Over Jiahui

Jiahui Plomp is sinds 2024 in dienst getreden als advocaat bij La Gro en is werkzaam binnen de sectie Privacyrecht.
Jiahui is gespecialiseerd in het Privacyrecht en IT-recht. Jiahui adviseert bedrijven, ondernemingen, overheden en financiële instellingen. Zij helpt met het implementeren en toepassen van de AVG en ondersteunt bij het opstellen van protocollen, beleid, overeenkomsten en andere documentatie en adviseert over vraagstukken rond data. Daarnaast staat zij organisaties bij in procedures.

Specialisaties

  • Privacy en bescherming van persoonsgegevens
  • IT-recht
  • Commerciële contracten

Achtergrond en nevenactiviteiten

  • 2023, Universiteit Leiden, Master Financieel Recht
  • 2021, Universiteit Leiden, Bachelor Rechtsgeleerdheid
  • Lid Vereniging Privacy Recht
  • Lid Jonge Privacy Advocaten Nederland
  • Adjunct-secretaris Stichting Bob Wessels Insolvency Law Collection

Jiahui heeft de Master Financieel Recht afgerond en tegelijkertijd het Pre-PhD Programma gevolgd. Voorafgaand hieraan heeft zij een bachelor Rechtsgeleerdheid en extra vakken van de bachelors International Business Law en Chinastudies behaald. Zij heeft ervaring opgedaan bij verschillende advocatenkantoren, de Autoriteit Financiële Markten en de wetenschap.

Contactgegevens
Mr. J.H. (Jiahui) Plomp

Advocaat

Data & Privacy

Bel Jiahui Plomp

Artikelen van Jiahui Plomp

Jan Baas 2
Jan Baas
Advocaat
De Dataverordening: een nieuwe norm voor dataovereenkomsten
Vanaf 12 september 2025 is de Europese Dataverordening van toepassing. Deze verordening creëert nieuwe rechten en verplichtingen die niet alleen zien op persoonsgegevens, maar op data in het algemeen. De praktische implicaties zijn groot. De Dataverordening raakt in het bijzonder partijen die verbonden (‘connected’ of Internet of Things (‘IoT’)) producten en clouddiensten aanbieden. Onderbelicht is gebleven dat de verordening ook regels bevat over contracteren over de uitwisseling van data. Deze regels zijn van toepassing op alle bedrijven. Aanbieders van connected devices en gerelateerde diensten Het eerste hoofdonderwerp in de Dataverordening betreft de regels over het delen en gebruiken van gebruiksgegevens van verbonden producten en daaraan gerelateerde diensten. Dit zijn producten en diensten zoals smartwatches en slimme speakers met een virtuele assistent als Alexa, maar ook met het internet verbonden landbouwmachines. Bedrijven moeten naar aanleiding van de Dataverordening aan nieuwe verplichtingen voldoen met betrekking tot verbonden producten en gerelateerde diensten. Ten eerste moeten bedrijven die verbonden producten produceren en gerelateerde diensten verlenen, de producten en diensten zodanig ontwerpen dat gebruikers hun gegevens gemakkelijk kunnen inzien (“data access by design”). Bovendien geeft de Dataverordening gebruikers een expliciet toegangsrecht tot gebruiksgegevens. Dit toegangsrecht houdt in dat gebruikers van verbonden producten en gerelateerde diensten eenvoudig inzage krijgen in hun gebruiksgegevens wanneer de data access by design niet geregeld is. Daarnaast moeten ondernemingen het ook mogelijk maken dat gebruikers hun gebruiksgegevens eenvoudig met een andere partij kunnen delen. Tot slot moeten kopers van verbonden producten en ontvangers van een gerelateerde dienst van de verkoper en respectievelijk de leverancier ook bepaalde informatie krijgen over hoe het verbonden product data verzamelt. De gegevenshouder (veelal de aanbieder van het verbonden product of een gerelateerde dienst) mag niet-persoonsgegevens voortaan alleen gebruiken als de overeenkomst met de gebruiker van het verbonden product of de gerelateerde dienst dit toestaat. De gegevenshouder mag de gegevens niet gebruiken om inzicht te krijgen in de economische situatie, de activa of de productiemethoden van de gebruiker of het gebruik van het product of de dienst door de gebruiker, op een manier die de commerciële positie van de gebruiker op de markten waarop deze actief is, kan