Toezichthouder: cookiepop-ups op website zijn illegaal

Het systeem van pop-ups waarmee websites toestemming vragen voor het plaatsen van cookies is illegaal. De Belgische privacywaakhond ADP heeft dat besloten in een zaak tegen adverteerdersbranchevereniging IAB Europe. Het vonnis is inmiddels door andere Europese toezichthouders overgenomen.

Het systeem met de pop-ups werd door IAB Europe bedacht om binnen de regels van de Europese privacywetgeving uit 2018 te blijven. Het leunt op een onderdeel van de regels dat 'gerechtvaardigd belang' heet. Dat staat bedrijven toe om gegevens te verwerken op een manier die gebruikers kunnen verwachten.

Volgens ADP voldoet de huidige praktijk daar niet aan. Als internetgebruikers toestemming geven voor het plaatsen van cookies worden ze vaak uitgebreid gevolgd en worden hun gegevens verkocht. "De meeste mensen weten dat niet", aldus Hielke Hijmans van de Belgische toezichthouder. Die bepaalde dat IAB Europe een boete van 250.000 euro moet betalen en dat alle data die met het systeem zijn binnengeharkt moeten worden vernietigd. Ook moet IAB Europe binnen twee maanden met een plan komen om het systeem te verbeteren.

De zaak kan grote gevolgen hebben voor veel bedrijven die advertenties verkopen en gegevens verzamelen. Volgens de Ierse organisatie Council for Civil Liberties, een van de partijen die had geklaagd over het systeem, wordt het IAB-systeem gebruikt op 80 procent van de Europese websites. De organisatie stelt verder dat meer dan duizend bedrijven nu gegevens moeten vernietigen, waaronder grote partijen als Google, Microsoft en Amazon.

IAB Europe op zijn beurt vindt dat de uitspraak onjuist is omdat de branchevereniging de data niet controleert. Die organisatie bekijkt zijn juridische opties. Tegelijkertijd geeft IAB Europe aan ernaar uit te kijken om met ADP te werken aan een manier waarop het systeem wel binnen de regels past.