Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

Ons aanbod
Blog > EDPB veroordeelt “Consent or Pay”-modellen. Wat betekent dat voor jouw website of webshop?
Bart Van den Brande_Sirius Legal Bart Van den Brande

EDPB veroordeelt “Consent or Pay”-modellen. Wat betekent dat voor jouw website of webshop?

Leesduur: 7 minuten

Deel dit op sociale media

LinkedIn
Consent or pay GDPR compliance

Als gebruiker van online diensten is er niets zo vervelend als gedwongen worden om akkoord te gaan met het gebruik van jouw persoonsgegevens voor reclamedoeleinden om toegang te kunnen krijgen tot bepaalde diensten of bepaalde content.  

Hét stereotype voorbeeld daarvan (maar lang niet het enige, natuurlijk) is Facebook, dat eerst jarenlang zichzelf het recht toe-eigende om alle data over haar gebruikers te verzamelen, verwerken en verkopen aan de meestbiedende en dan, na jaren van discussies met de Europese Commissie, uiteindelijk in 2023 schoorvoetend toegaf en beloofde dat het vanaf dan toestemming zou vragen van haar gebruikers.  Iedereen herinnert zich nog de mails waarin die “toestemming” gevraagd werd voor Facebook en Instagram en waarin je als gebruiker de “keuze” kreeg tussen ofwel gratis de diensten van Meta blijven gebruiken mét toestemming om jouw data te gebruiken voor reclamedoeleinden of om een (zeer dure) betalende account aan te gaan (die niemand de facto aanging) om je data veilig en privé te houden als je Facebook of Instagram gebruikt. 

Precies over die praktijk, waarbij wij allen als consument gedwongen worden om een vaste keuze te maken tussen onze privacy of onze portemonnee, verscheen onlangs een advies van de European Data Protection Board.  Belangrijk genoeg voor iedereen in e-commerce, digital marketing en online dienstverlening om hier wat langer bij stil te staan, leek ons…

“Consent or Pay”

De hele discussie draait om de vraag of online platforms (of webshops, of elke online service provider) gebruikers mogen dwingen om hun persoonsgegevens te delen in ruil voor gratis diensten.  Met name Meta meende dat het voldoende was om haar gebruikers de keuze te geven tussen het behoud van een gratis account mét dataverzameling of hen 10 tot 13 euro per maand te laten betalen voor een account zonder dataverzameling voor marketingdoeleinden.

De meeste GDPR-specialisten zijn hier altijd erg duidelijk in geweest: wie data wil verwerken voor reclamedoeleinden heeft daarvoor in bijna alle gevallen de toestemming nodig van de betrokkene en die toestemming moet “vrij” gegeven worden.  Dat laatste betekent dat betrokkenen (de personen wiens gegevens verzameld worden) zonder druk en zonder nadeel, onafhankelijk moeten kunnen kiezen of ze wel of geen toestemming geven voor het gebruik van hun persoonsgegevens voor marketing of reclame.  De keuze tussen gratis diensten behouden of plots moeten betalen is helemaal geen “vrije” keuze en de toestemming die Meta zo bekomt, is dan ook geen geldige toestemming…

Voorstanders van “Consent or Pay” betogen dat gebruikers meer controle moeten hebben over hun data en dat ze de mogelijkheid moeten hebben om te kiezen om advertenties te zien of te betalen voor een advertentievrije ervaring. Tegenstanders wijzen erop dat “Consent or Pay”-modellen gebruikers kunnen dwingen te betalen voor diensten die voordien gratis waren, en dat ze de toegang tot online platforms kunnen beperken voor mensen met een laag inkomen.

De controverse over “consent or pay” woedt al lang en bleef ook na de Meta-beslissing aanhouden.  In die mate zelfs dat de Europese overkoepelende GDPR-waakhond EDPB het nuttig vond om er in april 2024 een volledig advies aan te wijden.  Je leest er meer over hieronder.

Het advies van de EDPB

In haar “Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms” van 17 april 2024 is de EDPB nu erg duidelijk:  “Consent or Pay”-modellen zijn in de overgrote meerderheid van de gevallen niet in overeenstemming met GDPR. De EDPB stelt dat dergelijke modellen leiden tot gedwongen toestemming, omdat gebruikers het gevoel hebben dat ze geen andere keuze hebben dan hun toestemming te geven of te betalen.

