Donderdag 2 juli 2015

Cookiewetgeving

Picture by Surlan Soosay on Flickr (CC BY 2.0)

 

“Wij gebruiken cookies om het winkelen bij bol.com gemakkelijk te maken. Bezoek je onze website, dan ga je akkoord met deze cookies.”1www.bol.com, geraadpleegd op 30 april 2015. “Marktplaats gebruikt cookies om de site goed te laten functioneren voor analysedoeleinden en om u van relevante advertenties te voorzien. Voor meer informatie zie ons cookiebeleid. Blijft u onze site gebruiken dan gaat u akkoord met het plaatsen van cookies.”2www.marktplaats.nl, geraadpleegd op 30 april 2015.

Dit zijn twee voorbeelden van hoe websites omgaan met het cookiebeleid. De vraag is echter of de door deze websites gegeven informatie wel juist is. Is er wel sprake van toestemming door het enkel gebruiken van een site? Of moet je daarvoor op een knop “akkoord” klikken? Deze vragen worden hieronder beantwoord door een beeld te schetsen van de huidige cookiewetgeving, die 11 maart 2015 in werking is getreden, en de toepassing daarvan op de verschillende soorten cookies. Dit artikel wordt afgesloten met een korte reflectie op deze nieuwe cookiewetgeving. Daaruit zal blijken dat de ingetreden wijzigingen zeer welkom zijn.

Cookies

Een cookie is een klein tekstbestandje met daarin een unieke code dat tijdens het bezoek aan een website op de computer van de bezoeker wordt geplaatst. In dit bestandje worden gegevens bewaard zoals voorkeursinstellingen, bestelgegevens of bezoekersinformatie. De websitebeheerder kan deze gegevens die door de cookies worden gegenereerd vervolgens lezen.3Kamerstukken II 2013/14, 33 902, nr. 3, p. 2.

 Cookiewet: algemeen

De Cookiewet is neergelegd in art. 11.7a van de Telecommunicatiewet (hierna: Tw). Dit artikel vormt de implementatie van art. 5 lid 3 van de Bijzondere privacyrichtlijn.4Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (PbEU 2002, L 201/37). Deze bepaling heeft tot doel om de persoonlijke levenssfeer van de gebruiker van elektronische communicatienetwerken te beschermen. De gebruiker van een computer of smartphone wordt met dit wetsartikel beschermd tegen iemand die zonder zijn medeweten toegang krijgt tot persoonlijke informatie die daarop staat.5Kamerstukken II 2013/14, 33 902, nr. 3, p. 1-2.

Om een cookie te mogen plaatsen is ‘op informatie berustende toestemming’ vereist volgens art. 11.7a lid 1 en lid 2 Tw. Deze hoofdregel valt uiteen in twee voorwaarden: de informatieplicht en het toestemmingsvereiste.

Cookiewet: informatieplicht

De gebruiker moet op duidelijke en volledige wijze worden geïnformeerd over het gebruik van de cookies, zodat de gebruiker begrijpt waar hij mee instemt. Het moet voor de internetgebruiker duidelijk zijn: welk soort cookies wordt gebruikt (daar over hieronder meer), voor welke doeleinden deze cookies en de daarmee gegenereerde gegevens worden gebruikt en door wie.

Aan de informatieplicht wordt slechts voldaan indien de informatie duidelijk zichtbaar en inhoudelijk begrijpelijk is voor de gemiddelde gebruiker. Een verwijzing naar algemene voorwaarden of een privacy statement is onvoldoende. Voldoende is bijvoorbeeld wel om een deel van de informatie beschikbaar te stellen achter een «verdere informatie» button.6Kamerstukken II 2013/14, 33 902, nr. 3, p. 12 en p. 29.

Cookiewet: toestemmingsvereiste

De Cookiewet gaat uit van de volgende definitie voor toestemming: “Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.”7Kamerstukken II 2013/14, 33 902, nr. 3, p. 12. Deze toestemming dient voorafgaand aan het plaatsen en lezen van de cookies te worden verkregen van de internetgebruiker. Het gaat in de praktijk meestal om een beperkte keuze: of alle cookies accepteren of geen enkele. Zelden wordt de keuze geboden om toestemming te geven voor slechts bepaalde type cookies.8Kamerstukken II 2013/14, 33 902, nr. 3, p. 17. Een voorbeeld daarvan is www.ictrecht.nl, daar is een keuze tussen cookies die strikt noodzakelijk zijn, die nodig zijn voor statistiek en die extern worden ingezet bijvoorbeeld door social media.

De toestemming moet bestaan uit een wilsuiting waarmee de internetgebruiker aanvaardt dat bepaalde cookies worden geplaatst en gelezen. Het moet gaan om een handeling, de toestemming kan niet worden afgeleid uit het uitblijven van een handeling. Deze handeling hoeft echter niet expliciet te zijn, zoals een ‘ik geef toestemming’ button. Toestemming voor het plaatsen en lezen van cookies kan ook blijken uit minder expliciete handelingen, zoals het aanklikken van overige onderdelen van de website, mits dat bij aanvang van het bezoek aan de website duidelijk is aangegeven.

