Frederiek Beuning

Sinds begin dit jaar is de NIS2-richtlijn van kracht. De richtlijn laat aan lidstaten de ruimte om zelf een afweging te maken of lokale overheden, zoals gemeenten, waterschappen en gemeenschappelijke regelingen onder de richtlijn vallen. Recentelijk is het wetsvoorstel voor de Cyberbeveiligingswet ter internetconsulatie gelegd. Zoals al werd verwacht is in het ontwerp opgenomen dat decentrale overheden, waaronder gemeenten, waterschappen en provincies, onder de NIS2 zullen vallen. NIS2 in het kort De NIS2-richtlijn is een update van de NIS-richtlijn. NIS2 stelt strengere eisen aan de beveiliging van netwerken en informatiesystemen van essentiële en belangrijke entiteiten in bepaalde sectoren. Kort samengevat bevat de NIS2-richtlijn een zorgplicht, op grond waarvan entiteiten zelf een risicobeoordeling dienen uit te voeren en passende maatregelen dienen te nemen om de continuïteit van diensten zoveel mogelijk te waarborgen en netwerk- en informatiesystemen te beschermen. Daarnaast geldt er een meldplicht van incidenten en zal er een onafhankelijke toezichthouder worden aangewezen. NIS2 is van toepassing naast bijvoorbeeld de beveiligingsverplichting in de Algemene Verordening Gegevensbescherming (‘AVG’). Waar de AVG ziet op bescherming van persoonsgegevens, legt NIS2 de nadruk op de continuïteit van essentiële diensten. Voor de sector overheidsdiensten zal de Rijksinspectie voor Digitale Infrastructuur (RDI) toezicht houden op het stelsel van informatieveiligheid. Reikwijdte Uit het wetsvoorstel voor de Cyberbeveiligingswet blijkt dat de wetgever voornemens is om decentrale overheden, waaronder gemeenten, waterschappen en provincies onder de reikwijdte van de NIS2-richtlijn te laten vallen en als essentiële entiteiten aan te merken. Gemeenschappelijke regelingen en zelfstandige bestuursorganen zullen veelal eveneens onder de onder de reikwijdte vallen. Overheidsinstanties die in de hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, vallen niet onder de richtlijn. Baseline Informatiebeveiliging Overheid Veel verplichtingen die de NIS2-richtlijn en de Cyberbeveiligingswet opleggen, zijn al van toepassing op lokale overheden via andere wettelijke kaders. De wijze waarop overheden aan deze beveiligingsverplichtingen voldoen is uitgewerkt in de Baseline Informatiebeveiliging Overheid (BIO). Er wordt nu gewerkt aan een vernieuwde versie van de BIO, BIO 2.0, onder andere om de nieuwe verplichtingen die voortvloeien uit de richtlijn en de Cyberbeveiligingswet daarin te verankeren. Inmiddels is ook een mapping gemaakt door de werkgroep BIO om aan te geven in hoeverre de NIS2-maatregelen zich verhouden tot de huidige BIO. Deze is hier te raadplegen. Tot slot Het wetsvoorstel voor de Cyberbeveiligingswet zoals die nu ter internetconsulatie is gelegd, is via deze link te raadplegen. Tot 1 juli bestaat de mogelijkheid om op het wetsvoorstel te reageren. Hoewel het nog wel even kan duren voordat de Cyberbeveiligingswet van toepassing is, is het verstandig op tijd te beginnen met het treffen van maatregelen ter bescherming van de beveiliging en continuïteit van eigen werkprocessen. Hierbij kan door overheidsinstanties gebruik worden gemaakt van de Handreiking BIO 2.0-opmaat van de BIO.    Contact Heeft u vragen over de NIS2-richtlijn? Neem dan contact op met Jan Baas, Jolijn Gijsen of Frederiek Beuning of  een van onze andere specialisten Data & Privacy.  

