De nieuw(st)e cookiewet uitgelegd

cookie wet

“Willen iedereen die geen cookies plaatst zijn hand opsteken?” Deze vraag stelde ik onlangs aan een groep online retailers op een bijeenkomst. Hoeveel handen in de lucht gingen? Géén uiteraard. Een weinig verrassende uitkomst, want cookies zitten in de gereedschapskist van elke online retailer. Voor het (gebruikersvriendelijk) laten functioneren van de website, en natuurlijk ook voor andere doeleinden zoals analyse, tracking en marketing. Maar wie weet precies hoe het zit met regels? Moet je altijd om toestemming vragen, welke informatie moet worden verstrekt, en zijn er uitzonderingen? Tijd voor een overzicht.

Hoe is de “cookiewet” tot stand gekomen?

In 2012 werden de zogenaamde cookieregels in de Nederlandse Telecommunicatiewet opgenomen. Nederland was hiertoe verplicht op basis van art. 5 lid 3 Richtlijn 2002/58/EU, in de volksmond vaak de Cookierichtlijn genoemd. Helaas blinkt de tekst van deze richtlijn niet uit in duidelijkheid. Hierdoor bestaan er binnen de EU behoorlijke verschillen in hoe de richtlijn in de nationale wetgeving is geїmplementeerd. Vervelender voor de Nederlandse online retailer is echter, dat sinds de invoering van de cookieregels, veel onduidelijkheid heeft bestaan met betrekking tot de praktische uitwerking ervan.

Die onduidelijkheid is met name te wijten geweest aan de wetgever zelf. Sinds de invoering van de cookieregels op 1 juni 2012 in de Telecommunicatiewet (art. 11.7a), zijn ze maar liefst twee keer gewijzigd in minder dan drie jaar tijd. Telkens bedoeld als vereenvoudiging, door regels die in de praktijk overbodig zijn, te schrappen.

De laatste wijziging dateert van 11 maart van dit jaar en in de nabije toekomst zijn geen verdere aanpassingen gepland.  Laten we daarom eens een blik werpen op de huidige stand van zaken, en kijken wat dit voor de gemiddelde online retailer aan verplichtingen met zich meebrengt.

Toestemming

Iedereen die cookies plaatst moet hiervoor toestemming van de gebruiker hebben. Aan deze toestemming zijn een aantal voorwaarden verbonden. Zo moet de toestemming worden verkregen vóórdat er sprake is van het plaatsen van cookies. Simpelweg cookies plaatsen op het moment dat de pop-up of toestemmingsbanner in beeld komt, is dus niet toegestaan.

Verder moet de toestemming “vrij, specifiek en op informatie berustend zijn”. Een enkele verwijzing naar het privacybeleid is onvoldoende. Uw vraag om toestemming moet worden begeleid door informatie waaruit de doeleinden voor het plaatsen van de cookies blijkt (bv. analytics, tracking etc.).

Online retailers zijn vrij om zelf te beslissen hoe de toestemming wordt verkregen. Pop-ups, floating boxes en banners waarin om expliciete toestemming wordt gevraagd, het is allemaal mogelijk. Toestemming kan ook worden afgeleid uit een handeling van de bezoeker (impliciete toestemming), op voorwaarde dat aan de gebruiker duidelijk is uitgelegd dat een bepaalde handeling (bv. verder surfen op de website) leidt tot het geven van toestemming.

Informatie

Naast het verkrijgen van toestemming, is de plicht om gebruikers te informeren over de details van de cookies die worden geplaatst, de tweede belangrijke pijler onder de cookiewetgeving. Dit is een meer uitgebreide informatieplicht dan bij de vraag om toestemming. Er moet namelijk “duidelijke en volledige informatie overeenkomstig de Wet bescherming persoonsgegevens” worden verstrekt, in ieder geval over de doeleinden waarvoor de informatie uit de cookies wordt gebruikt. Dat betekent feitelijk dat per cookie (of per categorie van cookies) moet worden uitgelegd waarvoor het cookie wordt gebruikt, bijvoorbeeld voor analyse van het gebruikersgedrag op de website, profielopbouw, tracking of affiliate marketing. Vloeit de informatie uit de geplaatste cookies ook naar derden, denk aan Google Analytics en de vaak voorkomende Facebook en Twitter social media-plugins, dan moeten deze in de informatie worden betrokken. Natuurlijk kan hierbij ook worden verwezen naar het privacybeleid van deze derden. Ook informatie over de looptijd van de cookies is van belang. Zijn het cookies die na een sessie weer worden verwijderd, of cookies die langdurig op gegevensdrager van de gebruikers worden opgeslagen?

De bovengenoemde informatie moet op de website ter beschikking worden gesteld. Vaak gebeurt dit als onderdeel van de privacyverklaring, of middels een aparte cookieverklaring. De informatie moet toegankelijk zijn voordat cookies worden geplaatst. Dit betekent dat wanneer deze informatie in een privacyverklaring wordt opgenomen, en hiernaar wordt gelinkt bij de vraag om toestemming, dat het enkele aanklikken van deze link door een gebruiker nog niet als toestemming mag worden opgevat. Om deze reden zijn er inmiddels weer websites die gebruik maken van een cookiemuur. Op deze manier wordt zekergesteld dat de gebruiker eerst de informatie ziet en toestemming geeft, voordat cookies worden geplaatst.

