Timelex
Leading law firm
Menu

€ 15.000 cookieboete voor Jubel.be – Welke lessen voor uw cookiebanner en -beleid?

Author info
Bernd Fiten
Bernd Fiten
21/01/2020
Cookies

De Belgische Gegevensbeschermingsautoriteit (GBA) legde in 2019 de eerste GDPR-boetes op. De allereerste GDPR-boete van 2.000 EUR voor misbruik van persoonsgegevens was voor de burgemeester van Oosterzele voor onrechtmatig gebruik van persoonsgegevens in het kader van verkiezingen. Later werd er een boete van 5.000 EUR opgelegd aan een andere burgemeester voor een gelijkaardige inbreuk. Tot 17 september 2019 bedroeg de hoogste boete 10.000 EUR voor een handelaar die de elektronische identiteitskaart vereiste voor het aanmaken van een eenvoudige klantenkaart. 

Op 17 december 2019 werd echter een boete van 15.000 EUR opgelegd aan de websitebeheerder van jubel.be (hierna Jubel) voor het overtreden van de gegevensbeschermings- en cookieregels. Jubel is een website voor juridisch nieuws. Hieronder vindt u een korte analyse van die beslissing.

Inbreuken vastgesteld door de Inspectiedienst

De zaak werd in februari 2019 door het Directiecomité van de GBA aanhangig gemaakt bij de Inspectiedienst van de GBA. Dat kan als er ernstige aanwijzingen zijn van een mogelijke inbreuk op de grondbeginselen inzake gegevensbescherming. 

Op 3 juni 2019 maakte de Inspectiedienst het verslag over aan de Geschillenkamer. De Inspectiedienst stelde verschillende inbreuken op de AVG en de Wet van 13 juni 2005 betreffende elektronische communicatie (WEC) vast. Het ging om inbreuken op:

  1. de transparantieverplichting,
  2. de informatieverplichting, en
  3. de cookieregels. 

1. Transparante informatie, communicatie en uitoefening van rechten

Inbreuk op artikel 12 AVG

Het privacybeleid van Jubel stelde dat het IP-adres geen persoonsgegeven is. Dat was uiteraard niet correct

Daarnaast waren het privacybeleid en cookiebeleid volgens de GBA niet eenvoudig toegankelijk en enkel beschikbaar in het Engels, terwijl de website zich richt tot een Nederlandstalig en Franstalig publiek.

2. Informatieverstrekking

Inbreuk op artikel 13 AVG

In het privacybeleid ontbraken de volgende verplichte vermeldingen: 

  • de identiteit en contactgegevens van de verwerkingsverantwoordelijke 
  • de verwerkingsdoeleinden 
  • de rechtsgronden
  • de rechten van de betrokkenen
  • de bewaartermijnen 
  • het recht om een klacht in te dienen bij de GBA.

Jubel wijzigde het privacybeleid en cookiebeleid gedurende de procedure drie keer, maar de tweede versie bleef te algemeen en bevatte volgens de Inspectiedienst nog enkele inbreuken:

  • Het privacybeleid verwees naar begrippen zoals “onze dienstverlening”, “wettelijke verplichting” en “toepasselijke administratieve verplichtingen”, zonder die verder te preciseren.
  • Het privacybeleid vermeldde de Nederlandse Autoriteit Persoonsgegevens als bevoegde autoriteit in plaats van de Belgische Gegevensbeschermingsautoriteit.

3. Cookieregels

Inbreuk op de artikelen 4, 6,7 en 11 AVG en artikel 129 Wet Elektronische Communicatie

Jubel deed een beroep op een foute rechtsgrond en de toestemming die werd bekomen voor eigen cookies of voor cookies van Google, bleek niet geldig te zijn. 

