Toenemende ergernis bij het surfen op het internet heeft geleid tot een versoepelde Cookiewet. Is de 'cookiemuur' verleden tijd? En wat zijn de consequenties van deze nieuwe Cookiewet, die op 11 maart 2015 in werking is getreden.
In juni 2012 is artikel 11.7a van de Telecommunicatiewet (beter bekend als de ‘Cookiewet’) geïntroduceerd. Uit dit artikel volgt dat de website die gebruik wenst te maken van cookies, daarvoor vooraf toestemming van de bezoeker van die website moet hebben verkregen. Als gevolg daarvan is de bezoeker van een website sindsdien geconfronteerd met cookiemuren, pop-ups en andere vervelende cookieverklaringen. Dit leidde tot grote ergernis bij de consument en werd als storend ervaren bij het surfen op het internet. De almaar toenemende ergernis heeft uiteindelijk geleid tot een versoepeling van de Cookiewet. Wat zijn de gevolgen daarvan en wat betekent dat voor uw website?
De oude Cookiewet bepaalde dat in beginsel voor alle typen cookies toestemming moest worden verkregen van de bezoekers. Er werd enkel een uitzondering gemaakt voor cookies die technisch noodzakelijk zijn om de communicatie uit te voeren of de door de internetbezoeker gevraagde dienst van de informatiemaatschappij te leveren (de functionele cookies). De gedachte achter deze uitzonderingen was dat deze cookies weinig gevolgen hebben voor de privacy van de bezoeker van de website. Er zijn echter ook andere typen cookies die geen, of althans weinig inbreuk maken op de privacy van de bezoeker, die niet zijn uitgezonderd onder de oude Cookiewet. Daar is nu verandering in gekomen.
Op 11 maart 2015 is de versoepelde Cookiewet in werking getreden. Meer typen cookies zijn nu uitgezonderd van het toestemmingsvereiste. Op basis van de versoepelde Cookiewet is het niet langer vereist om toestemming te vragen voor het gebruik van (onder meer) analytic cookies (ter analyse en verbetering van de kwaliteit van de website), affiliate cookies (om te zien welke advertentie leidt tot een aankoop) en a/b-testing cookies (om te meten welke versie van een website het beste aanslaat).
Om te voldoen aan de uitzondering in de nieuwe Cookiewet is wel van belang dat de cookies geen, of slechts een geringe inbreuk maken op de privacy van de bezoeker. Dit is een ruim criterium en voer voor discussie. De wetgever heeft echter bewust gekozen voor deze ‘techniekneutrale formulering’ voor de uitzondering. Dit criterium moet zich in de toekomst – al dan niet door jurisprudentie – nog uitkristalliseren. Het College Bescherming Persoonsgegevens (“CBP”) heeft al enige invulling gegeven aan dit criterium, specifiek voor het gebruik van Google Analytics. Door Google Analytics ‘privacyvriendelijk’ in te stellen, hoeft geen toestemming te worden verkregen op grond van de Cookiewet en is toestemming ook niet vereist op grond van de Wet beschering persoonsgegevens. De handleiding van het CBP om Google Analytics privacyvriendelijk in te stellen is raadpleegbaar op de website van het CBP.
Tracking cookies vallen niet onder de uitgezondere cookies aangezien deze cookies wel degelijk gevolgen hebben voor de privacy van de bezoeker. Met tracking cookies wordt het surfgedrag van de bezoeker gevolgd zodat interesse- en gebruikersprofielen van deze bezoeker kunnen worden opgesteld. Tracking cookies kunnen dus niet worden gebruikt zonder dat is voldaan aan de informatieplicht en het toestemmingsvereiste.
Over het toestemmingsvereiste is eveneens veel te doen geweest. Volstaat impliciete toestemming of is moet er sprake zijn van “ondubbelzinnige” expliciete toestemming van de gebruiker? De Tweede Kamer vond impliciete toestemming voldoende. Een zichtbare cookiemelding – en dus geen cookiemuur – zou dan moeten volstaan. De vraag is echter hoe deze toestemming uit de Cookiewet zich verhoudt tot de toestemming die gegeven dient te worden op grond van de Wet bescherming persoonsgegevens. Laatstgenoemde wet vereist immers een “ondubbelzinnige” toestemming (als er geen gerechtvaardigd belang bestaat voor het gebruik van tracking cookies). Indien gebruik wordt gemaakt van tracking cookies, verdient het aanbeveling de toestemming uitdrukkelijk te hebben verkregen van de bezoeker. Dit dient overigens ook bewezen te kunnen worden op grond van de Cookiewet.
