GDPR geldt sinds 25 mei voor bedrijven die actief zijn binnen de Europese Unie. Sommige kanten van de nieuwe privacywetgeving zijn verrassend. Zo blijkt dat cookiemuren niet passen binnen de wetgeving. Dat meldt de EU-instantie die daar verantwoordelijk voor is.
Volgens de European Data Protection Board (EDPB) past een cookiemuur niet binnen de GDPR. De redenering daarachter is vrij eenvoudig en wordt binnenkort doorgevoerd binnen de ePrivacy Regulation. Mogelijk moeten sites die nu een cookiemuur hanteren, die straks offline halen.
De gehate cookiemuur
Toen de Europese Unie wetgeving doorvoerde die van websites vereiste dat ze toestemming zouden vragen aan gebruikers voor het plaatsen van cookies op hun apparaten, had dat grote gevolgen. Omdat cookies noodzakelijk zijn voor onder meer gepersonaliseerde advertenties, dwingen sites gebruikers akkoord te gaan met de plaatsing, alvorens ze de site kunnen bezoeken.
Dat soort cookiemuren bieden gebruikers dus eigenlijk geen keuze. Ze moeten wel akkoord gaan, anders kunnen ze de content op de site niet bekijken. EDPB stelt nu dat de manier waarop toestemming van gebruikers gevraagd wordt, anders moet. GDPR eist van gebruikers om op een vrije manier toestemming te verkrijgen. “Dat sluit uit dat dienstverleners een cookiemuur kan plaatsen”.
De toegang tot diensten en functionaliteiten mag volgens de EDPB dan ook niet afhangen van toestemming van een gebruiker rond het verwerken van persoonlijke data. “Dat betekent dat cookiemuren expliciet verboden moeten zijn”, aldus de EDPB. De verwachting is dat een tekst met deze strekking in de nieuwe ePrivacy Regulation komt te staan.
Nog niet af
De nieuwe ePrivacy Regulation moet nog afgemaakt worden door het Europees Parlement, ondanks dat deze vernieuwing al begin 2017 voorgesteld werd. Waar GDPR draait om de manier waarop gegevens van individuen verwerkt worden, reguleert de ePrivacy Regulation alle elektronische communicatie. Die wetgeving moet dus nog aangepast worden aan de GDPR.