Bovendien moet er sprake zijn van een ‘vrije’ wilsuiting, dus de internetgebruiker moet keuzevrijheid hebben. De gevolgen van het niet geven van toestemming mogen niet zo zwaar zijn dat deze de keuzevrijheid ondermijnen. Een websitehouder mag in beginsel bepalen dat zijn website niet, of alleen tegen betaling, toegankelijk is voor bezoekers die geen cookies accepteren. In sommige gevallen zal de websitehouder echter alsnog de volledige website moeten aanbieden, namelijk indien de internetgebruiker daardoor: een wettelijke recht niet kan uitoefenen, een wettelijke plicht niet kan naleven of minder goede medische zorg krijgt. Dit geldt ook indien de internetgebruiker zo afhankelijk is van de via een bepaalde website aangeboden diensten en informatie dat er geen sprake meer is van vrije wilsuiting.9Kamerstukken II 2013/14, 33 902, nr. 3, p. 14-15.

Cookiewet: uitgezonderd van vereisten

De zojuist besproken informatieplicht en het toestemmingsvereiste gelden niet altijd. In art. 11.7a lid 3 Tw is een uitzondering gemaakt voor cookies die worden geplaatst ten behoeve van de technische opslag of toegang (i) met als enkel doel de communicatie over een elektronisch communicatienetwerk uit te voeren, of (ii) met betrekking tot de gegevens die strikt noodzakelijk zijn voor de door de gebruiker gevraagde dienst.

Met de ingetreden wetswijziging is hieraan toegevoegd dat de uitzondering ook geldt voor cookies die niet technisch noodzakelijk zijn, maar wel heel nuttig zijn voor de webbeheerder en nauwelijks een impact hebben op de privacy van de gebruiker. Dat een cookie weinig impact heeft, kan onder meer worden aangenomen wanneer de levensduur van de cookies niet langer is dan nodig voor dat doel.10Kamerstukken II 2013/14, 33 902, nr. 3, p. 7 en p. 9.

Cookies met weinig of nauwelijks privacyimpact

Een aantal cookies heeft weinig impact op de privacy van de internetgebruiker. Die cookies zullen daardoor onder de uitzondering vallen voor zover ze enkel voor het hieronder te bespreken doeleinde worden gebruikt. Dit zijn analytische cookies, affiliate cookies en functionele cookies.11De cookies worden uitgebreid besproken in Kamerstukken II 2013/14, 33 902, nr. 3, p. 8-10.

Analytische cookies worden gebruikt om het gebruik van een website te analyseren, met als doel de kwaliteit van de website te verbeteren. Bijvoorbeeld om de bezoekersaantallen bij te houden. De analyse wordt vaak aan derden overgelaten zoals Google Analytics, maar ook Sitecatalyst en ComScore behoren tot de opties.12Meer uitleg over het gebruik van analytische cookies is te vinden op: N.W. Ruckert, ‘wat iedere marketeer moet weten over Google Analytics’ http://www.marketingfacts.nl/berichten/wat-iedere-marketeer-moet-weten-over-google-analytics, geraadpleegd op 30 april 2015.

Affiliate cookies worden ingezet bij online advertenties om bij te houden welke advertentie leidt tot een aankoop. Zo kan degene die deze advertentie heeft getoond (de affiliate) hiervoor een beloning ontvangen.13Kamerstukken II 2013/14, 33 902, nr. 3, p. 10.

Functionele cookies zijn nodig om een dienst of webshop te laten functioneren. Dit zijn bijvoorbeeld bestanden die een login onthouden, die bijhouden wat er in een winkelwagentje zit of vastleggen dat een andere soort cookie wel of niet mag worden ingezet.14ICTRecht, ‘functionele cookies’ https://cookierecht.nl/diensten/juridisch-advies/functionele-cookies/, geraadpleegd op 30 april 2015.

Cookies met veel privacyimpact

Een cookie met veel privacyimpact, waardoor aan de informatieplicht en het toestemmingsvereiste moet worden voldaan,  is de tracking cookie. Met deze cookies wordt het surfgedrag van een gebruiker gevolgd over één of meerdere websites en apps. De gegevens die daarmee worden verkregen, worden vaak gebruikt om een interesseprofiel op te stellen van een gebruiker. Op basis daarvan kunnen specifieke reclames worden getoond door adverteerders en laten zoekmachines in een bepaalde volgorde zoekresultaten zien.15Kamerstukken II 2013/14, 33 902, nr. 3, p. 2.