ondermijnen. Gegevens mogen alleen met derden worden gedeeld als dat nodig is om de overeenkomst met de gebruiker uit te voeren. Vanaf 12 september 2026 moeten de verbonden producten die worden verkocht en gerelateerde diensten die worden verleend voldoen aan de ontwerpplicht (data access by design). De andere regels over verbonden producten en gerelateerde diensten, inclusief het expliciete toegangsrecht, zijn al vanaf 12 september 2025 van toepassing. Cloudaanbieders Het tweede hoofdonderwerp betreft de regels die worden opgelegd aan “dataverwerkingsdiensten”. Met “dataverwerkingsdiensten” wordt gedoeld op een breed scala aan clouddiensten. De considerans verwijst naar “infrastructure-as-a-service” (IaaS), “platform-as-a-service” (PaaS), “software-as-a-service” (SaaS), “storage-as-a-service” en “database-as-a-service”. Daarnaast vallen ook zogenaamde edgediensten onder het begrip. De verplichtingen die aan aanbieders van dataverwerkingsdiensten worden opgelegd zien op 1) het faciliteren van de overstap naar een andere aanbieder, 2) het faciliteren van interoperabiliteit tussen verschillende dataverwerkingsdiensten en 3) het voorkomen van internationale overheidstoegang. Vanaf 12 september 2025 moeten aanbieders van dataverwerkingsdiensten aan deze regels voldoen. Delen van gegevens met overheden Het derde hoofdonderwerp betreft regels over het verplicht delen van gegevens met overheidsinstanties, de Europese Centrale Bank, de Europese Commissie of een ander orgaan van de Europese Unie. Deze instanties kunnen op grond van een uitzonderlijke noodzaak gegevens opvragen. Dit kan alleen als de instanties in een noodsituatie niet goed en tijdig op een andere manier aan de gegevens kunnen komen. Ook kunnen de instanties niet-persoonsgegevens opvragen wanneer deze gegevens nodig zijn voor het uitoefenen van een specifieke taak in het algemeen belang, zoals voor het opstellen van officiële statistieken. Ook deze regels zijn vanaf 12 september 2025 van toepassing. Oneerlijke contractvoorwaarden voor ondernemingen onderling Het meest verrassende onderdeel van de Dataverordening is wellicht de bepaling over oneerlijke contractvoorwaarden. Deze is van toepassing op afspraken die ondernemingen onderling (‘B2B’) maken over het delen van data. Kortgezegd regelt het artikel dat contractvoorwaarden over data niet bindend zijn voor de andere partij wanneer de bedingen eenzijdig door de aanbieder zijn opgelegd én als “oneerlijk” worden bestempeld. Het artikel bevat een lijst met bepalingen die altijd oneerlijk zijn (een ‘zwarte lijst’) en een lijst met bepalingen die worden vermoed oneerlijk te zijn (een ‘grijze lijst’). Als een onderneming een beding uit de grijze lijst gebruikt, moet deze onderneming bewijzen dat het beding niet oneerlijk is. Opvallend aan het artikel is dat het is opgesteld als een zwarte en grijze lijst tussen ondernemingen onderling. Er bestaan al veel langer zwarte en grijze lijsten voor algemene voorwaarden die ondernemingen aan consumenten opleggen (zie bijvoorbeeld artikel 6:236 en 6:237 Burgerlijk Wetboek), waarbij de consument wordt beschermd tegen oneerlijke algemene voorwaarden. Nu is er dus een vergelijkbare lijst voor overeenkomsten tussen ondernemingen onderling. Deze bepaling geldt ongeacht de grootte van de betreffende ondernemingen. De verplichtingen uit dit artikel zien op alle contracten en bedingen over de toegang tot en het gebruik van data die worden gesloten tussen ondernemingen. Bij elke overeenkomst of bepaling over het delen van gegevens en het gebruik van gegevens zal rekening moeten worden gehouden met dit artikel. Het artikel zal veelal ook van toepassing zijn wanneer ondernemingen onderling contracten over persoonsgegevens sluiten, zoals een overeenkomst voor gezamenlijke verwerkingsverantwoordelijken onder artikel 26 van de Algemene Verordening Gegevensbescherming (‘AVG’). De toepassing van het artikel is van dwingend recht. Dit betekent dat ondernemingen niet kunnen afspreken dat het artikel niet op