Net zoals haar privacybeleid wijzigde Jubel ook haar cookiebeleid drie keer tijdens de procedure. Er werd gebruik gemaakt van vooraf aangevinkte vakjes en de eerste twee versies van het cookiebeleid vermeldden niets over het intrekken van toestemming. Het cookiebeleid van Jubel was en bleef ook onvolledig omdat Jubel gebruik maakte van een applicatie (Cookiebot) om cookies op jubel.be te detecteren, maar deze applicatie detecteerde niet alle cookies. Ook de derde versie bevatte volgens de Inspectiedienst nog steeds enkele inbreuken:

  • De cookiebanner had geen knop om cookies te weigeren.
  • Het cookiebeleid werd in de verkeerde taal getoond.
  • Jubel deed een beroep op het gerechtvaardigd belang voor het plaatsen van niet-noodzakelijke statistische cookies.

Beoordeling door de Geschillenkamer

Verschillende inbreuken 

Hoewel Jubel gedurende de procedure verschillende verbeteringen had aangebracht, verwees de Geschillenkamer in haar beslissing naar de volgende inbreuken:

  • De tekst van het privacybeleid stemde niet overeen met de realiteit.
  • De oorspronkelijke website bevatte geen link naar het privacybeleid.
  • De taal van het privacybeleid stemde niet overeen met die van de doelgroep.
  • Er werd verwezen naar Amerikaanse wetgeving als toepasselijke wetgeving.
  • Het bleef onduidelijk welke cookies werden gebruikt.
  • Het was onduidelijk hoe de betrokkenen hun rechten konden uitoefenen.
  • Anonimisatie en pseudonimisatie werden met elkaar verward.

Deze inbreuken waren voor de Geschillenkamer voldoende om te oordelen dat Jubel de transparantieverplichting, informatieverplichting en verantwoordingsplicht heeft geschonden. 

Toestemming nodig voor niet-noodzakelijke cookies

Voor het plaatsen van niet noodzakelijke cookies is de vrije, specifieke en geïnformeerde toestemming nodig. Deze noodzakelijkheid moet worden geïnterpreteerd conform artikel 129, 2° van de Wet Elektronische Communicatie. 

Met andere woorden, cookies die essentieel of wenselijk zijn voor het belang van de websitebeheerder, maar niet strikt noodzakelijk voor de werking van de website, zijn geen noodzakelijke cookies en vereisen dus toestemming. 

In principe zijn statistische en analytische cookies niet noodzakelijk, maar de GBA stelt dat in uitzonderlijke gevallen statistische cookies wel noodzakelijk zouden kunnen zijn, bijvoorbeeld om navigatieproblemen te detecteren in het belang van de betrokkenen. Dergelijke vraag lag echter niet voor in deze zaak.

De toestemming was niet vrij, specifiek en geïnformeerd

Dat Jubel de toestemming niet geldig bekwam, bleek al uit de vaststellingen van de Inspectiedienst. De Geschillenkamer bevestigde dit en oordeelde onder meer dat:

  • de cookiebanner van Jubel geen onderscheid maakte tussen verschillende soorten cookies 
  • deze vooraf aangevinkte vakjes bevatte
  • het cookiebeleid in de verkeerde taal werd getoond
  • het cookiebeleid onvoldoende onderscheid maakte tussen eerste partij en derde partij cookies.

De Geschillenkamer verwees daarbij naar het Planet49-arrest van het Hof van Justitie van 1 oktober 2019 (C-673/17), waarin het Hof oordeelde dat toestemming niet geldig kan worden bekomen door middel van vooraf aangevinkte vakjes. 

Volgens de Richtsnoeren van de Artikel 29 Werkgroep inzake toestemming moet de toestemming ook granulair zijn. De European Data Protection Board (EDPB), opvolger van de Artikel 29 Werkgroep, heeft deze richtsnoeren bekrachtigd. Met andere woorden, de betrokkene moet kunnen kiezen om in te stemmen met een geheel van een bepaald soort cookies en niet met andere cookies. Het geheel van een bepaald soort cookies wordt bepaald aan de hand van het doel van de gegroepeerde cookies. Bijvoorbeeld, de betrokkene moet kunnen instemmen met statistische cookies, maar niet met marketing cookies. De GBA sloot echter niet uit dat een toestemming per aparte cookie in de toekomst relevant zou kunnen zijn. Cookiewalls met een “alles of niets”-benadering zijn dus ook in België verboden (zoals in Nederland). 

