Een Cookie erbij?

  • Hoe het was

Tot 2012 kon elk soort cookie (vaak met ingebouwde opt-ins voor bijv. het installeren van ongewenste overige producten zoals tool-bars) zonder enigvoorbehoud op websites worden geplaatst.

In 2012 werden de eigenaars/ beheerders van websites (via een aanpassing van de Telecommunicatiewet) echter verplicht bezoekers vooraf toestemming te vragen voor plaatsing van cookies, immers m.n. tracking cookies zouden gebruikt kunnen worden voor verkeerde doeleinden. Slechts (functionele) cookies die technisch noodzakelijk waren om een website te laten functioneren mochten zonder toestemming van de bezoeker worden geplaatst.

Nederland vormde met deze aanpak overigens een Europese uitzondering op dit gebied. Waar andere landen een opt-out-model hanteren – cookies worden standaard geaccepteerd en wanneer je dit niet wilt moet je dit actief weigeren – werd in Nederland voor een opt-in-model gekozen, waarbij bezoekers actief toestemming moeten geven voor het plaatsen van cookies

Het effect van deze aanpassing was dat elke gebruiker van een website voortaan bij vrijwel elk bezoek aan een site een “pop-up” voorgeschoteld kreeg die pas na een ondubbelzinnige toestemming (“ja, ik ga akkoord “) toegang tot de te bezoeken website gaf.

Of de websitetoegang blokkeerden bij de reactie: “nee, ik ga niet akkoord”.

De grote hoeveelheid cookie “pop- ups ”werd deels overigens ook veroorzaakt omdat de wetgever in de regelgeving niet altijd even glashelder was geweest en er dientengevolge ook in brede zin onduidelijkheid bestond over wanneer er wel en niet toestemming aan de bezoeker gevraagd moest worden voor cookies. Dan “beter een cookie dan een mogelijk fikse boete” was veelal de gedachte van menig websiteaanbieder.

Het gevolg? Grote irritatie onder internetgebruikers en het ontstaan van een massaal automatisme de cookie “pop-up”, als zijnde irritant en/of tijd verspillend, zonder verder te lezen te accorderen. Het beoogde effect van de cookiewetgeving om (na lezing van de cookiebepalingen) een ondubbelzinnige welbewuste toestemming vooraf te bewerkstelligen werd hierdoor al snel tenietgedaan.

  • Hoe het is

Als gevolg van alle kritiek op en ophef over de cookiewet van 2012 werd in maart 2015 de wetgeving aangepast. Vanaf de wijzigingsdatum geldt als regel voortaan dat men zonder toestemming cookies plaatsen mag mits de cookies de privacy van de bezoeker niet, of slechts een klein beetje, schenden én je dat doet dan slechts dan in het kader van het doel om “informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij”.

  • Geen toestemming vereist

In dat kader vervolgens: wanneer we dan spreken over cookies die geen of weinig inbreuk op de privacy maken dan kunnen we een onderscheid maken tussen: analytische cookies en functionele cookies:

  • Analytische cookies

Kort samengevat: dit zijn cookies die worden gebruikt om inzicht te krijgen in het gebruik van de website. Voorbeelden zijn:

Google Analytics
Deze cookie wordt gebruikt om te zien hoe de bezoekers de website gevonden hebben en hoe de website gebruikt wordt.

Let wel! Hiervoor is geen toestemming vereist mits men aan de volgende criteria voldoet:

1. Accepteer het “Amendement gegevensverwerking” in het Analytics-account (‘Beheer’ > ‘Account instellingen’ en dan helemaal onderaan);

2. Blokkeer het meezenden van volledige IP-adressen (‘set’, ‘anonymizeIp’, true) en forceer tevens SSL (‘set’, ‘forceSSL’, true);

3. Zet het delen van gegevens met Google uit (‘Beheer’ > ‘Account instellingen’ en dan vier instellingen uitvinken);

4. Informeer de bezoekers in een cookieverklaring of privacyverklaring over het gebruik van Google Analytics.

Partner (affiliate) cookies
Met deze cookies kan men zien via welke partnersites de website bezocht wordt. Dit zijn bijvoorbeeld vergelijkingssites of Google Adwords.

Test cookies
Deze cookies worden geplaatst om wijzigingen op de website te testen voordat ze worden doorgevoerd.

Optimalisatie cookies
Deze cookies worden gebruikt om informatie te krijgen over nieuwe en terugkerende bezoeken. Ook kan gezien worden wat voor device de bezoeker gebruikt en welke resolutie.

Cookies voor zoekfunctionaliteit
Indien de website een zoekfunctie bevat die op basis van de zoekwoorden direct doorverwijst naar een pagina.

  • Functionele cookies 

Functionele cookies zijn nodig om een dienst of webshop te laten functioneren. Ook voor deze cookies hoeft volgens de cookiewet geen toestemming gevraagd te worden.

Voorbeelden van dit soort cookies zijn:

Sessie cookies

Deze cookies worden gebruikt om gedurende het verblijf op de website de bezoeker te herkennen en ervoor te zorgen hij of zij niet steeds dezelfde handeling hoeft uit te voeren.

Productvergelijkingscookies
Deze cookies worden gebruikt om producten op een website met elkaar te vergelijken.