hun relatie van toepassing is en er niet van kunnen afwijken. Het is van belang dat ondernemingen zich van dit artikel bewust zijn wanneer zij overeenkomsten sluiten over (persoons)gegevens. Voor afnemers is het overigens belangrijk om altijd te proberen te onderhandelen over de aan hen opgelegde oneerlijke contractvoorwaarden. Als er niet is geprobeerd om over de oneerlijke voorwaarden te onderhandelen, kan een onderneming geen beroep doen op de bescherming van het artikel. De bepaling is van toepassing op alle overeenkomsten die worden gesloten na 12 september 2025. Op een aantal overeenkomsten die voor 13 september 2025 zijn gesloten is de bepaling van toepassing vanaf 12 september 2027. Dit geldt voor overeenkomsten die voor onbepaalde tijd zijn gesloten en voor overeenkomsten die aflopen na 11 januari 2034. Toezicht en handhaving van de Dataverordening De Dataverordening heeft directe werking in de Nederlandse rechtsorde, waardoor er geen of beperkte ruimte is voor afwijkende of aanvullende nationale regels. Voor de onderwerpen die nationaal moeten worden geregeld is een nationale Uitvoeringswet in behandeling. De verordening geeft lidstaten de vrijheid om zelf te bepalen welke toezichthouder bevoegd is om de bepalingen uit de verordening te handhaven. In Nederland moet de Tweede Kamer nog stemmen over het ontwerp van een Nederlandse Uitvoeringswet. In het huidige wetsontwerp van de Uitvoeringswet dataverordening worden de Autoriteit Persoonsgegevens (‘AP’) en de Autoriteit Consument en Markt (‘ACM’) als toezichthouders aangewezen. Conclusie De Dataverordening is vanaf 12 september 2025 van toepassing in Nederland. De Dataverordening schept nieuwe rechten en verplichtingen voor met name ondernemingen. In het bijzonder zullen alle ondernemingen bij het sluiten van overeenkomsten over (persoons)gegevens waakzaam moeten zijn voor de regels over oneerlijke contractuele bedingen. De AP en de ACM zullen waarschijnlijk worden aangewezen als toezichthouder voor de naleving van de verordening. De Dataverordening is nu nog niet van toepassing. Toch is het aan ondernemingen aan te raden om alvast maatregelen te nemen. Zo kan de bedrijfsvoering tijdig worden aangepast aan de verplichtingen die de verordening met zich meebrengt. Tot slot La Gro organiseert dit najaar op 14 november een kennisevenement over de Dataverordening. Er zullen daarnaast meer blogs over dit onderwerp volgen. Houd onze website in de gaten voor meer informatie. Dit blog is oorspronkelijk verschenen op Privacy Web. Heeft u vragen over de Dataverordening of wilt u zich (voor)aanmelden voor ons event op 14 november? Neem dan contact op met Jan Baas, Jolijn Gijsen of Jiahui Plomp of een van onze andere specialisten Data & Privacy.
Monika Beck
Monika Beck
Advocaat
Digital Markets Act - Wat betekent dit voor u?
Op 2 mei 2023 is de Digital Markets Act (DMA)[1] in werking getreden. Deze Europese verordening heeft tot doel de mededinging op de digitale markt eerlijk en goed functionerend te houden door regels te stellen voor zogenaamde ‘’Poortwachters’’. Poortwachters zijn grote digitale platforms die zogenaamde kernplatformdiensten aanbieden, zoals online zoekmachines of app stores, welke aanzienlijke macht op de markt bezitten. Om te voorkomen dat de poortwachters concurrenten dwarszitten met hun marktmacht, worden zij in de DMA aan verplichtingen en verboden gebonden. De DMA is onderdeel van het wetgevingspakket van de EU inzake digitale diensten en raakt aan verschillende mededingings- en privacyaspecten. Samen met de Digital Services Act (DSA) is het eerste ontwerp aangekondigd in 2021. De DMA moet samen met de DSA, AVG en de AI Act bijdragen aan eerlijke(re) mededinging op de digitale markten. In deze blog zetten wij voor u uiteen welke regels gelden voor de poortwachters, en hoe (kleinere) marktpartijen de DMA kunnen inzetten om oneerlijke concurrentie door poortwachters op digitale markten tegen te gaan. Wie zijn poortwachters? Poortwachters in de zin van de DMA