Europese Cookiebanner Taskforce moet cookie compliance coördineren (Sirius Legal)

IT & IP, Privacy & Gegevensbescherming | 13 oktober 2021

Auteur: Bart Van den Brande (Sirius Legal)

De geautomatiseerde webcrawler van drukkingsgroep NOYB (None of Your Business), die online inbreuken op de cookieregelgeving in Europa opspoort, maakt heel wat bedrijven zenuwachtig. Inmiddels beseffen ook de Europese toezichthouders dat ze maar beter voorbereid kunnen zijn op de verwachte stroom van klachten. Om dit te coördineren richtte de European Data Protection Board zopas een Cookie Banner Taskforce op die moet zorgen voor een gecoördineerd optreden door de verschillende Europese gegevensbeschermingsautoriteiten.

None of Your Business?

NOYB is de belangenorganisatie of drukkingsgroep van de Oostenrijker Max Schrems. Die laatste kennen we natuurlijk als de man die eigenhandig achtereenvolgens het Safe Harbour principe en -afgelopen zomer pas- het Privacy Shield onderuit haalde voor het Europees Hof van Justitie en daarmee een bom legde onder gegevensuitwisseling met de Verenigde Staten en dus met de werking van ons internet in het algemeen.

NOYB heeft de afgelopen jaren een reputatie opgebouwd als de pitbull van het privacyrecht. Ze voeren actief campagne in gans Europa tegen het al genoemde Privacy Shield, tegen inbreuken op de cookiewetgeving, tegen het gebruik van tracking-ID’s op smartphones door partijen als Google, tegen het verplicht aanmaken van accounts om online goederen of diensten te kopen of te gebruiken, … Hun acties bestaan uit petities en awareness, maar ook uit klachten bij verschillende gegevensbeschermingsautoriteiten en uit het voeren van rechtszaken en class actions in verschillende EU-lidstaten, ook in België.

Europese webcrawler spoort cookie-inbreuken op

Afgelopen zomer heeft NOYB een project gelanceerd waarbij zij systematisch het internet afspeuren op zoek naar websites in de EU die inbreuken begaan op de (lokale) cookiewetgeving. Vervolgens verzenden zij volledig geautomatiseerd klachten naar de bevoegde gegevensbeschermingautoriteiten.

Veel speurwerk komt hier overigens niet aan te pas, aangezien ergens tussen 60 en 90% van de Europese websites niet voldoen aan de cookieregelgeving… In een eerste golf heeft NOYB deze zomer 560 klachten neergelegd, waaronder ook verschillende tegen Belgische bedrijven. Ook enkele van onze eigen cliënten – die nog niet eerder cookieadvies aan ons gevraagd hadden – behoorden tot de “gelukkigen”. Die eerste golf was een voorbode van een aangekondigde actie tegen minstens 10.000 websites in gans Europa in de loop van 2021 en 2022…

Europese Task Force

Het Europese Comité voor Gegevensbescherming (EDPB) is de overkoepelende toezichthouder die het werk van de verschillende nationale gegevensbeschermingsautoriteiten coördineert. Tijdens haar laatste maandelijkse plenaire vergadering heeft die EDPB nu beslist om een “cookiebanner-taskforce” op te richten specifiek om de klachten over cookiebanners die door NOYB zijn ingediend bij verschillende EU-autoriteiten voor gegevensbescherming bij te houden en te beantwoorden. De taskforce moet zorgen voor overleg en samenwerking tussen de lidstaten en het uitbouwen van best practices. In haar persbericht verwijst de EDPB expliciet naar de automatische scans en klachten van NOYB.

Zo’n actie is overigens meer dan welkom, aangezien het handhavingsbeleid én de toepasselijke regels erg uiteen blijven lopen tussen de verschillende lidstaten. Wie in Nederland bijvoorbeeld Google Analytics cookies gebruikt hoeft daarvoor geen toestemming te vragen en hoeft ook geen controles of boetes te vrezen. Wie diezelfde cookies zonder toestemming plaatst in België, Duitsland of Spanje, riskeert een boete van enkele duizenden euro’s. Die ongelijkheid en het concurrentienadeel dat eraan vast hangt voor Belgische online ondernemers heeft Sirius Legal het voorbije jaar overigens op vraag van de ganse Belgische digitale industrie uitgebreid aangekaart bij zowel de Gegevensbeschermingsautoriteit als bij het kabinet van de Staatssecretaris voor digitalisering. Je kan hier meer over lezen in het artikel “Digitale Sector unisono in overleg met de GBA: Analytics cookies zonder voorafgaande opt-in zijn een noodzaak”.