Dat de Cookiewet is versoepeld, betekent niet dat de handhaving ook minder streng zal zijn. Integendeel, de Autoriteit Consument & Markt (ACM) heeft laten weten de nieuwe Cookiewet actief te gaan handhaven en bedrijven aan te zullen spreken als de Cookiewet wordt geschonden. De ACM kan boetes opleggen tot EUR 450.000,- per overtreding. De ACM heeft reeds van zich laten horen omtrent cookies en de Stichting Nederlandse Publieke Omroep een last onder dwangsom opgelegd van EUR 25.000,- per week bij besluit van 15 juli 2014.
Inventariseer derhalve goed welke cookies door uw onderneming worden gebruikt, en of aan de informatieplicht en het toestemmingsvereiste zijn voldaan zoals neergelegd in de Cookiewet. Daarnaast dient zorgvuldig te worden bekeken of er ook sprake is van de verwerking van persoonsgegevens bij het gebruik van cookies in verband met de toepassing van de Wet bescherming persoonsgegevens.
Nadat ik dit artikel gelezen heb komt de vraag boven hoe dat dan is met buitenlandse aanbieders. Internet is geen gesloten nederlands systeem en tracking gaat ook prima zonder cookies wanneer op een server bewaard wordt wat de klant allemaal prijs geeft met zijn browser.
Is er eigenlijk een europese consensus over dit soort zaken?
Beste Jan,
Artikel 11.7a van de Telecommunicatiewet is de implementatie van de Europese e-Privacy richtlijn (artikel 5 lid 3) in de Nederlandse wetgeving. Er is dus consensus in Europa en alle lidstaten moeten een bepaling in de nationale wet hebben die voldoet aan artikel 5 lid 3 van de e-Privacy richtlijn.
Er is echter sprake van minimumharmonisatie ten aanzien van voormelde richtlijn. Lidstaten mogen zelf verder strekkende maatregelen treffen om de privacy van de gebruiker te waarborgen. Dat heeft Nederland ook gedaan. Als ‘braafste jongetje van de klas’ heeft Nederland gekozen voor expliciete toestemming ten aanzien van cookies, daar waar in Engeland bijvoorbeeld is gekozen voor impliciete toestemming en in andere lidstaten een aanpassing in de browser-instellingen als toestemming volstaat.
Doordat de e-Privacy richtlijn per lidstaat anders is geïmplementeerd, is er sprake van verschillende regelgeving in iedere lidstaat ten aanzien van het gebruik van Cookies. Dit komt een uniform cookiebeleid in Europa niet ten goede en is allerminst praktisch voor ondernemers met een website gericht op de EU. Wellicht dat maximumharmonisatie hier beter was geweest.
Privacy beleid in Nederland : Cookie wise and Cake foolish
Bedankt Jan Brölmann,
die verschillende regelgeving in de lidstaten is lastig wanneer je Websites bouwt. Zo is het vreemd te zien hoe een impressum met opgaven van de gegevens van de website-eigenaar in duitsland en oostenrijk een absolute plicht is en in nederland onbelangrijk wordt gevonden.
Europa is nog ver verwijderd van een eenheid helaas. Overigens is de oostenrijkse “Datenschutzkommision DSK” al op de vingers getikt door de EU omdat deze niet onafhankelijk is ,te veel inmenging door bepaalde politieke partijen. Overigens laat die DSK zaken zo lang (4j) liggen dat ze zichzelf volgens het amtsrecht strafbaar maakt.
In het stuk staat de zinsnede “De handleiding van het CBP om Google Analytics privacyvriendelijk in te stellen is raadpleegbaar op de website van het CBP.”
Het had handig geweest als die zin aanklikbaar was geweest en zou leiden naar:
https://cbpweb.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics_0.pdf
Graag gedaan.