zijn ondernemingen die kernplatformdiensten aanbieden en aan drie criteria voldoen: De onderneming heeft een omvang die van invloed is op de interne markt. De onderneming heeft controle over een belangrijke toegangspoort voor zakelijke gebruikers naar eindgebruikers. De onderneming heeft een bestendige en duurzame positie. De DMA schrijft tevens een lijst met kernplatformdiensten voor, waaronder onlinetussenhandelsdiensten, onlinezoekmachines, onlinesocialenetwerkdiensten en webbrowsers. Wordt aan bovenstaande criteria voldaan, dan kan de Europese Commissie de onderneming formeel aanwijzen als poortwachter, en dient de onderneming de verplichtingen uit de DMA na te leven. Momenteel zijn er door de Europese Commissie zeven ondernemingen met in totaal 24 diensten aangewezen als poortwachters in de zin van de DMA. Het betreft Alphabet (onder andere Google Search, YouTube), Amazon, Apple (onder andere Appstore), Booking (Booking.com), ByteDance (TikTok), Meta (onder andere Facebook, Whatsapp) en Microsoft (onder andere Windows, LinkedIn)[2]. Verplichtingen en verboden voor poortwachters De DMA bevat een uitgebreide lijst met praktijken van poortwachters die als oneerlijk worden gezien, en schrijft diverse verplichtingen aan de poortwachters voor. Poortwachters zijn verplicht om binnen zes maanden na het aanwijzingsbesluit aan deze verplichtingen te voldoen. Voor de initiële zes poortwachters is de zes maanden termijn op 6 maart 2024 verstreken. Booking is later als poortwachter aangewezen, en heeft nog tot 13 november 2024 om DMA-compliant te worden. Een aantal voorbeelden van verplichtingen voor poortwachters zijn: Het in staat stellen van derde partijen om in bepaalde specifieke situaties met de eigen diensten van de poortwachter samen te werken; Zakelijke gebruikers toegang verschaffen tot gegevens op het kennisplatform die deze gebruikers zelf genereren; Adverteerders en uitgevers die hun platform gebruiken, de nodige tools en informatie geven om advertenties zelf op het platform van de poortwachter te analyseren; Zakelijke gebruikers in staat stellen hun aanbod op het platform te promoten en buiten het platform contracten met klanten te sluiten. Voorbeelden van gedragingen waar poortwachters zich van dienen te onthouden zijn: Eigen diensten en producten op het platform hoger plaatsen of gunstiger behandelen dan vergelijkbare producten of diensten van derde partijen; Consumenten verbieden om buiten het platform om contact te leggen met bedrijven; Gebruikers verhinderen om automatische geïnstalleerde software of apps te verwijderen; Eindgebruikers buiten de kernplatformdienst van de poortwachters volgen met het oog op gerichte reclame, zonder dat effectieve toestemming is verleend. Verwerking van persoonsgegevens De DMA heeft tevens invloed op de wijze van verwerking van persoonsgegevens door poortwachters. De DMA omvat een aantal verplichtingen voor poortwachters die gericht zijn op het beschermen van de privacy van gebruikers. Deze verplichtingen zien erop toe dat poortwachters hun (dominante) positie niet misbruiken door gegevens van gebruikers verzameld in verschillende diensten te combineren voor commerciële doeleinden. Het betreft de volgende verplichtingen De poortwachter mag geen persoonsgegevens van eindgebruikers verwerken die gebruikmaken van diensten van derden via kernplatformdiensten met als doel online advertentiediensten aan te bieden; Persoonsgegevens van de kernplatformdienst mogen niet worden gecombineerd met persoonsgegevens van andere kernplatformdiensten, andere diensten van de poortwachter, of diensten van derden; Persoonsgegevens van de kernplatformdienst mogen niet worden gebruikt in andere afzonderlijke diensten van de poortwachter, inclusief andere kernplatformdiensten, en vice versa; Eindgebruikers mogen niet automatisch worden aangemeld bij andere diensten van de poortwachter met het doel persoonsgegevens te combineren. Onderzoeken van de Europese Commissie De Europese Commissie is bevoegd een