Uitzonderingen

Voor de retailers die het bovenstaande nogal wat vinden, is er ook goed nieuws. Er zijn een aantal uitzonderingen op de regels.

Functionele cookies

Voor cookies die zuiver functioneel zijn, dat wil zeggen uitsluitend worden gebruikt om communicatie over het netwerk uit te voeren, of technisch noodzakelijk zijn voor het leveren van een gevraagde dienst, hoeft geen toestemming te worden gevraagd en ook geen informatie te worden verstrekt.

Cookies met geen of slechts geringe impact op de privacy van de gebruiker

Cookies die als doel hebben om informatie te verkrijgen over “de kwaliteit en effectiviteit van een geleverde dienst van de informatiemaatschappij” (lees: de webwinkel), zijn ook uitgezonderd van het informatie- en toestemmingsvereiste. Voorwaarde hiervoor is wel dat deze cookies geen of slechts geringe impact hebben op de privacy van de gebruiker. De wetgever heeft hierbij bijvoorbeeld gedacht aan affiliate cookies en cookies die A/B testing mogelijk maken, voor zover deze verder geen ander doel dienen.

Ook analytic cookies (zowel first- als third party) zijn onder bepaalde voorwaarden uitgezonderd. De regels hiervoor zijn echter wel tamelijk gecompliceerd. Worden deze cookies uitsluitend voor analytische doeleinden ingezet en wordt hiermee de privacy van de gebruiker niet of slechts op geringe wijze beїnvloedt, dan zijn ze uitgezonderd. Worden er echter met deze cookies persoonsgegevens verwerkt (bv. ten behoeve van het opstellen van profielen), zoals bij het veelgebruikte Google Analytics, dan zijn aanvullende stappen noodzakelijk voordat van toestemming mag worden afgezien (het informatievereiste blijft op basis van de Wet bescherming persoonsgegevens bestaan!). In het kort komt het er op neer dat:

  • een bewerkersovereenkomst met Google moet worden afgesloten;
  • door Google niet het volledige IP-adres verwerken mag laten worden en standaard het gebruik van SSL moet worden geforcereerd voor Google Analytics cookies;
  • gegevens delen met Google voor een aantal doelen moet worden uitgeschakeld;
  • overeenkomstig de Wet bescherming persoonsgegevens moet worden geїnformeerd over het gebruik van Google Analytics (bv. in de privacy- of cookieverklaring)

Het College Bescherming Persoonsgegevens heeft deze stappen uitvoerig beschreven in een handleiding. Het is aannemelijk dat voor gelijksoortige (third party) analytic cookies eenzelfde procedure dient te worden doorlopen.

Cookie die niet onder een uitzondering vallen

Zowel tracking cookies als profileringscookies vallen niet onder één van de bovengenoemde uitzonderingen. Voor tracking cookies is zelfs expliciet in de wet opgenomen dat wordt vermoed dat deze persoonsgegevens verwerken. Voor social media plug-ins (bv. Facebook of Google+) geldt dat deze niet onder een uitzondering vallen wanneer de gebruiker geen lid is van het netwerk of niet is ingelogd. Is dit wel het geval, dan zijn de cookies noodzakelijk voor het leveren van een gevraagde dienst en als zodanig uitgezonderd van het informatie- en toestemmingsvereiste. Omdat dit lastig te beoordelen is, raadt de Autoriteit Consument & Markt (ACM) aan te werken met de niet-actieve “grijze” buttons.

Wat zijn de risico´s?

De cookiewetgeving is geen papieren tijger. Waakhond ACM ziet actief toe op de naleving ervan. Bij overtredingen kan ze boetes opleggen tot € 450.000,-, per overtreding! In een aantal gevallen al stevige boetes uitgedeeld. Hiernaast kan ACM ook nog overgaan tot het opleggen van een last onder dwangsom, om overtreders een halt toe te roepen.

Conclusie

De cookiewetgeving is complex. Toch zou iedere online retailer zich van de details op de hoogte moeten stellen. Immers, wie maakt er nou geen gebruik van cookies? Inventariseer daarom welke cookies u plaatst, en wat dat aan verplichtingen met zich mee brengt. Het bovenstaande overzicht kan u daar voor een groot deel mee op weg helpen. Het is raadzaam, wanneer u er als online retailer zelf niet uitkomt, (juridisch) advies in te winnen. Voldoet u aan de wetgeving, dan snijdt het mes aan twee kanten. Enerzijds laat u gebruikers zien dat u aandacht hebt voor hun mogelijke privacybezwaren, anderzijds hoeft u zich geen zorgen te maken voor eventuele boetes!

Geef als eerste een reactie

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd.


*