De Autoriteit Persoonsgegevens (AP) heeft guidance uitgebracht over de wijze waarop websites toestemming dienen te vragen als zij cookiebanners hanteren. Onder andere schrijft de AP voor dat websites de keuze om cookies te weigeren of te accepteren, op één laag moeten aanbieden. Sommige cookiebanners bevatten een knop om de opslag van cookies te accepteren en een knop waarmee de betrokkene toegang krijgt tot verdere opties, maar zonder de mogelijkheid om direct alle cookies te weigeren. Deze optie is pas te vinden in de tweede laag. Volgens de AP wordt hiermee niet voldaan aan de door haar geformuleerde eis dat het accepteren en weigeren van cookies even makkelijk moet zijn. Cookies en toestemming voor cookies Een cookie is een klein bestand dat bij het bezoeken van websites op apparaten van bezoekers kan worden geplaatst. Er bestaan verschillende soorten cookies met verschillende doeleinden. Functionele cookies zijn noodzakelijk voor het effectief functioneren van een dienst of webshop. Denk bijvoorbeeld aan het bijhouden van producten die je toegevoegd hebt aan het winkelmandje. Analytische cookies gebruikt een website bijvoorbeeld om het aantal bezoekers bij te houden. Bij tracking cookies wordt het internetgedrag van mensen gevolgd. Cookiewetgeving in Nederland is te vinden in artikel 11.7a van de Telecommunicatiewet. Dit artikel is gebaseerd op de e-Privacy Richtlijn (Richtlijn 2002/58/EG). Functionele en analytische cookies hebben over het algemeen beperkte invloed op de privacy. Deze cookies kunnen dan automatisch geplaatst worden bij bezoek aan een website, een bezoeker hoeft hiervoor geen toestemming te geven. In andere gevallen, zoals bij tracking cookies, is plaatsing slechts toegestaan indien voorafgaande toestemming is verkregen. Artikelen 4 lid 11, artikel 7 en overweging 32, 42 en 43 AVG (Verordening 2016/679 EU) bevatten vereisten waar toestemming van de betrokkene aan moet voldoen: Toestemming moet vrijelijk worden gegeven (artikel 4 lid 11 en overweging 42 AVG); Toestemming moet specifiek zijn (artikel 4 lid 11 AVG); Toestemming moet geïnformeerd zijn (artikel 4 lid 11 AVG); Toestemming moet een ondubbelzinnige wilsuiting zijn waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige handeling hem betreffende verwerking van persoonsgegevens aanvaardt. Dit houdt in dat de toestemming expliciet via een positieve handeling gegeven moet zijn. Het gebruikmaken van aangekruiste selectievakjes mag dus niet (artikel 4 lid 11 AVG); De verwerkingsverantwoordelijke moet toestemming kunnen aantonen (artikel 7 lid 1 AVG); Toestemming moet in duidelijke en eenvoudige taal gepresenteerd zijn zodat een duidelijk onderscheid gemaakt kan worden met een andere aangelegenheid (artikel 7 lid 2 AVG); Afzonderlijke toestemming moet kunnen worden gegeven voor verschillende persoonsgegevensverwerkingen (overweging 43 AVG, het vereiste van “granularitet”); Toestemming moet te allen tijde kunnen worden ingetrokken; het intrekken van de toestemming moet even eenvoudig zijn als het geven ervan (artikel 7 lid 3 AVG). Gevolgen nieuwe guidance AP De nieuwe guidance zou betekenen dat een constructie zoals de Franse toezichthouder CNIL die in het verleden toepaste, en die ook nu nog door veel organisaties wordt gehanteerd, niet meer zou zijn toegestaan. In deze constructie wordt in de eerste laag gevraagd om toestemming (“OK, tout accepter”) met de mogelijkheid om door te klikken naar een tweede laag voor persoonlijke instellingen (“personaliser”). In de tweede laag is vervolgens de mogelijkheid te vinden om per soort cookies de instellingen te bepalen. Als het goed is, staan in deze tweede laag de cookies waarvoor toestemming moet worden gegeven “uit” en is een actieve handeling nodig om deze te activeren. CNIL had deze tweede laag vormgegeven als volgt: In deze vormgeving kunnen op de tweede laag alle cookies worden geweigerd, of kan per cookie worden gekozen om het te accepteren of te weigeren. De pagina met cookie-instellingen kan ook later steeds worden bezocht om de keuze te kunnen aanpassen. Met deze constructie wordt in onze ogen voldaan aan alle eisen die de AVG stelt aan een rechtsgeldige toestemming, in het bijzonder het vereiste van granulariteit en de eis dat de instemming ook weer eenvoudig kan worden ingetrokken. Guidance van de AP De AP laat in