Management

Juridische zaken

Nieuwe Cookiewet snel in werking

7 juni 2012

Op 8 mei jl. ging de Eerste Kamer akkoord met de zogenoemde Cookiewet. Deze wet is gebaseerd op nieuwe Europese regelgeving die onder meer de privacyrechten van internetgebruikers moet versterken. De nieuwe Cookiewet treedt vrij snel in werking, waarschijnlijk al per 1 juli 2012.

Wat zijn cookies eigenlijk? Cookies zijn kleine tekstbestanden met informatie die een webserver naar een browser van de bezoeker van de website stuurt met de bedoeling dat deze informatie bij een volgend bezoek weer naar de webserver wordt teruggestuurd. De cookies worden opgeslagen op de pc van de bezoeker.

Er bestaan verschillende soorten cookies. Zo kunnen zij bijvoorbeeld worden gebruikt voor het onthouden van de gebruikersnaam, gekozen taalinstellingen of geplaatste bestellingen. Denk bij dat laatste aan het winkelmandje in het online bestelproces. Dat soort cookies worden ook wel aangeduid als functionele cookies.

Cookies kunnen echter ook worden gebruikt om informatie te verzamelen over de voorkeuren van websitebezoekers door bezoekers te volgen, de zogenaamde tracking cookies. Dit kan gebeuren door cookies die door de websitehouder worden gebruikt (first party cookies). Er kan echter ook gebruik worden gemaakt van cookies van andere partijen dan de websitehouder (third party cookies). Iedereen kent wel de Like-button van Facebook die op veel websites staat.

Het volgen van bezoekers beperkt zich overigens niet altijd tot het volgen van het bezoekgedrag van een gebruiker op een bepaalde website. Soms worden bezoekers zelfs over diverse websites gevolgd waarbij hun bezoekgedrag wordt vastgelegd. Denk daarbij bijvoorbeeld aan het geval dat je een website van een bepaalde vakantieaanbieder hebt bezocht. In de dagen daarna word je vervolgens op diverse websites geconfronteerd met advertenties van de betreffende aanbieder, maar ook met advertenties van andere vakantieaanbieders.

Dat laatste wordt door internetters nog wel eens als online stalking ervaren. Je kunt immers dagen of zelfs maanden ‘achtervolgd’ worden met advertenties van een product of dienst op basis van een enkel websitebezoek. Dat kan ook tot rare situaties leiden als een ander achter jouw pc heeft gezeten. Kreeg je voorheen met name reclame voor nieuwe auto’s of biermerken te zien, spitst de reclame zich plots toe op damesschoenen of zelfs maandverband. Dat is een van de redenen waarom er op Europees niveau nieuwe, strengere regels voor het gebruik van cookies zijn opgesteld.

Cookieregeling

Hoe luidt de huidige cookieregeling? Op basis van de huidige regels is het toegestaan om cookies te gebruiken als er aan de volgende voorwaarden is voldaan:

  • De bezoeker van de website wordt vooraf voldoende geïnformeerd over het gebruik van cookies. Aan deze voorwaarden wordt in de praktijk overigens vaak niet voldaan.
  • De bezoeker van de website wordt de mogelijkheid geboden om bezwaar te maken tegen het gebruik van cookies (de zogenaamde opt-out). Onder de huidige regeling kan de bezoeker deze opt-out benutten door zijn browserinstellingen aan te passen. In het verleden werden op die manier alle cookies geweigerd, ook de cookies die nodig zijn voor de technische werking van de website. Inmiddels bieden de grote browsers overigens ook de optie om alleen third party cookies te weigeren. De optie om first party cookies die niet-functioneel zijn te weigeren, ontbreekt echter nog.

Er geldt echter een uitzondering voor functionele cookies. Het gebruik van functionele cookies hoeft niet aan voornoemde voorwaarden te voldoen.

Wat gaat er veranderen? Onder de nieuwe Cookiewet is het gebruik van cookies alleen nog toegestaan als er vooraf toestemming is gegeven door de websitebezoeker (de zogenaamde opt-in). De bezoeker moet echter eerst duidelijk en volledig zijn geïnformeerd over het gebruik van de cookies, onder meer over de manier waarop de verzamelde informatie zal worden gebruikt.

Ook hier geldt een uitzondering voor functionele cookies. De informatieverplichting en opt-in geldt onder de nieuwe Cookiewet niet voor functionele cookies. Van functionele cookies is sprake als:

  • de cookie nodig is voor de uitvoering van de communicatie (bijvoorbeeld het inloggen bij een bank);
  • de cookie strikt noodzakelijk is voor de uitvoering van een dienst waar de bezoeker expliciet om heeft gevraagd (bijvoorbeeld het winkelwagentje bij onlinebestellingen). Het vervelende is overigens dat toestemming op ieder moment ingetrokken kan worden.

