemiddeld worden aangenomen dat ongeveer de helft van de marketinggegevens ontbreekt in de analyses zodra een toestemmingsbanner is geïmplementeerd. Deze waarden kunnen statistisch worden gecompenseerd door ze op te nemen in de prognose.

Het is mogelijk om rekening te houden met gegevensbescherming en tegelijkertijd, vanuit marketingperspectief, te proberen meer sitebezoekers te overtuigen om diensten toe te staan waarvoor toestemming is vereist, door de banner te optimaliseren (bijv. door positionering, kleur, formulering, enz.).