de guidance echter weten dat het niet is toegestaan om in de cookiebanner toestemming te vragen, en pas in een tweede laag een optie met cookies weigeren/afwijzen/niet instemmen aan te bieden. Voortaan moet deze optie beschikbaar zijn op dezelfde laag als de laag waar toestemming voor wordt gevraagd. Cookie Banner Taskforce De European Data Protection Board (EDPB) heeft een Cookie Banner Taskforce opgezet. Uit hun rapport van 17 januari komt naar voren dat het overgrote deel van de Europese privacytoezichthouders van mening is dat er sprake is van een inbreuk op de e-Privacy Richtlijn wanneer een banner niet voorziet in opties om cookies te accepteren of te weigeren op dezelfde laag. Enkele toezichthouders vinden evenwel dat er geen sprake is van een inbreuk, wegens het ontbreken van een expliciete ‘weiger optie’ voor het plaatsen van cookies op grond van artikel 5 lid 3 van de e-Privacy Richtlijn. Wij komen de door de AP gestelde eis niet tegen in de AVG dan wel de Telecommunicatiewet. Wij vragen ons – met de minderheid van de privacytoezichthouders uit de EDPB – af waar deze eis op gebaseerd kan zijn. Intrekken vs. weigeren Volgens de AP volgt de verplichting uit de door haar geformuleerde regel dat het weigeren van toestemming even eenvoudig moet zijn als het accepteren ervan. In de AVG komt die regel echter niet voor in artikel 7 lid 3 AVG staat wel dat het intrekken van toestemming even eenvoudig moet zijn als het geven ervan. In artikel 7 lid 3 AVG staat dat het intrekken van toestemming even eenvoudig moet zijn als het geven ervan, maar intrekken is iets anders dan weigeren. Vrije toestemming De volgende vraag die kan worden gesteld, is of het aanbieden van een weigerknop van cookies in de tweede laag afbreuk doet aan vrije toestemming. Doet het geven van een extra klik iets af aan het karakter van de vrije toestemming? De EDPB heeft op 17 april een opinie uitgebracht over geldige toestemming in de context van toestemmings- of betaalmodellen (ook wel bekend als ‘consent or pay’ modellen) die geïmplementeerd zijn door grote online platforms. Aanleiding hiervoor was een verzoek van de Nederlandse, Duitse en Noorse gegevensbeschermingsautoriteiten. In par. 67 van deze opinie stelt de EDPB dat verwerkingsverantwoordelijken de autonomie van betrokkenen niet mogen beperken door het moelijker te maken om toestemming te weigeren dan om toestemming te geven. Zoals hiervoor opgemerkt is dit echter geen vereiste dat volgt uit de AVG. Dat de gebruiker moet doorklikken om cookie-keuzes in te stellen maakt onzes inziens niet in algemene zin dat het geven van toestemming hiermede geen vrije keuze meer is.    Data protection by default We hebben ons vervolgens afgevraagd of de door de AP geformuleerde eis kan volgen uit artikel 25 lid 2 AVG (data protection by default). Wij menen dat dit niet zo is. Uit artikel 25 lid 2 AVG volgt dat de cookies die van toestemming afhankelijk zijn pas mogen worden geplaatst nadat toestemming is gegeven, niet dat een weigeringsknop op dezelfde laag moet worden geplaatst als de toestemmingsvraag zelf. Misleidende ontwerppatronen Op Europees niveau zijn er verschillende regelingen die misleidende ontwerppatronen (ook wel bekend als dark patterns) bespreken, waaronder de AVG, de Richtlijn oneerlijke handelspraktijken (Richtlijn 2005/29), de Digital Services Act (Verordening 2001/31), de Digital Markets Act (Richtlijn 2022/1925), de Data Act (Verordening 2023/2854)  en de Artificial Intelligence Act (COM (2021) 2016 final). De EDPB heeft Richtsnoeren uitgebracht over misleidende ontwerppatronen. EDPB Richtsnoeren Volgens de EDPB Richtsnoeren zijn misleidende ontwerppatronen interfaces op sociale mediaplatformen, websites of in cookiebanners die gebruikers ertoe brengen onbedoelde, vaak onwillige en/of mogelijk schadelijke beslissingen te nemen met betrekking tot persoonlijke data en die in het belang zijn van het sociale media platform. Misleidende ontwerppatronen zijn onder te verdelen in verschillende categorieën. Eén van de vormen waarin dit kan plaatsvinden is het zogenaamde ‘hinderen (obstructing)’. Hiervan is sprake wanneer gebruikers worden belemmerd of geblokkeerd in hun proces om informatie te krijgen of hun gegevens te beheren door de actie moeilijk of onmogelijk te maken. Gebruikers willen dan een bepaalde handeling