Toestemming

In de praktijk zal er straks dus vooraf geïnformeerd moeten worden en toestemming moeten worden gevraagd voor het gebruik van cookies die niet-functioneel zijn. Let wel, voor webanalysediensten – zoals het veelgebruikte Google Analytics – zal ook vooraf toestemming moeten worden gevraagd. Dergelijke diensten maken namelijk gebruik van cookies om het bezoekgedrag bij te houden en vallen niet onder het begrip ‘functionele cookies’. Hetzelfde geldt bijvoorbeeld voor diensten die integratie van sociale media leveren en daarbij gebruik maken van cookies, zoals Addthis.com. Ook voor dit soort diensten is dus toestemming vereist. Verder is de nieuwe Cookiewet van toepassing op het volgen van internetters aan de hand van technische kenmerken van hun apparatuur (het zogenaamde ‘device fingerprinting’).

Er is inmiddels veel discussie geweest over de manier waarop toestemming moet worden gegeven. Voor het gebruikersgemak is het immers niet praktisch om bij ieder bezoek van een website waarbij een niet-functionele cookie wordt geplaatst, de bezoeker te confronteren met een pop-upscherm waarin om toestemming wordt gevraagd voordat de website wordt geopend. Toestemming door middel van de browserinstelling van de bezoeker zou de meest praktische en werkbare oplossing zijn.

De gezamenlijke Europese privacytoezichthouders hebben echter al laten weten dat de thans beschikbare browsers niet geschikt zijn om toestemming te verlenen in de zin van de nieuwe wetgeving. Op den duur zullen er overigens wel geschikte browsers op de markt komen, maar daar hebben websitehouders nu natuurlijk niets aan.

OPTA

De verwachting is dat de toezichthouder, in dit geval de OPTA, vanaf de inwerkingtreding van de Cookiewet in ieder geval zal handhaven op naleving van de informatieplicht. Wat betreft het toestemmingsvereiste, zit er voor websitehouders vooralsnog niets anders op dan bijvoorbeeld met pop-ups te werken als er gebruik wordt gemaakt van cookies die niet-functioneel zijn. Een dergelijke pop-up zal informatie moeten geven over het gebruik van cookies en zal een checkbox moeten bevatten waarmee de gebruiker toestemming kan geven voor het gebruik van cookies. Een alternatief is het inrichten van een soort ‘voorportaal’, een webpagina die de noodzakelijke informatie geeft en aan de gebruiker de keuze laat om de website met of juist zonder gebruikmaking van tracking cookies te openen.

Toezicht op naleving

De OPTA houdt toezicht op de naleving van de Cookiewet. Er is echter nog veel te doen over het toestemmingsvereiste en de manier waarop daar invulling aan kan worden gegeven. Het werken met pop-ups is immers verre van praktisch.

Volgens de website van de OPTA onderzoekt zij momenteel hoe aan het toestemmingsvereiste en de handhaving ervan praktisch invulling kan worden gegeven. De OPTA geeft op dit moment dus geen praktische handvatten, terwijl de nieuwe Cookiewet al zeer snel in werking treedt. Enkele buitenlandse toezichthouders hebben wel al duidelijke richtlijnen opgesteld en gecommuniceerd over de manier van handhaving en hun visie op het toestemmingsvereiste. Het valt te betreuren dat de OPTA hier nog geen enkel standpunt over heeft ingenomen, juist omdat de OPTA onlangs heeft aangekondigd dat zij prioriteit zal geven aan handhaving van de nieuwe wet. Dat leidt tot onzekerheid, temeer omdat de OPTA bevoegd is om behoorlijke boetes op te leggen.

Om het allemaal nog lastiger te maken, kan de websitehouder die gebruik maakt van cookies ook nog te maken krijgen met de Wet Bescherming Persoonsgegevens (WBP). De nieuwe Cookiewet gaat er vanaf 1 januari 2013 namelijk vanuit dat met behulp van tracking cookies persoonsgegevens worden verwerkt. Dat houdt in dat de WBP in dat geval van toepassing is, tenzij de gebruiker van tracking cookies kan aantonen dat er geen persoonsgegevens worden verwerkt. En dat is op basis van de huidige opinie van de Europese toezichthouders nogal lastig. Zij gaan er namelijk nogal snel vanuit dat er sprake is van persoonsgegevens.

Dat heeft als consequentie dat in het geval van het verwerken van onlinedata door middel van tracking cookies de WBP van toepassing kan zijn. In veel gevallen kan de verwerking dan ook maar beter gemeld worden bij het College Bescherming Persoonsgegevens onder het motto: Better safe than sorry.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!