onderzoek in te stellen naar de naleving van de DMA door poortwachters. Zij heeft inmiddels meerdere van dergelijke onderzoeken ingesteld. Bijvoorbeeld Apple is onderwerp van drie verschillende niet-nalevingsonderzoeken. In het kader van één van deze onderzoeken heeft de Europese Commissie op 24 juni 2024 voorlopige bevindingen gepubliceerd, waarin zij stelt dat de stuurregels van Apple gebruikt in de Apple App Store strijdig zijn met de DMA. Apple hanteert in de App Store momenteel drie typen zakelijke voorwaarden op grond waarvan het app-ontwikkelaars niet vrij staat om hun klanten vrij door te sturen naar alternatieve en/of goedkopere distributiekanalen. Ontwikkelaars kunnen bijvoorbeeld geen prijsinformatie verstrekken binnen de app of op een andere manier communiceren met hun klanten om aanbiedingen te promoten die beschikbaar zijn op alternatieve distributiekanalen. Dit vormt naar het voorlopige standpunt van de Europese Commissie een overtreding van de DMA. Apple heeft nu de mogelijkheid om zich te verweren, alvorens de Commissie definitief zal besluiten met betrekking tot eventuele niet-naleving en potentiële sancties.[3] Niet-naleving van de DMA Indien uit het onderzoek van de Europese Commissie volgt dat een poortwachter zich niet aan de regels uit de DMA houdt, kan de Europese Commissie daar straffen aan verbinden. De Europese Commissie kan geldboetes opleggen aan het platform, welke maximaal 10% van de totale wereldwijde jaaromzet van de onderneming bedragen of tot 20% in geval van herhaalde inbreuken. Ook kan de Europese Commissie besluiten een dwangsom op te leggen in de vorm van een periodieke financiële sanctie tot 5% van de gemiddelde dagelijkse omzet. Tot slot, kunnen bij systematische overtredingen van de DMA ook extra maatregelen worden opgelegd, welke zo ver kunnen gaan als een bevel tot verandering van gedraging of structuur van het betreffende platform. Handhaving In principe wordt naleving van de DMA gehandhaafd door de Europese Commissie. Wel bestaan er voor marktpartijen die last ondervinden van gedragingen van poortwachters verschillende tools aan de hand waarvan zij handhaving en/of naleving kunnen initiëren of stimuleren. Dit kan allereerst door te klagen bij nationale mededingingsautoriteiten, zoals de Autoriteit Consument en Markt (ACM) in Nederland. Deze mededingingsautoriteiten zijn aangewezen als nationale toezichthouders en beschikken over bevoegdheden om onderzoek te starten naar aanwijzing van ondernemingen als poortwachter, of naar gedragingen van reeds aangewezen poortwachters. Daarnaast kunnen concurrenten of andere benadeelden ook rechtstreeks naar de rechter stappen om naleving van de DMA af te dwingen, dan wel schadevergoeding te vorderen nadat schending van de DMA is vastgesteld. Dit kan onder andere in massaschadeclaims. Problemen ten aanzien van poortwachters? Ondervindt u belemmeringen door de dominante positie van poortwachters? Worden uw belangen als concurrent en/of consument geschaad door hun acties?  Wij denken graag met u mee over mogelijkheden om oneerlijke praktijken van poortwachters tegen te gaan, en eventuele schade vergoed te krijgen. Meer weten over dit onderwerp? Neem contact op met Monika Beck, Jiahui Plomp of één van onze andere specialisten. [1] Verordening (EU) 2022/1925 van het Europees Parlement en de Raad van 14 september 2022 over betwistbare en eerlijke markten in de digitale sector, en tot wijziging van de Richtlijnen (EU) 2019/1937 en (EU) 2020/1828 (digitalemarktenverordening) (PbEU 2022, L 265/1). [2] Voor een actueel overzicht van aangewezen gatekeepers wordt verwezen naar de website van de Europese Commissie ‘’Gatekeepers’’ [https://digital-markets-act.ec.europa.eu/gatekeepers_en]. [3] Lees meer op Europese Commissie, Persbericht: Commissie stuurt Apple haar voorlopige bevindingen en opent aanvullend onderzoek wegens niet-naleving van de digitalemarktenverordening door Apple, 24 juni 2024 [https://ec.europa.eu/commission/presscorner/detail/nl/ip_24_3433].