uitvoeren die betrekking heeft op hun gegevensbescherming, en dat gebruikerstraject wordt op een zodanige manier gepresenteerd dat het meer stappen vergt dan nodig is voor de activering van opties die inbreuk hebben op data van de betreffende persoon. Dit heeft dan als gevolg dat gebruikers waarschijnlijk ontmoedigd worden om een dergelijke controle te activeren. In de Richtsnoeren van de EDPB wordt een voorbeeld aangehaald van gebruikers die tijdens het aanmeldingsproces op de knop “overslaan” klikken (om te voorkomen dat ze bepaalde data te zien krijgen) krijgen een pop-upvenster te zien met de vraag “Weet u het zeker?” Door hun beslissing in twijfel te trekken, zet de aanbieder van sociale media gebruikers aan om hun beslissing te herzien en bepaalde gegevens openbaar te maken, zoals geslacht, lijst met contactpersoon of foto. Gebruikers die ervoor kiezen om de gegevens direct in te voeren, zien daarentegen geen bericht met het verzoek om hun keuze te heroverwegen. In het begin van dit jaar had de AP Uber Technologies Inc. en Uber B.V. (Uber) een boete opgelegd van 10 miljoen euro.  Uber handelde in strijd met artikel 12 tweede lid AVG door het voor chauffeurs onnodig moeilijk te maken om een verzoek in te dienen voor het bekijken of ontvangen van hun gegevens. In de app was er een digitaal formulier voor chauffeurs beschikbaar om inzage aan te vragen, maar dit formulier was moeilijk te vinden omdat het in verschillende menu’s was verborgen en op een logischere locatie had kunnen worden geplaatst en er een groot aantal stappen (in totaal 7) doorlopen moest worden om bij het formulier te komen. Ofschoon de AP niet naar dit leerstuk verwijst zou dit gezien kunnen worden als een  voorbeeld van een misleidend ontwerppatroon. Wij menen dat het aanbieden van een weigerknop van cookies in de tweede laag in een heldere structuur, waarbij de weigerknop reeds met één extra stap wordt gevonden, niet gelijk kan worden gesteld met wat als een misleidend ontwerppatroon wordt gezien. Conclusie In onze analyse wordt bij het plaatsen van de weigerknop in een tweede laag, geen inbreuk geconstateerd op de rechtstreeks van toepassing zijnde AVG bepalingen. Het is onwaarschijnlijk dat deze praktijk via de omweg van de Richtsnoeren over misleidende ontwerppatronen opeens wél verboden zou zijn. Een en ander uiteraard afhankelijk van de verdere vormgeving van de toestemmingsteksten. We nemen daarbij in aanmerking dat de eisen waaraan cookie-toestemming, en toestemming onder de AVG in het algemeen, in de regelgeving zeer gedetailleerd is uitgewerkt en aangenomen mag worden dat een verwerking die aan deze gedetailleerde eisen voldoet, rechtmatig is. De nieuwe eis die de AP stelt en die afwijkt van de interpretatie van de betreffende wetgeving zoals die al jaren wordt gehanteerd, vereist een wetswijziging en kan niet door de toezichthouders worden ingevoerd op basis van verwijzing naar eigen Richtsnoeren en algemene rechtsbeginselen.[1] De nieuw geformuleerde eis uit de guidance van de AP, inhoudende dat accepteren even makkelijk moet zijn als afwijzen, kan volgens ons niet gezien worden als een algemene regel die volgt uit wetgeving zoals de e-Privacy Richtlijn, de Telecommunicatiewet, de DSA of de AVG. Onder omstandigheden kan wellicht worden betoogd dat het aanbieden van cookiebanners die een knop bevat om de opslag van cookies te accepteren en een knop bevat waarmee de betrokkene toegang krijgt tot verdere opties, maar zonder de mogelijkheid om direct alle cookies te weigeren, kan worden gekwalificeerd als misleidend ontwerppatroon. Dit hangt af van de vormgeving van het geheel van de website en kan niet gezien worden als een algemene regel die uit de wetgeving volgt. Wij denken gezien het voorgaande dat een boetebesluit, gebaseerd op de algemene regel dat de mogelijkheid om cookies te weigeren moet worden aangeboden op dezelfde laag als de mogelijkheid om de cookies te accepteren, in rechte geen stand behoort te houden. Ondertussen zal een voorzichtige verwerkingsverantwoordelijke rekening moeten houden met dit nieuwe standpunt van de AP en moeten overwegen om haar website hierop aan te passen. Dit blog is oorspronkelijk verschenen op Privacy Web. [1]  Vgl. Conseil d’Etat 27 maart 2020, 399922, ECLI:FR:CECHR:2020:399922.20200327, JBP 2020/97, met noot  J.A.N. Baas.