• nl
  • en
Menu
Zonder toestemming zijn plug-ins van social media niet langer houdbaar

Zonder toestemming zijn plug-ins van social media niet langer houdbaar

5 augustus 2019

Vrijwel iedere website heeft tegenwoordig een ‘like’ knop geïntegreerd op de pagina. Daarmee kunnen bezoekers via een enkele muisklik de pagina die ze bezoeken, het bedrijf of een artikel liken op bijvoorbeeld Facebook of LinkedIn. Daarbij worden de nodige gegevens verzameld van de bezoekers van een website. Deze week werd duidelijk dat de beheerder van een website medeverantwoordelijk (en dus aansprakelijk) is voor deze gegevensverwerking en daar toestemming voor nodig heeft.

Voor die knoppen worden namelijk cookies gebruikt. Het gaat daarbij om alle bezoekers, onafhankelijk van de vraag of een bezoeker zelf een profiel op bijvoorbeeld Facebook heeft. Dat betekent concreet dat er persoonsgegevens worden verzameld van alle websitebezoekers als die plug-ins zijn geïnstalleerd, bijvoorbeeld het IP-adres. Deze gegevens worden via de plug-in verzameld en doorgezonden aan het sociale medium in kwestie.

Het Hof van Justitie van de Europese Unie sprak zich deze week uit over de verantwoordelijkheid van de websitebeheerder voor de verwerking van persoonsgegevens via deze praktijk. Daarover kreeg het in een lopende kwestie vragen voorgelegd van een Duitse rechter (zogenaamde prejudiciële vragen). In deze uitspraak ging het om een Vind ik leuk-knop van Facebook op de site van een Duitse modewebwinkel. Via deze plug-in worden de gegevens van de bezoekers van de site verwerkt door Facebook, ongeacht of je op de knop zelf klikt, dat gebeurt al direct bij het bezoeken van de site. Volgens een Duitse consumentenvereniging is de webwinkel ook verantwoordelijk voor de verwerking van de persoonsgegevens, ook al doet deze daar vrijwel niets mee. De webwinkel heeft namelijk geen invloed op wat er bij Facebook met de gegevens gebeurt. Maar de webwinkel faciliteert natuurlijk wel dat de gegevens bij Facebook terechtkomen. Volgens de consumentenvereniging moet de webwinkel daarom als medeverantwoordelijke in de zin van de privacywetgeving worden aangemerkt (onder de AVG: de verwerkingsverantwoordelijke). En omdat geen toestemming is gevraagd voor het doorzenden van gegevens aan Facebook, is er volgens de consumentenvereniging sprake van onrechtmatige verwerking van persoonsgegevens, die gestaakt zou moeten worden.

Het Hof van Justitie deelt de opvatting van de consumentenvereniging. Hoewel de webwinkel geen invloed heeft op wat Facebook met de gegevens doet, heeft zij wel beslissende invloed door de plug-in op haar site in te voegen. Volgens de wet bepaalt de voor de verwerking verantwoordelijke (alleen of met anderen) het doel en de middelen van de verwerking. Daarvan is hier volgens het Hof van Justitie sprake. De webwinkel oefent namelijk ‘op beslissende wijze’ invloed uit op de verwerking van persoonsgegevens. Door de integratie van de plug-in maakt de webwinkel de (verdere) verwerking van de persoonsgegevens door Facebook mogelijk. Het doel daarvan is het commerciële belang van zowel de webwinkel als Facebook.

Op basis hiervan oordeelt het Hof van Justitie daarom dat de beheerder van een website die een plug-in installeert, medeverantwoordelijk is voor de verwerking van persoonsgegevens die daardoor ontstaat. Het Hof van Justitie beperkt dat wel tot het verzamelen en doorzenden van de persoonsgegevens door de plug-in. De latere verwerking, door bijvoorbeeld Facebook, valt niet onder de verantwoordelijkheid van de websitebeheerder.

Omdat het hier gaat om de doorzending van persoonsgegevens aan derden voor commerciële belangen van de beheerder en de betrokken derde partij, is op grond van de wetgeving over e-privacy toestemming nodig. In de kwestie die voorlag, was die toestemming niet gevraagd. Een andere verwerkingsgrondslag was in dit geval niet aan de orde. Daarom is de verwerking in strijd met de AVG. De Duitse nationale rechter moet dat bij de verdere de behandeling van de zaak meenemen in zijn einduitspraak.

Gevolgen voor de praktijk

Deze uitspraak is van groot belang voor iedereen die op een website social media-plug-ins heeft geïnstalleerd. De beheerder van de website met zo’n plug-in verwerkt persoonsgegevens en moet dus voldoen aan de eisen die de AVG hieraan stellen. De beheerder van de website kan zich niet verschuilen achter het sociale medium aan wie de gegevens worden doorgestuurd.

Voor verwerking van persoonsgegevens via social media-plug-ins is toestemming van de betrokkene vereist. Dat betekent dus dat toestemming gevraagd moet worden voor het openzetten van de plug-in voor de websitebezoeker. Dat kan bijvoorbeeld via een pop-up die om toestemming vraagt. Mogelijk werkt de site al met zo’n pop-up voor (andere) cookies. Pas nadat de websitebezoeker toestemming heeft gegeven, mag de plug-in worden geactiveerd. Een andere optie is een hover, waarbij de plug-ins inactief zijn totdat de bezoeker er met de cursor overheen gaat. Dan komt een tekst tevoorschijn die aangeeft wat de plug-in doet als de bezoeker daarop zou klikken. Pas nadat de bezoeker daarop heeft geklikt, wordt de plug-in actief.

Wat te doen? Verwijder de social media-plug-ins of vraag op een juiste manier toestemming voor gebruik ervan. De boete op onrechtmatig gebruik van persoonsgegevens is hoog. Wilt u advies hierover, neem dan contact met ons op.

Deze bijdrage is geschreven door mr. Henk-Jan Ligtenberg, verbonden aan de praktijkgroep Privacy.

Wilt u op de hoogte blijven?

  • nl
  • en