Jan Baas 2
Jan Baas
Advocaat
AP wil misleidende cookiebanners aanpakken
De Autoriteit Persoonsgegevens (AP) heeft guidance uitgebracht over de wijze waarop websites toestemming dienen te vragen als zij cookiebanners hanteren. Onder andere schrijft de AP voor dat websites de keuze om cookies te weigeren of te accepteren, op één laag moeten aanbieden. Sommige cookiebanners bevatten een knop om de opslag van cookies te accepteren en een knop waarmee de betrokkene toegang krijgt tot verdere opties, maar zonder de mogelijkheid om direct alle cookies te weigeren. Deze optie is pas te vinden in de tweede laag. Volgens de AP wordt hiermee niet voldaan aan de door haar geformuleerde eis dat het accepteren en weigeren van cookies even makkelijk moet zijn. Cookies en toestemming voor cookies Een cookie is een klein bestand dat bij het bezoeken van websites op apparaten van bezoekers kan worden geplaatst. Er bestaan verschillende soorten cookies met verschillende doeleinden. Functionele cookies zijn noodzakelijk voor het effectief functioneren van een dienst of webshop. Denk bijvoorbeeld aan het bijhouden van producten die je toegevoegd hebt aan het winkelmandje. Analytische cookies gebruikt een website bijvoorbeeld om het aantal bezoekers bij te houden. Bij tracking cookies wordt het internetgedrag van mensen gevolgd. Cookiewetgeving in Nederland is te vinden in artikel 11.7a van de Telecommunicatiewet. Dit artikel is gebaseerd op de e-Privacy Richtlijn (Richtlijn 2002/58/EG). Functionele en analytische cookies hebben over het algemeen beperkte invloed op de privacy. Deze cookies kunnen dan automatisch geplaatst worden bij bezoek aan een website, een bezoeker hoeft hiervoor geen toestemming te geven. In andere gevallen, zoals bij tracking cookies, is plaatsing slechts toegestaan indien voorafgaande toestemming is verkregen. Artikelen 4 lid 11, artikel 7 en overweging 32, 42 en 43 AVG (Verordening 2016/679 EU) bevatten vereisten waar toestemming van de betrokkene aan moet voldoen: Toestemming moet vrijelijk worden gegeven (artikel 4 lid 11 en overweging 42 AVG); Toestemming moet specifiek zijn (artikel 4 lid 11 AVG); Toestemming moet geïnformeerd zijn (artikel 4 lid 11 AVG); Toestemming moet een ondubbelzinnige wilsuiting zijn waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige handeling hem betreffende verwerking van persoonsgegevens aanvaardt. Dit houdt in dat de toestemming expliciet via een positieve handeling gegeven moet zijn. Het gebruikmaken van aangekruiste selectievakjes mag dus niet (artikel 4 lid 11 AVG); De verwerkingsverantwoordelijke moet toestemming kunnen aantonen (artikel 7 lid 1 AVG); Toestemming moet in duidelijke en eenvoudige taal gepresenteerd zijn zodat een duidelijk onderscheid gemaakt kan worden met een andere aangelegenheid (artikel 7 lid 2 AVG); Afzonderlijke toestemming moet kunnen worden gegeven voor verschillende persoonsgegevensverwerkingen (overweging 43 AVG, het vereiste van “granulariteit”); Toestemming moet te allen tijde kunnen worden ingetrokken; het intrekken van de toestemming moet even eenvoudig zijn als het geven ervan (artikel 7 lid 3 AVG). Gevolgen nieuwe guidance AP De nieuwe guidance zou betekenen dat een constructie zoals de Franse toezichthouder CNIL die in het verleden toepaste, en die ook nu nog door veel organisaties wordt gehanteerd, niet meer zou zijn toegestaan. In deze constructie wordt in de eerste laag gevraagd om toestemming (“OK, tout accepter”) met de mogelijkheid om door te klikken naar een tweede laag voor persoonlijke instellingen (“personaliser”). In de tweede laag is vervolgens de mogelijkheid te vinden om per soort cookies de instellingen te bepalen. Als het goed is, staan in deze tweede laag de cookies waarvoor toestemming moet worden gegeven “uit” en is een actieve handeling nodig om deze te activeren. CNIL had deze tweede laag vormgegeven als volgt:   In deze vormgeving kunnen op de tweede laag alle cookies worden geweigerd, of kan per cookie worden gekozen om het te accepteren of te weigeren. De pagina met cookie-instellingen kan ook later steeds worden bezocht om de keuze te kunnen aanpassen. Met deze constructie wordt in onze ogen voldaan aan alle eisen die de AVG stelt aan een rechtsgeldige toestemming, in het bijzonder het vereiste van granulariteit en de eis dat de