Cookies voor het bekijken van externe video’s
Dit soort cookies zorgen ervoor dat video’s van bijvoorbeeld YouTube bekeken kunnen worden op de website.

Cookies om testsoftware voor verbeteringen aan de website te voeden
Wanneer de website gebruikmaakt van testsoftware wordt deze software gevoed met data vanuit de live omgeving. Er is een cookie nodig om deze gegevens door te geven aan de betreffende software.

Cookiemelding om te onthouden of je cookies geaccepteerd hebt
Wanneer er een cookiewall of cookiebanner gebruikt wordt, onthoud de cookie wat de voorkeuren van de bezoeker zijn zodat hij of zij niet steeds opnieuw behoeft te accepteren.

 

Altijd toestemming vereist!

  • Websites die inbreuk maken op de privacy moeten altijd toestemming aan de gebruiker vragen om cookies te plaatsen.

Te denken is m.n. aan tracking software. Met deze software wordt het surfgedrag van een gebruiker gevolgd over één of meerdere websites en apps. De gegevens die daarmee worden verkregen kunnen vervolgens worden gebruikt om een interesseprofiel op te stellen van een gebruiker. Op basis daarvan kunnen specifieke reclames worden getoond door adverteerders en laten zoekmachines in een bepaalde volgorde zoekresultaten zien. In die gevallen blijft de cookiewet van kracht, immers dit valt buiten het doel “informatie over kwaliteit of effectiviteit”. Bovendien is dat écht meer dan geringe inbreuk op de privacy. Hetzelfde geldt voor andere analytics-achtige tools waarbij wél IP-adres gebonden informatie wordt gelogd en geanalyseerd.

Overigens wordt op deze plaats in de Telecommunicatiewet een duidelijke verband gelegd met de Wet bescherming persoonsgegevens (Wbp) doordat er bij het gebruik van tracking cookies vermoed wordt sprake te zijn van de verwerking van persoonsgegevens.

Dit rechtsvermoeden zorgt ervoor dat de gebruiker van tracking cookies naast de regels uit de Tw ook de regels van de Wbp moet naleven, tenzij hij kan bewijzen dat hij bij het gebruik van tracking cookies geen persoonsgegevens verwerkt. De toepasbaarheid van de Wbp heeft onder meer tot gevolg dat de bezoeker alle rechten heeft die de Wbp hem toekent, zoals het recht van inzage in en correctie van zijn profiel.

 

Vergeet overigens niet dat cookies van social media ook tracking cookies zijn, immers ze worden gebruikt om bezoekers op internet te volgen. Wanneer een gebruiker al is ingelogd op een social -medianetwerk is zo’n cookie wel toegestaan.

  • Verwerking van persoonsgegevens

Als een cookie leidt tot een verwerking van persoonsgegevens, dan geldt daarop de Wbp, immers persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de Wbp. Zonder die toestemming mag slechts in enkele bijzondere situaties worden gewerkt met persoonsgegevens. Het is bijvoorbeeld toegestaan om gegevens te gebruiken zonder aparte toestemming, als dat noodzakelijk is voor de uitvoering van een contract, bijvoorbeeld wanneer Post.nl het adres moet weten van een klant om daar een bestelling af te leveren.

De benodigde toestemming tot verwerking van de betrokkene staat los van de toestemming voor het überhaupt mogen plaatsen van de cookie zelf.

Formeel moet er dus twee keer toestemming worden gevraagd, maar in de praktijk kan dat (bijv. in een te accorderen gebruikersovereenkomst) in één moeite door duidelijk worden gemaakt

 

  • Weg met de pop-up vensters?

Ja: in het geval er geen cookies worden gebruikt waarvoor toestemming nodig is kunnen de pop-up schermen achterwege blijven.

Nee: zoals hierboven uitgelegd, op het moment dat een cookie gebruikt wordt voor trackingdoeleinden, dan blijft het verplicht om de bezoeker vooraf om toestemming te vragen. Dit cookiegebruik valt namelijk buiten het doel van het verzamelen van ‘informatie over kwaliteit of effectiviteit’ en deze cookies maken bovendien een meer dan geringe inbreuk op de privacy. Omdat met name deze vorm van cookiegebruik voor een hoop web-gedreven aanbieders interessant is, betekent dit dat we nog niet van pop-up vensters en banners zijn verlost.

Let op: Ook in het geval slechts “toegestane” cookies worden geplaatst betekent dat nog niet dat de bezoeker over het gebruik van dat soort cookies niet geïnformeerd hoeft te worden. Omdat in de Telecommunicatiewet wordt verwezen naar de Wbp zijn de betreffende bepalingen daaruit ook relevant voor de cookiewetgeving. Zo geldt dat de gebruiker duidelijk en volledig moet worden geïnformeerd over het gebruik van cookies om zijn privacy beter te waarborgen. Op grond van de Wbp dient de leverancier/ website-eigenaar dus nog steeds een privacy- of cookiereglement te hanteren waarin de bezoeker precies kan lezen welke cookies worden verzameld, en voor welke doeleinden dit gebeurd. Zeker gegeven de verscherpte eisen t.a.v. transparantie zoals opgenomen in de komende Algemene Verordening Gegevensbescherming is dit een absolute “must”. Dit hoeft (bij toegestane cookies) dan alleen niet meer in een pop-up, maar dat kan dan ook door e.e.a in het privacy- of cookiereglement op te nemen.