Home / Publicaties / Cookies

Cookies

18/12/2012

Sinds 5 juni 2012 gelden in Nederland nieuwe regels voor cookies. Cookies zijn kleine bestandjes die een webserver naar een browser stuurt wanneer je een website bezoekt met de bedoeling dat deze opgeslagen worden en bij een volgend bezoek weer naar de server teruggestuurd worden. Zo kan de webserver herkennen wanneer iemand opnieuw een bepaalde website bezoekt en bijhouden wat de gebruiker van de browser in het verleden heeft gedaan. Sommige cookies geven informatie over het surfgedrag binnen één bepaalde website, andere cookies worden ingezet om in kaart te brengen hoe internet gebruikers zich over verschillende websites verplaatsen en wat zij daar bekijken.

Wat valt er onder de nieuwe wettelijke regel?

Zoals gezegd gelden er sinds 5 juni nieuwe regels voor cookies. Die regels zien strikt genomen niet alleen op cookies, maar zijn van toepassing op iedereen die een elektronisch communicatienetwerk gebruikt om:

(1) toegang te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker; of

(2) gegevens op wil slaan in de randapparatuur van de gebruiker.

Met andere woorden, de regel is van toepassing op het plaatsen of uitlezen van gegevens op randapparatuur van een eindgebruiker, en ziet dus ook op technieken als (device)fingerprinting en java-scripts.

Hoofdregel: informatie verstrekken en toestemming vragen

Voordat je gegevens plaatst of uitleest, moet je:

(A) de gebruiker informeren; én

(B) de toestemming van de gebruiker verkrijgen.

Ten aanzien van de vereiste toestemming hebben de wetgever en de toezichthouder (OPTA) aangegeven dat hiervoor een actieve handeling nodig is. Het na een waarschuwing zoals “Deze website maakt gebruik van cookies. Klik hier voor meer informatie.” voortzetten van het bezoek aan een website is volgens de OPTA in ieder geval niet genoeg. Of het actief ‘wegklikken’ (door op “sluit” te klikken) in banners als “Deze website maakt gebruik van cookies. Klik hier voor meer informatie. Sluit.” volgens OPTA voldoende zal zijn, valt nog te bezien.

De website houder moet achteraf kunnen aantonen dat hij heeft geïnformeerd en toestemming heeft gevraagd. Daarom moet hij alle verleende toestemmingen loggen, inclusief welke informatie daarbij is verstrekt.

Ook heeft de OPTA enige duidelijkheid gegeven over hoe men moet informeren. De informatie moet vooral op begrijpelijke wijze uitleggen welke cookies je gebruikt, waarom, welke informatie daarmee wordt verzameld en hoe je die informatie gebruikt. De informatie moet op een duidelijke plek op de website staan en eenvoudig beschikbaar zijn. Een “vage verwijzing naar een privacy statement” is niet voldoende. Maar een privacy statement kan volgens de OPTA wel geschikt zijn om individuele cookies in detail te benoemen. Wanneer je third party cookies toestaat of gebruikt, moet je ook deze expliciet benoemen (bij naam) met verwijzing naar de voorwaarden van die cookies.

Implementatie en handhaving

Om ondernemingen te helpen bij het implementeren van de regels heeft de rijksoverheid een standaard oplossing voor het vragen van toestemming en standaard teksten voor het verstrekken van informatie laten ontwikkelen die zij gratis aanbiedt (zie: http://www.rijksoverheid.nl/cookies/rijksoverheid-cookie-opt-in)

De OPTA is verantwoordelijk voor de handhaving van de nieuwe regels voor cookies. De OPTA heeft in 2012 nog niet opgetreden, maar wel aangekondigd daar op korte termijn mee te beginnen. In geval van overtreding, kan de OPTA een waarschuwing geven, een last onder dwangsom opleggen of (direct) een boete tot € 450.000,- opleggen.

Uitzondering

Op de bovenstaande hoofdregel zijn twee uitzonderingen. Wanneer het plaatsen of uitlezen van de gegevens (i) nodig is voor de communicatie of (ii) voor een specifiek door de gebruiker gevraagde dienst, hoef je niet te informeren en geen toestemming te verkrijgen. De OPTA geeft als voorbeeld hiervan: user input cookies (winkelmandje en logingegevens) en authenticatie cookies.

De Nederlandse interpretatie van de EU-cookieregels is strenger dan de Engelse

De Nederlandse regering heeft veel kritiek gekregen op de cookieregels. De branche organisatie voor internetwinkels, Thuiswinkel.org, heeft onderzocht dat een groot deel van de Nederlandse ondernemingen nog niet klaar is voor de nieuwe regels en heeft gepleit voor aanpassing van de wet. Kritiek en onbegrip wordt versterkt doordat de Engelse toezichthouder de cookieregels soepeler hanteert dan men in Nederland doet. Het Engelse standpunt is namelijk dat een websitehouder kan volstaan met het geven van informatie over de geplaatste cookies en het bieden van de mogelijkheid om die uit te zetten. Maakt de bezoeker van de site geen gebruik van die mogelijkheid, dan wordt dat in Engeland gezien als impliciete toestemming (“implied consent”). Hierdoor voldoet de site van bijvoorbeeld de BBC volgens de Engelse toezichthouder wel, en volgens de Nederlandse niet aan de (Europese) cookieregels.

Ook vanuit de Nederlandse Tweede Kamer is kritiek op de wetgeving. Zo wordt momenteel onderzocht of zogenaamde analytische cookies, althans cookies die uitsluitend worden gebruikt voor het maken van statistieken, onder de hiervoor genoemde uitzondering zouden kunnen vallen. Mogelijk zal de wet op dit punt nog worden gewijzigd.

Aanvullende regels per 1 januari 2013

Alsof dit nog niet genoeg was, treedt op 1 januari 2013 nog een extra bepaling in werking. Op grond van deze bepaling gaat een zogenaamd “wettelijk vermoeden” gelden. Wanneer men gegevens uitleest of plaatst om het gedrag van de gebruiker over meerdere websites te verzamelen, combineren of analyseren (profiling) voor commerciële, charitatieve of ideële doeleinden, wordt dit vermoed een "verwerking van persoonsgegevens” te zijn. Dat betekent dat het gebruik van cookies voor profiling doeleinden tevens moet voldoen aan alle vereisten van de Wet bescherming persoonsgegevens (“Wbp”). Denk hierbij aan verplichtingen met betrekking tot het geven van inzage aan betrokkenen, de beveiliging van gegevens en het doen van meldingen bij het College Bescherming Persoonsgegevens (“CBP”), de toezichthouder op het gebied van privacy. Al deze verplichtingen zijn in één klap van toepassing, tenzij je kunt bewijzen dat de gegevens die met profiling cookies worden verzameld niet tot een natuurlijk persoon te herleiden zijn. Gezien het toch al uitdijende begrip ‘persoonsgegevens’ achten wij dat niet kansrijk.

Overigens zal de Wbp veelal ook van toepassing zijn op het anderszins uitlezen of plaatsen van gegevens. Zodra een link tussen de gebruikte informatie en een individu te leggen is, betreft het een persoonsgegeven en is de Wbp van toepassing. Het CBP heeft in het verleden al eens geoordeeld dat zij IP-adressen als persoonsgegevens beschouwt. Omdat zakelijke websites vrijwel altijd cookies gebruiken, en bij het uitlezen van cookies meestal ook het IP-adres wordt uitgelezen, is het voor iedere websitehouder verstandig om zich in 2013 in de Wbp te verdiepen en om te controleren of aan de nieuwe regels voor cookies wordt voldaan.