instemming ook weer eenvoudig kan worden ingetrokken. Guidance van de AP De AP laat in de guidance echter weten dat het niet is toegestaan om in de cookiebanner toestemming te vragen, en pas in een tweede laag een optie met cookies weigeren/afwijzen/niet instemmen aan te bieden. Voortaan moet deze optie beschikbaar zijn op dezelfde laag als de laag waar toestemming voor wordt gevraagd. Cookie Banner Taskforce De European Data Protection Board (EDPB) heeft een Cookie Banner Taskforce opgezet. Uit hun rapport van 17 januari komt naar voren dat het overgrote deel van de Europese privacytoezichthouders van mening is dat er sprake is van een inbreuk op de e-Privacy Richtlijn wanneer een banner niet voorziet in opties om cookies te accepteren of te weigeren op dezelfde laag. Enkele toezichthouders vinden evenwel dat er geen sprake is van een inbreuk, wegens het ontbreken van een expliciete ‘weiger optie’ voor het plaatsen van cookies op grond van artikel 5 lid 3 van de e-Privacy Richtlijn. Wij komen de door de AP gestelde eis niet tegen in de AVG dan wel de Telecommunicatiewet. Wij vragen ons – met de minderheid van de privacytoezichthouders uit de EDPB – af waar deze eis op gebaseerd kan zijn. Intrekken vs. weigeren Volgens de AP volgt de verplichting uit de door haar geformuleerde regel dat het weigeren van toestemming even eenvoudig moet zijn als het accepteren ervan. In de AVG komt die regel echter niet voor in artikel 7 lid 3 AVG staat wel dat het intrekken van toestemming even eenvoudig moet zijn als het geven ervan, maar intrekken is iets anders dan weigeren. Vrije toestemming De volgende vraag die kan worden gesteld, is of het aanbieden van een weigerknop van cookies in de tweede laag afbreuk doet aan vrije toestemming. Doet het geven van een extra klik iets af aan het karakter van de vrije toestemming? De EDPB heeft op 17 april een opinie uitgebracht over geldige toestemming in de context van toestemmings- of betaalmodellen (ook wel bekend als ‘consent or pay’ modellen) die geïmplementeerd zijn door grote online platforms. Aanleiding hiervoor was een verzoek van de Nederlandse, Duitse en Noorse gegevensbeschermingsautoriteiten. In par. 67 van deze opinie stelt de EDPB dat verwerkingsverantwoordelijken de autonomie van betrokkenen niet mogen beperken door het moelijker te maken om toestemming te weigeren dan om toestemming te geven. Zoals hiervoor opgemerkt is dit echter geen vereiste dat volgt uit de AVG. Dat de gebruiker moet doorklikken om cookie-keuzes in te stellen maakt onzes inziens niet in algemene zin dat het geven van toestemming hiermede geen vrije keuze meer is.    Data protection by default We hebben ons vervolgens afgevraagd of de door de AP geformuleerde eis kan volgen uit artikel 25 lid 2 AVG (data protection by default). Wij menen dat dit niet zo is. Uit artikel 25 lid 2 AVG volgt dat de cookies die van toestemming afhankelijk zijn pas mogen worden geplaatst nadat toestemming is gegeven, niet dat een weigeringsknop op dezelfde laag moet worden geplaatst als de toestemmingsvraag zelf. Misleidende ontwerppatronen Op Europees niveau zijn er verschillende regelingen die misleidende ontwerppatronen (ook wel bekend als dark patterns) bespreken, waaronder de AVG, de Richtlijn oneerlijke handelspraktijken (Richtlijn 2005/29), de Digital Services Act (Verordening 2001/31), de Digital Markets Act (Richtlijn 2022/1925), de Data Act (Verordening 2023/2854)  en de Artificial Intelligence Act (COM (2021) 2016 final). De EDPB heeft Richtsnoeren uitgebracht over misleidende ontwerppatronen. EDPB Richtsnoeren Volgens de EDPB Richtsnoeren zijn misleidende ontwerppatronen interfaces op sociale mediaplatformen, websites of in cookiebanners die gebruikers ertoe brengen onbedoelde, vaak onwillige en/of mogelijk schadelijke beslissingen te nemen met betrekking tot persoonlijke data en die in het belang zijn van het sociale media platform. Misleidende ontwerppatronen zijn onder te verdelen in verschillende categorieën. Eén van de vormen waarin dit kan plaatsvinden is het zogenaamde ‘hinderen (obstructing)’. Hiervan is sprake wanneer gebruikers worden belemmerd of geblokkeerd in hun proces om informatie te krijgen of hun gegevens te beheren door de actie moeilijk of onmogelijk te maken. Gebruikers willen dan een bepaalde handeling uitvoeren