top of page
logo.png
rood vlak

Cookiebanner wettelijk verplicht? Dit zijn de regels in België

  • Foto van schrijver: Olivier Sustronck
    Olivier Sustronck
  • 13 jun
  • 4 minuten om te lezen

Auteur: Lucas Vandenbussche


Je kent het wel: cookies. Je surft naar een website en krijgt een banner voorgeschoteld met een grote, opvallende knop “alle cookies aanvaarden”. Met wat zoekwerk vind je misschien een link naar instellingen. Soms zelfs helemaal niets. Of en in welke mate kan dat eigenlijk nog?


In België zijn de cookiebanners sinds enkele jaren niet langer vrijblijvend. Integendeel: ze zijn het onderwerp geworden van gedetailleerde regels zoals gestipuleerd in bijvoorbeeld de AVG en bijbehorende handhaving. Afgeleid vanuit de huidige wetgeving, rechtspraak en rechtsleer zijn websites eigenlijk verplicht om (via een cookiebanner) toestemming te vragen voor het plaatsen van cookies die niet strikt noodzakelijk zijn. Als daar zijn tracking-, analytische of marketingcookies. Dat klinkt eenvoudig, maar is dat ook zo?  


Toestemming


De cookiebanner moet gebruikers de keuze geven om cookies te aanvaarden én te weigeren, op een gelijke en even zichtbare manier. Een grote groene knop “alles aanvaarden” zonder een even prominente “alles weigeren”-optie volstaat dus niet.[1]


Volgens de AVG moet de voorafgaande toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Dat betekent voor de cookiebanners concreet:

  • géén vooraf aangevinkte vakjes[2];

  • géén impliciete toestemmingen via “doorklikken” of door de banner te sluiten[3];

  • weigeren moet even makkelijk zijn als aanvaarden[4].


Dark patterns: verboden misleiding


Een van de hardnekkigste problemen bij cookiebanners is het gebruik van zogeheten dark patterns. Daarmee bedoelt men ontwerptrucs die de gebruiker subtiel in een bepaalde richting duwen, logischerwijs richting “aanvaarden”. Denk aan knoppen in felle kleuren, terwijl de “weigeren”-optie nauwelijks zichtbaar is of zich achter meerdere clicks verschanst. Denk aan de teleshopping reclames. De GBA kwalificeert zulke praktijken bij cookiebanners als een misleidend ontwerp.[5]



In de spraakmakende beslissing van 6 september 2024 tegen Mediahuis stelde de GBA bijvoorbeeld vast dat de cookiebanner wél een “alles aanvaarden”-knop toonde, maar geen even prominente “alles weigeren”-optie. Bovendien gebruikte de banner kleuren en grootte die de gebruiker duidelijk richting aanvaarding duwden.[6] De GBA legde verschillende dwangsommen op om aanpassingen te bekomen.


Intrekken van toestemming moet eenvoudig zijn


Eens die toestemming is gegeven, dan moet ze via artikel 7.3 AVG even eenvoudig kunnen worden ingetrokken als gegeven. Op het vlak van cookiebanners betekent dit dat gebruikers via een vaste, zichtbare link op elke pagina hun cookie-instellingen moeten kunnen wijzigen of intrekken. De GBA bevestigde dat een link onderaan elke webpagina “Cookie-instellingen beheren” volstaat, wel enkel op voorwaarde dat deze goed zichtbaar en makkelijk vindbaar is.[7]


Hier wordt niet licht overgegaan: een banner waarbij je met één klik toestemming geeft, maar meer dan twee klikken nodig hebt om die in te trekken, zou door de GBA als onrechtmatig beoordeeld worden.[8]


Geen achterpoortjes via “gerechtvaardigd belang”


Sommige websites proberen nog steeds cookies te rechtvaardigen met het “gerechtvaardigd belang[9]” Dat mag echter niet voor cookies waarvoor toestemming wettelijk vereist is. De e-Privacyrichtlijn (artikel 5(3)) is daar helder in: voor niet-noodzakelijke cookies is altijd een voorafgaande toestemming nodig.


Ook in haar beslissing tegen Mediahuis maakte de GBA hier korte metten mee: cookies voor analytische of marketingdoeleinden kunnen niet via gerechtvaardigd belang worden geplaatst.[10]


Conclusie: minder marketingtrucs, meer transparantie


Cookiebanners mogen gebruikers niet onder druk zetten. Willen we ze als hulpmiddel voor privacybescherming behouden, dan moeten ze écht keuzes mogelijk maken. Niet alleen de schijn ervan.


Een geldige cookiebanner voldoet daarom dus aan volgende voorwaarden:

  • Op de eerste zichtbare laag moet zowel “alles aanvaarden” als “alles weigeren” staan, even zichtbaar en bereikbaar;

  • Er mag geen gebruik gemaakt worden van visuele sturing richting toestemming (kleur, positie, grootte van knoppen);

  • Toestemming intrekken moet mogelijk zijn via een goed zichtbare permanente link op elke pagina[11];

  • Voor niet-noodzakelijke cookies is uitsluitend expliciete toestemming een geldige rechtsgrond[12];

  • De banner moet natuurlijk ook duidelijk informeren over doeleinden, actoren, bewaartermijnen en rechten.[13]


De GBA, het EDPB en de rechtspraak hebben met hun recente uitspraken het speelveld duidelijk afgebakend. Websites die hier nog aan voorbijgaan, riskeren niet alleen klachten, maar ook aanzienlijke boetes. In de praktijk is er echter nog veel werk aan de winkel.


[1] GBA 24 januari 2024, beslissing nr. 22/2024: die hiermee een schending vaststelde van de artikelen 5.1.a) en 6.1.a) van de AVG, gelezen in samenhang met de artikelen 4.11 en 25 van de AVG.

[2] HvJ 1 oktober 2019, C-673/17 (Planet49): die hiermee een schending vaststelde van artikel 5, lid 3, en artikel 2, onder f), van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), gelezen in samenhang met artikel 2, onder h), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

[3] GBA 16 juni 2022, beslissing nr. 103/2022: die hiermee een schending van de artikelen 4.11 jo° 6.1.a en 7.1 van de AVG vaststelde voor het verzamelen van toestemming via de techniek van "further browsing", namelijk het koppelen van de uiting van toestemming om cookies te ontvangen aan de keuze om de dienst te blijven gebruiken.

[4] GBA 6 september 2024 (Mediahuis), beslissing nr. 113/2024 (Mediahuis): dit moet op een behoorlijke wijze gebeuren conform artikel 5.1.a) van de AVG, cf. vn. 5.

[5] GBA 1 december 2023 (De Tijd), beslissing nr. 159/2023.

[6] GBA 6 september 2024 (Mediahuis), beslissing nr. 113/2024,.

[7] EDPB Taskforce-rapport cookiebanners, 2023; bevestigd door GBA 6 september 2024 (Mediahuis), beslissing nr. 113/2024, punten 153 en 154.

[8] GBA 6 september 2024 (Mediahuis), beslissing nr. 113/2024, punt 153.

[9] Artikel 6.1(f) AVG.

[10] Ibid, punten 169 en 170.

[11] GBA 6 september 2024. .

[12] Art. 10/2 WVP; GBA 6 september 2024.

[13] Art. 13 AVG; GBA 1 december 2023.

bottom of page