De EDPB erkent dat online platforms een verdienmodel nodig hebben, maar benadrukt dat dit niet ten koste mag gaan van de privacyrechten van gebruikers. De EDPB suggereert alternatieve modellen, zoals het gebruik van geanonimiseerde gegevens of het aanbieden van gepersonaliseerde advertenties op basis van niet-gevoelige gegevens, wat de facto neerkomt op contextual advertising zoals we die kennen uit het tijdperk vóór social media en vóór de doorbraak van grootschalige cookie based data collectie.

Praktische gevolgen

Het advies van de EDPB heeft vanzelfsprekend verstrekkende gevolgen voor de online wereld. Bedrijven die “Consent or Pay”-modellen gebruiken, zullen immers hun werkwijze moeten herzien als ze in de toekomst klachten en boetes willen vermijden. Met name contentaanbieders, zoals kranten en audiovisuele media, hebben de neiging om hun bezoekers te verplichten om zich te registreren, al dan niet betalend.  Gelukkig zien we dit niet in Belgische media, maar in het buitenland zijn dit gangbare praktijken. 

Nu het steeds duidelijker wordt dat die verplichting ingaat tegen GDPR, zullen zij op een andere manier moeten proberen de noodzakelijke opt-ins van hun publiek te krijgen en dat zal voor sommigen een aanzienlijke uitdaging stellen.  Persoonlijk hameren wij bij Sirius Legal al jarenlang op het belang van trust, van vertrouwen, als basis van elke online relatie met je audience: als bezoekers aan jouw website en jouw kanalen vertrouwen hebben in je brand en je er een relatie mee kan opbouwen, zijn ze vanzelf bereid om (soms gradueel) toestemming(en) te geven voor het gebruik van hun data. Maar dat vertrouwen moet je verdienen, natuurlijk, en dat vergt heel wat meer inspanning dan de korte termijn quick win van een afgedwongen opt-in …

Hoe vraag je trouwens correct om toestemming?

Als je aan de slag gaat met het inbouwen van geldige consents in de verschillende contactmomenten die je hebt met je doelpubliek, moet je overigens rekening houden met enkele voorwaarden, die volgen uit een hele stapel beslissingen van het Europees Hof van Justitie. In het arrest Costeja González (C-392/17) heeft het HvJEU bijvoorbeeld geoordeeld dat een vooraf aangevinkt vakje op een online formulier geen geldige toestemming vormt. In het arrest Fashion ID (C-92/19) heeft het HvJEU geoordeeld dat het gebruik van “cookie walls”, waarbij gebruikers gedwongen worden om cookies te accepteren om toegang te krijgen tot een website, in strijd is met GDPR.

 

Toestemming onder GDPR is daardoor slechts rechtsgeldig als aan de volgende voorwaarden voldaan is:

  1. Toestemming moet, zoals we hogerop al zegden, “vrij” of “vrijwillig” worden gegeven. Dit betekent dat de betrokkene geen druk mag ondervinden om zijn toestemming te geven. De betrokkene moet een reële keuze hebben om al dan niet toestemming te geven, en hij mag geen nadelige gevolgen ondervinden indien hij weigert toestemming te geven.

  2. Toestemming moet ook “geïnformeerd” worden gegeven. Dit betekent dat de betrokkene voldoende informatie moet hebben over de verwerking van zijn persoonsgegevens, met inbegrip van de identiteit en contactgegevens van de verwerkingsverantwoordelijke, de doeleinden van de verwerking, de categorieën van persoonsgegevens die worden verwerkt, de ontvangers van de persoonsgegevens, de rechten van de betrokkene met betrekking tot zijn persoonsgegevens, zijn of haar recht om de toestemming in te trekken op elk ogenblik.

  3. Toestemming moet daarenboven “specifiek” zijn. Dat betekent dat de toestemming moet gericht zijn op een bepaalde verwerking van persoonsgegevens. De betrokkene mag niet om algemene toestemming worden gevraagd voor alle mogelijke verwerkingen van zijn persoonsgegevens.