De Inspectiedienst merkte ook op dat er al vier cookies werden geplaatst bij het eerste laden van de website, maar de Geschillenkamer hield geen rekening met deze vaststelling omdat niet werd aangetoond dat deze cookies voorafgaande toestemming vereisten. 

De Geschillenkamer ging ook niet in op de vaststelling van de Inspectiedienst dat de cookiebanner geen knop bevatte om de cookies te weigeren. Volgens Jubel zou zo’n knop niet strikt vereist zijn. De Geschillenkamer lijkt dat in het midden te laten en oordeelt dat Jubel niet aantoont hoe cookies kunnen worden geweigerd. De Spaanse toezichthoudende autoriteit (AEPD) is wel voorstander van zo’n eenvoudige weigeringsknop.

De bevoegdheid van de GBA naast het BIPT

Hoewel het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT) in principe bevoegd is voor het toezicht op artikel 129 WEC, benadrukt de GBA dat zij ook bevoegd is om de AVG toe te passen op dergelijke gegevensverwerkingen. De GBA verwijst hiervoor naar het advies van de EDPB en het vonnis van 16 februari 2018 van de Nederlandstalige rechtbank van eerste aanleg van Brussel in de Facebook-zaak (ondertussen verwezen naar het Europees Hof van Justitie). 

Afgewezen argumenten van Jubel

Jubel trachtte enkele van de bovenstaande inbreuken te rechtvaardigen maar de GBA heeft al haar argumenten afgewezen.

  • Inspectiedienst is beperkt tot zijn eerste vaststellingen. Jubel argumenteerde dat de Inspectiedienst niet verder mocht gaan dan zijn eerste vaststellingen, maar de GBA stelde dat dit mogelijk is op basis van het initiatiefrecht van de Inspectiedienst. Ook de bevoegdheid van de Geschillenkamer is volgens de GBA niet beperkt tot inbreuken vermeld in het verslag van de Inspectiedienst.
  • Andere websites doen hetzelfde. Jubels argument dat andere websitebeheerders hetzelfde doen, gaat volgens de GBA niet op. De fout van een ander is immers geen verschoningsgrond voor de eigen fout.
  • Beknopte informatie is voldoende voor de doelgroep van juridische professionals. Jubel argumenteerde dat de doelgroep van de website bestond uit juridische professionals en dat zij dus zouden moeten kunnen volstaan met een beknopt privacybeleid. Volgens de GBA kan dit echter hoogstens een impact hebben op het gehanteerde taalniveau maar doet dit geen afbreuk aan de informatieverplichting.
  • Betrokkenen hebben geen schade geleden. De GBA weerlegde ook Jubels argument dat de betrokkenen geen schade hebben geleden, omdat het om een grondrecht gaat. De GBA verwees in dit verband ook naar een zaak waarin het Hof van Beroep van Brussel oordeelde dat rechten van betrokkenen resultaatsverbintenissen zijn. Het Hof oordeelde dat het niet van belang was of de betrokkene schade had geleden door de foutieve spelwijze van zijn of haar familienaam.
  • Gegevens uit cookies zijn anoniem. Jubel beweerde dat alle persoonsgegevens die verzameld worden door middel van cookies, geanonimiseerd zouden zijn. De GBA oordeelde echter dat dit niet juist is en het om pseudonimisatie gaat waarbij de gegevens nog indirect herleidbaar zijn naar de betrokkenen. In dat geval blijft de AVG van toepassing. Voor alle duidelijkheid merkt de GBA nog op dat anonimisatie een verdere verwerking is waarvoor een rechtsgrond nodig is.