Nieuw in de huidige wetgeving is dat er bij het gebruik van tracking cookies vermoed wordt sprake te zijn van de verwerking van persoonsgegevens. Dit rechtsvermoeden zorgt ervoor dat de gebruiker van tracking cookies naast de regels in art. 11.7a Tw ook de regels van de Wet bescherming persoonsgegevens (hierna: Wbp) moet naleven, tenzij hij kan bewijzen dat hij bij het gebruik van tracking cookies geen persoonsgegevens verwerkt. De toepasbaarheid van de Wbp heeft onder meer tot gevolg dat de bezoeker alle rechten heeft die de Wbp hem toekent, zoals het recht van inzage in en correctie van zijn profiel.16Kamerstukken II 2013/14, 33 902, nr. 3, p. 13-14. Voor informatie over de Wet bescherming persoonsgegevens zie de Ejure site zelf: http://www.ejure.nl/2012/05/de-wet-bescherming-persoonsgegevens/.

Reflectie op de (nieuwe) Cookiewetgeving

Zoals uit het voorgaande blijkt bestaat de cookiewetgeving uit maar liefst één wetsartikel, namelijk art. 11.7a Tw. Dit maakt de cookiewetgeving op het eerste gezicht vrij helder: in principe moet de webbeheerder de internetgebruiker over het cookiegebruik informeren en daarvoor toestemming vragen. Dit hoeft niet wanneer de cookies technisch noodzakelijk zijn.

Door de zojuist ingetreden wetgeving vallen ook cookies onder de uitzondering die niet technisch noodzakelijk zijn, maar zo weinig impact op de privacy van de gebruiker hebben dat toestemming vragen alsnog achterwege kan blijven. Dit is een goede zaak want hierdoor hoeven enerzijds webbeheerders minder vaak toestemming te vragen, maar zal het anderzijds ook duidelijker zijn voor de internetgebruiker wanneer een cookie wel of niet impact heeft op zijn privacy. Het zou mooi zijn als de gebruiker in gevallen waarin wel om toestemming wordt gevraagd, de optie wordt geboden om zelf te bepalen voor welke type cookies hij wel of geen toestemming wenst te geven. Dit is helaas niet in de wet geregeld, het is aan de webbeheerders zelf om te bepalen hoe gebruiksvriendelijk hun cookiebeleid is.

Ook de andere wijziging van de cookiewet, namelijk dat er vanaf nu bij het gebruik van tracking cookies vermoed wordt sprake te zijn van de verwerking van persoonsgegevens, kan worden toegejuicht. Dit betekent dat naast de regels van art. 11.7a Tw, ook de regels van de Wbp moeten worden nageleefd. Hierdoor kan de gebruiker zich beroepen op een aantal belangrijke rechten zoals die van inzage en correctie. Dat is belangrijk want tracking cookies hebben, door het opstellen van een profiel, een grote impact op de privacy van de internetgebruiker.

 

   [ + ]

1. www.bol.com, geraadpleegd op 30 april 2015.
2. www.marktplaats.nl, geraadpleegd op 30 april 2015.
3, 15. Kamerstukken II 2013/14, 33 902, nr. 3, p. 2.
4. Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (PbEU 2002, L 201/37).
5. Kamerstukken II 2013/14, 33 902, nr. 3, p. 1-2.
6. Kamerstukken II 2013/14, 33 902, nr. 3, p. 12 en p. 29.
7. Kamerstukken II 2013/14, 33 902, nr. 3, p. 12.
8. Kamerstukken II 2013/14, 33 902, nr. 3, p. 17. Een voorbeeld daarvan is www.ictrecht.nl, daar is een keuze tussen cookies die strikt noodzakelijk zijn, die nodig zijn voor statistiek en die extern worden ingezet bijvoorbeeld door social media.
9. Kamerstukken II 2013/14, 33 902, nr. 3, p. 14-15.
10. Kamerstukken II 2013/14, 33 902, nr. 3, p. 7 en p. 9.
11. De cookies worden uitgebreid besproken in Kamerstukken II 2013/14, 33 902, nr. 3, p. 8-10.
12. Meer uitleg over het gebruik van analytische cookies is te vinden op: N.W. Ruckert, ‘wat iedere marketeer moet weten over Google Analytics’ http://www.marketingfacts.nl/berichten/wat-iedere-marketeer-moet-weten-over-google-analytics, geraadpleegd op 30 april 2015.
13. Kamerstukken II 2013/14, 33 902, nr. 3, p. 10.
14. ICTRecht, ‘functionele cookies’ https://cookierecht.nl/diensten/juridisch-advies/functionele-cookies/, geraadpleegd op 30 april 2015.
16. Kamerstukken II 2013/14, 33 902, nr. 3, p. 13-14. Voor informatie over de Wet bescherming persoonsgegevens zie de Ejure site zelf: http://www.ejure.nl/2012/05/de-wet-bescherming-persoonsgegevens/.