  4. Toestemming moet ook duidelijk en ondubbelzinnig zijn en als bedrijf moet jij kunnen bewijzen dat iemand effectief toestemming heeft gegeven en heeft willen geven.

  5. Om die reden moet toestemming ook expliciet zijn en mag ze niet vermoed worden of stilzwijgend gegeven worden, bijvoorbeeld door het gebruik van vooraf aangevinkte keuzevakjes of door ‘continued browsing consent” (“door onze website verder te bezoeken, gaat u ermee akkoord dat…”).

De analogie met guest check-outs op webshops

Het EDPB-advies over “Consent or Pay” laat overigens toe om een waardevolle analogie te trekken naar een ander heikel punt op vlak van opt-ins online: de verplichting bij heel wat webshops om verplicht een account aan te maken alvorens een bestelling te kunnen plaatsen.

In de e-commerce sector heerst heel wat discussie over de vraag of klanten verplicht kunnen worden om een account aan te maken. Sommigen, waaronder wij hier bij Sirius Legal, gaan er van uit dat verplichte accounts niet kunnen omwille van de noodzaak om vrije toestemming te verkrijgen en om het naleven van basisprincipes uit de GDPR zoals dataminimalisatie en doelbinding te kunnen garanderen. Anderen beweren dat het verplichten van account aanmaak legitiem is om commerciële redenen (de noodzaak tot datacaptatie of omdat het “makkelijker zou zijn voor de klant”.

Het recente advies van de Europese Raad voor Gegevensbescherming (EDPB) over “Consent or Pay”-modellen biedt weliswaar geen rechtstreeks antwoord op de vraag of webshops ook verplicht zijn om een zogenaamde “guest check-out” te voorzien om mensen de keuze te geven om hun gegevens niet te bewaren op langere termijn, maar ze enkel te gebruiken voor een eenmalige aankoop. 

De redenering en de logica die de EDPB hanteert in haar “consent or pay” advies, zegt echter impliciet ook heel wat over de problematiek van de guest accounts.  Zo benadrukt het EDPB dat:

  1. Toestemming vrij moet worden gegeven. Dit betekent dat gebruikers geen druk mogen ondervinden om hun toestemming te geven.

  2. Er moet een evenwicht zijn tussen de belangen van de controller en de rechten van de betrokkenen. Controllers mogen hun legitieme belangen nastreven, maar dit mag niet ten koste gaan van de privacyrechten van gebruikers.

  3. Gebruikers moeten alternatieve keuzes hebben. Dit betekent dat gebruikers niet verplicht mogen worden om hun persoonsgegevens te verstrekken of toestemming te geven als ze dat niet willen.

Dit alles leidt naar alle waarschijnlijkheid tot het besluit dat consumenten niet gedwongen kunnen worden om akkoord te gaan met het aanmaken van een gebruikersaccount waarin hun gegevens op langere termijn bewaard worden, ook als ze slechts éénmalig een aankoop willen doen bij een bepaalde webshop.

Vragen over GDPR of over e-commerce?

Heb je vragen over GDPR of e-commerce? Wij helpen je graag verder. Boek hiernaast je gratis intake-gesprek of stuur een mailtje naar bart@siriuslegal.be.

Maak een vrijblijvende afspraak

Naar de agenda van Bart
Relevante tags Privacy en gegevensbescherming GDPR compliance Digitaal ondernemen E-commerce
Sirius shop

Interessant voor jou in onze webshop

Website Certifier
1250 excl. btw
  • Overlegmoment via videocall
  • Overeenkomsten en advies op maat
  • Concreet adviesdocument

Niet zeker of jouw website/webshop voldoet aan alle juridische verplichtingen? Kies voor deze pragmatische audit en je kan op twee oren slapen!

meer
Privacy Policy

Privacy Policy
500 excl. btw
  • Privacy Policy
  • Adviesgesprek via videocall

Een privacy policy template is weggegooid geld. Ga steeds voor maatwerk en laat je privacy policy tot in de puntjes personaliseren!

meer
Algemene_Voorwaarden opmaken

Algemene Voorwaarden
500 excl. btw
  • Algemene Voorwaarden
  • Adviesgesprek via videocall

Sta als ondernemer sterk in je schoenen met algemene voorwaarden op maat, opgemaakt in jouw voordeel.

meer