De boete: 0,88% van de omzet

Voor de hierboven vermelde inbreuken legde de GBA een administratieve geldboete van 15.000 EUR op. De omzet van de websitebeheerder bedroeg in 2018 volgens de GBA ongeveer 1,7 miljoen EUR, dus de boete bedraagt ongeveer 0,88% van dat omzetcijfer.

Jubel haalde aan dat zij goede bedoelingen had om een mogelijke geldboete te beperken. Dat zou blijken uit de tussentijdse wijzigingen aan het privacy- en cookiebeleid, maar de GBA hield hier geen rekening mee. De volgende elementen speelden wel een rol bij het opleggen van de geldboete:

  • Duur van de inbreuk. Maatregelen om de inbreuken op te lossen, werden wel genomen, maar niet onmiddellijk en in sommige gevallen waren de maatregelen onvoldoende.  
  • Aantal getroffen betrokkenen. Jubel heeft een zelfverklaard maandelijks bereik van 35.000 lezers.
  • Gebrek aan zorgvuldigheid. Uit verschillende inbreuken bleek de onzorgvuldigheid en zelfs nalatigheid van Jubel. Sommige genomen maatregelen bleken een bijkomende inbreuk te vormen en sommige inbreuken werden niet opgelost.
  • Voorbeeldfunctie van Jubel. Jubel heeft een voorbeeldfunctie als kanaal voor juridisch nieuws. De GBA hield geen rekening met Jubels argument dat niet zij maar wel de auteurs van bijdragen op jubel.be de juridische expertise hebben.

Uit een blogpost van Jubel blijkt dat Jubel niet in beroep zal gaan tegen de opgelegde geldboete. 

Welke lessen trekken uit deze beslissing van de GBA?

Bij de Franse toezichthoudende autoriteit (de CNIL) is er ook een klacht hangende over cookies. Belangenvereniging NOYB had een klacht ingediend bij de CNIL omdat verschillende Franse websites valse toestemmingen communiceren aan derden. Dat betekent dat er ook gegevens werden gedeeld met deze derden als de bezoeker cookies had geweigerd.

In tussentijd is het raadzaam om rekening te houden met de volgende aandachtspunten:

  • Besef welke cookies uw website plaatst en wees steeds aandachtig met het gebruik van applicaties om cookies te detecteren, aangezien deze applicaties niet steeds alle cookies detecteren. Indien nodig, werk samen met de ontwikkelaar van uw website..
  • Zorg voor een privacy- en cookiebeleid in de taal van de doelgroep van uw website. Als uw website meerdere doelgroepen met een verschillende taal heeft, zorg dan voor een privacy- en cookiebeleid in elke taal van die doelgroepen.
  • Zorg voor een juridisch correcte inhoud en terminologie. Bijvoorbeeld: verwar anonimisatie niet met pseudonimisatie en vermeld de juiste toezichthoudende autoriteit.
  • Vergeet geen verplichte vermeldingen in het privacy- of cookiebeleid, waaronder de verwerkingsdoeleinden en de rechtsgronden.
  • Bekom geldige toestemming voor niet-noodzakelijke cookies, waaronder ook eigen statistische cookies.
  • Voorzie ook een knop om cookies te weigeren als goede praktijk.
  • Zorg voor granulariteit (gelaagdheid) in de toestemming (bv. toestemming per soort van cookie. De GBA sloot echter niet uit dat een toestemming per cookie in de toekomst relevant zou kunnen zijn.
  • Hou bij deze granulariteit rekening met het doel van de cookie (bv. functioneel, statistisch, marketing, enz.).
  • Ook het gebruik van Google Analytics-cookies vereist geldige toestemming.
  • Gebruik geen vooraf aangevinkte vakjes in de cookiebanner (geen opt-out, maar wel een opt-in).
  • Plaats geen niet-noodzakelijke cookies bij het eerste laden van de website.

Related posts