Wat gebeurt er als je geen cookiebanner hebt?

De afwezigheid van een cookiebanner op websites is in directe tegenspraak met verschillende internationale regelgevingen voor gegevensprivacy, waaronder de General Data Protection Regulation (GDPR) in de Europese Unie, de Lei Geral de Proteção de Dados (LGPD) in Brazilië, en de Personal Information Protection and Electronic Documents Act (PIPEDA) in Canada. Deze raamwerken vereisen expliciete toestemming van de gebruiker voordat persoonlijke gegevens via cookies worden verzameld.

Niet-naleving van deze wetten leidt tot duidelijke juridische en financiële gevolgen. Volgens artikel 7 van de GDPR moet “de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens” (GDPR, Art. 7). Zonder een cookiebanner kunnen websites dergelijke toestemming niet bewijzen, waardoor ze blootstaan aan handhavingsmaatregelen. Evenzo stelt de LGPD dat “de verwerking van persoonsgegevens alleen mag plaatsvinden met de vrije, geïnformeerde en ondubbelzinnige toestemming van de betrokkene”. PIPEDA vereist ook “betekenisvolle toestemming” voor alle verzameling en gebruik van persoonlijke informatie (PIPEDA, Principe 3).

De belangrijkste risico's en waargenomen gevolgen zijn onder andere:

• Financiële boetes: Er is gedocumenteerd bewijs van aanzienlijke boetes voor overtredingen van de cookiewetgeving. In januari 2023 legde de Franse gegevensbeschermingsautoriteit CNIL een boete van €5 miljoen op aan TikTok omdat het voor gebruikers moeilijk werd gemaakt om cookies te weigeren. De European Data Protection Board (EDPB) merkt op dat “het niet implementeren van geschikte mechanismen voor het verkrijgen van geldige toestemming kan leiden tot administratieve boetes tot €20 miljoen, of tot 4% van de totale wereldwijde jaaromzet” (EDPB-richtlijnen 05/2020).
• Reputatieschade: Organisaties die privacywetten overtreden, worden geconfronteerd met negatieve publiciteit en verlies van vertrouwen van gebruikers. “Openbare handhavingsacties en media-aandacht vergroten het reputatierisico van niet-naleving van de privacywetgeving” (International Data Privacy Law, 2021; Oxford Academic).
• Operationele verstoring: Onderzoeken door regelgevende instanties kunnen leiden tot tijdelijke blokkering van webdiensten en verplichte wijzigingen in de website-infrastructuur, wat bedrijfsonderbrekingen veroorzaakt.

Samenvatting van bevindingen uit regelgevende richtlijnen en jurisprudentie:

• Cookiebanners zijn essentieel om naleving aan te tonen.
• Afwezigheid of ontoereikendheid van mechanismen voor cookietoestemming resulteert in zowel directe boetes als indirecte kosten (juridische kosten, herstelkosten).
• Wereldwijde gegevensbeschermingsautoriteiten voeren de handhaving op, vooral waar de rechten van gebruikers om cookies te weigeren niet worden gerespecteerd.

Concluderend, het ontbreken van een cookiebanner vormt een duidelijke schending van belangrijke privacywetten, met goed gedocumenteerde financiële, reputatie- en operationele gevolgen voor organisaties. Niet-naleving wordt consequent beantwoord met handhaving door regelgevende instanties en aanzienlijke boetes.