die betrekking heeft op hun gegevensbescherming, en dat gebruikerstraject wordt op een zodanige manier gepresenteerd dat het meer stappen vergt dan nodig is voor de activering van opties die inbreuk hebben op data van de betreffende persoon. Dit heeft dan als gevolg dat gebruikers waarschijnlijk ontmoedigd worden om een dergelijke controle te activeren. In de Richtsnoeren van de EDPB wordt een voorbeeld aangehaald van gebruikers die tijdens het aanmeldingsproces op de knop “overslaan” klikken (om te voorkomen dat ze bepaalde data te zien krijgen) krijgen een pop-upvenster te zien met de vraag “Weet u het zeker?” Door hun beslissing in twijfel te trekken, zet de aanbieder van sociale media gebruikers aan om hun beslissing te herzien en bepaalde gegevens openbaar te maken, zoals geslacht, lijst met contactpersoon of foto. Gebruikers die ervoor kiezen om de gegevens direct in te voeren, zien daarentegen geen bericht met het verzoek om hun keuze te heroverwegen. In het begin van dit jaar had de AP Uber Technologies Inc. en Uber B.V. (Uber) een boete opgelegd van 10 miljoen euro.  Uber handelde in strijd met artikel 12 tweede lid AVG door het voor chauffeurs onnodig moeilijk te maken om een verzoek in te dienen voor het bekijken of ontvangen van hun gegevens. In de app was er een digitaal formulier voor chauffeurs beschikbaar om inzage aan te vragen, maar dit formulier was moeilijk te vinden omdat het in verschillende menu’s was verborgen en op een logischere locatie had kunnen worden geplaatst en er een groot aantal stappen (in totaal 7) doorlopen moest worden om bij het formulier te komen. Ofschoon de AP niet naar dit leerstuk verwijst zou dit gezien kunnen worden als een  voorbeeld van een misleidend ontwerppatroon. Wij menen dat het aanbieden van een weigerknop van cookies in de tweede laag in een heldere structuur, waarbij de weigerknop reeds met één extra stap wordt gevonden, niet gelijk kan worden gesteld met wat als een misleidend ontwerppatroon wordt gezien. Conclusie In onze analyse wordt bij het plaatsen van de weigerknop in een tweede laag, geen inbreuk geconstateerd op de rechtstreeks van toepassing zijnde AVG bepalingen. Het is onwaarschijnlijk dat deze praktijk via de omweg van de Richtsnoeren over misleidende ontwerppatronen opeens wél verboden zou zijn. Een en ander uiteraard afhankelijk van de verdere vormgeving van de toestemmingsteksten. We nemen daarbij in aanmerking dat de eisen waaraan cookie-toestemming, en toestemming onder de AVG in het algemeen, in de regelgeving zeer gedetailleerd is uitgewerkt en aangenomen mag worden dat een verwerking die aan deze gedetailleerde eisen voldoet, rechtmatig is. De nieuwe eis die de AP stelt en die afwijkt van de interpretatie van de betreffende wetgeving zoals die al jaren wordt gehanteerd, vereist een wetswijziging en kan niet door de toezichthouders worden ingevoerd op basis van verwijzing naar eigen Richtsnoeren en algemene rechtsbeginselen.[1] De nieuw geformuleerde eis uit de guidance van de AP, inhoudende dat accepteren even makkelijk moet zijn als afwijzen, kan volgens ons niet gezien worden als een algemene regel die volgt uit wetgeving zoals de e-Privacy Richtlijn, de Telecommunicatiewet, de DSA of de AVG. Onder omstandigheden kan wellicht worden betoogd dat het aanbieden van cookiebanners die een knop bevat om de opslag van cookies te accepteren en een knop bevat waarmee de betrokkene toegang krijgt tot verdere opties, maar zonder de mogelijkheid om direct alle cookies te weigeren, kan worden gekwalificeerd als misleidend ontwerppatroon. Dit hangt af van de vormgeving van het geheel van de website en kan niet gezien worden als een algemene regel die uit de wetgeving volgt. Wij denken gezien het voorgaande dat een boetebesluit, gebaseerd op de algemene regel dat de mogelijkheid om cookies te weigeren moet worden aangeboden op dezelfde laag als de mogelijkheid om de cookies te accepteren, in rechte geen stand behoort te houden. Ondertussen zal een voorzichtige verwerkingsverantwoordelijke rekening moeten houden met dit nieuwe standpunt van de AP en moeten overwegen om haar website hierop aan te passen. Dit blog is oorspronkelijk verschenen op Privacy Web. [1]  Vgl. Conseil d’Etat 27 maart 2020, 399922, ECLI:FR:CECHR:2020:399922.20200327, JBP 2020/97, met noot  J.A.N. Baas.