Analyse van de huidige regelgevende kaders toont aan dat er geen universeel vastgestelde geldigheidsduur is voor de toestemming van gebruikers voor cookies. De Algemene Verordening Gegevensbescherming (GDPR) zwijgt over een expliciete termijn en vereist in plaats daarvan dat toestemming “vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig” is. Dit gebrek aan definitie heeft nationale gegevensbeschermingsautoriteiten (DPA's) ertoe aangezet om hun eigen praktische richtlijnen voor periodieke vernieuwing uit te geven.
- De ePrivacy-richtlijn bepaalt dat toestemming regelmatig moet worden herzien, waarbij veel interpretaties uitkomen op een maximale periode van 12 maanden voor de geldigheid voordat vernieuwing nodig is.
- De Ierse Gegevensbeschermingscommissie (DPC) beveelt aan dat toestemming voor cookies elke zes maanden opnieuw wordt verkregen.
- De Franse CNIL stelt ook een maximale geldigheid van zes maanden verplicht voor toestemming voordat vernieuwing vereist is.
Empirische studies tonen uiteenlopende praktijken onder organisaties aan:
- Uit een onderzoek uit 2022 door Degeling et al. bleek dat minder dan 20% van de topwebsites periodieke mechanismen voor de vernieuwing van toestemming implementeert.
- Frequente vernieuwing (elke 6–12 maanden) wordt geassocieerd met meer transparantie en vertrouwen van de gebruiker, maar kan de gebruikerservaring negatief beïnvloeden door herhaalde meldingen.
Kernpunten:
- Geen eenduidige norm: Vernieuwingsintervallen zijn afhankelijk van de richtlijnen van de lokale DPA; het bereik is doorgaans 6–12 maanden.
- Kortere vernieuwingsperioden (zes maanden) krijgen steeds meer de voorkeur van toezichthouders om doorlopende controle en transparantie voor de gebruiker te garanderen.
- Best practice: Organisaties moeten de richtlijnen van hun relevante DPA monitoren en het kortst aanbevolen interval toepassen om het compliancerisico te minimaliseren.
Samenvattend, hoewel de GDPR geen specifieke geldigheidsduur voor toestemming voorschrijft, benadrukken gezaghebbende bronnen regelmatige vernieuwing, met een groeiende consensus voor een maximale periode van zes maanden in lijn met de aanbevelingen van toonaangevende DPA's. Dit zorgt ervoor dat de toestemming betekenisvol blijft en de huidige voorkeuren van de gebruiker weerspiegelt.
