Factsheet Hoe om te gaan met de nieuwe cookieregels?

PDF

Download de factsheet

Hoe om te gaan met de nieuwe cookieregels?
Wat mag er nog met cookies? Moet voor elke cookie toestemming gevraagd worden?

Update: het wetsvoorstel zal per 1 juli in werking treden. Lees de blog van Louise over dit onderwerp.

‘Eindelijk’ is hij definitief: de nieuwe cookiewet. Deze wet is er niet zonder slag of stoot gekomen. Vooral in de marketingbranche, die veel met zogenaamde tracking cookies werkt, is er sprake van veel verwarring. Mogen cookies nog, en zo ja, wanneer dan? Moet er voor elk cookie een venster getoond worden waarin toestemming gevraagd wordt, of kan worden volstaan met een algemene zin in de privacyverklaring? In deze factsheet vindt u ons praktisch advies over hoe om te gaan met de nieuwe regels.

Cookieworkshop: Meer weten over cookies en de wet? Schrijf u dan nu in voor onze workshop Cookies in de praktijk!

Waarom zo streng zijn voor cookies?

Vanwaar nu alle ophef over en angst voor cookies? Een cookie is namelijk niets meer dan een tekstbestandje dat op de computer van de internetter wordt geplaatst. Er zijn verschillende soorten cookies. Er zijn zogenaamde technische cookies, die er bijvoorbeeld voor zorgen dat tijdens het bezoek aan een webwinkel het winkelmandje de producten onthoudt, en er zijn tracking cookies. Deze cookies worden vaak door adverteerders (third parties) via hun advertentie op de computer van de internetter geplaatst. Wanneer de internetter verder surft, kunnen sommige websites (indien ze een bepaalde code hebben ingebouwd) het cookie herkennen en dan gepersonaliseerde advertenties tonen. Daarnaast kunnen deze cookies het surfgedrag van de internetter bijhouden waardoor een zeer specifiek profiel van de internetter wordt opgebouwd. Dit is erg handig voor marketeers: zij weten precies welke aanbiedingen ze het beste aan iemand kunnen doen.

Dit profiel kan echter zo gedetailleerd zijn dat er sprake is van een ‘gegeven wat herleidbaar is tot een identificeerbare natuurlijke persoon’, met andere woorden een persoonsgegeven. Ondanks dat niet alle tracking cookies (waarschijnlijk zelfs het overgrote deel niet) persoonsgegevens verzamelen is de wetgever van mening dat met dergelijke tracking cookies de privacy van de internetter te zeer in het gedrang komt en dat de internetter dus moet worden beschermd. Deze (discutabele) opvatting was reden voor een streng wetsartikel tegen cookies.

Informeren

Wanneer u dus een cookie wilt plaatsen op de computer van de internetter moet u de internetter vooraf informeren over uw identiteit, wat voor cookie er wordt geplaatst, waarvoor u dat doet en moet u toestemming voor de plaatsing hebben gekregen. De Nederlandse wetgever gaat hierbij veel verder dan is bedoeld door de Europese regelgever. Met name het woord ‘toestemming’ wordt in Nederland streng uitgelegd: dat moet een vooraf gegeven, expliciete en ondubbelzinnige toestemming zijn. Stilzwijgend toestemming geven kan niet!

Gelukkig kent de wet enkele uitzonderingen. De nieuwe wet bepaalt namelijk expliciet dat deze strenge regel niet geldt voor technische cookies. Het doemscenario dat straks voor elke cookie een akkoord moet worden gegeven is dan ook — gelukkig maar — onzin. Voor tracking cookies moet wel toestemming worden gevraagd, maar gelukkig hoeft dat slechts eenmalig te gebeuren per aanbieder en per soort cookie. Wanneer dit cookie echter voor andere doelen wordt ingezet, moet er wel weer opnieuw toestemming worden gevraagd.

Wat moet u doen?

Allereerst moet u de internetter voordat u het cookie plaatst van duidelijke en volledige informatie voorzien. In die informatie moet u in ieder geval het volgende zeggen:

  • Wie u bent;
  • Wat u gaat plaatsen;
  • Waarvoor u dit gaat plaatsen;
  • Of u de zo verkregen gegevens aan derden verstrekt.

Naar de letter van de wet is het niet voldoende deze informatie ergens in een privacyverklaring op de website te ‘verstoppen’.

Maar hoe geef je deze informatie vooraf? Het meest aan te raden is de informatie tegelijkertijd te geven met de vraag over de toestemming. Een aantal praktische tips vindt u aan het einde van deze factsheet.

Het nieuwe wetsartikel over cookies

In de Telecommunicatiewet wordt nu een nieuw artikel toegevoegd over de plaatsing van cookies:

…een ieder die door middel van elektronische communicatienetwerken (internet bijvoorbeeld) gegevens wenst op te slaan in de randapparatuur van de gebruiker (een cookie wordt op de computer van de internetter geplaatst) moet de gebruiker duidelijke en volledige informatie verstrekken over de doeleinden waarvoor men de gegevens (het cookie) wenst op te slaan én moet van de gebruiker toestemming hebben gekregen voor de handeling.

Toestemming

Het grote struikelblok is het gegeven dat u de internetter om ondubbelzinnige toestemming moet vragen het cookie te plaatsen. Dit houdt in dat er geen enkele twijfel mag bestaan over het feit of de internetter het cookie wel (of misschien niet) wilde. U moet zelfs kunnen bewijzen dat de internetter voor de plaatsing zijn toestemming heeft gegeven!

Er mag (en kan) hierbij dus niet worden gewerkt met een puur passief systeem waarbij de gebruiker zelf maar moet ontdekken of er wellicht  cookies op zijn computer staan en wat die cookies doen. Browsers bieden hier vaak een knopje voor, maar de standaard browserinstellingen zijn niet voldoende voor het geven van toestemming. Dit met name omdat ze standaard alle cookies accepteren, maar ook omdat je vaak alleen grofmazig wel/geen cookies kunt accepteren. Je kunt met de browsers meestal niet kiezen van welke aanbieder je wel en van welke aanbieder je geen cookies wenst te ontvangen. Het zou mooi zijn als de browsers hier binnenkort op worden aangepast. De vraag is dan echter nog steeds of de toestemming wel specifiek genoeg wordt gegeven.

Tot die tijd moet de toestemming – helaas – op een andere manier worden verkregen. Een notificatie (pop-up) voordat een cookie wordt geplaatst is dan de meest betrouwbare manier om aan de wet te voldoen. Dit is echter ook de meest onpraktische manier. Daarom hebben wij hieronder een aantal andere mogelijke manieren gegeven.

Praktische tips: Wat zou u kunnen doen?

  • U zou voordat men de echte website bereikt de internetter een webpagina kunnen laten zien waarop u zegt wie u bent, welke cookies u plaatst en wat u daarmee doet. U zou dan op de pagina de keuze kunnen maken de website zonder cookies en de website met cookies te openen. Deze keuze mag u opslaan voor de volgende bezoeken van de internetter aan uw website.
  • U zou op de website slechts ongepersonaliseerde advertenties kunnen laten zien met daarbij de vermelding dat de internetter op een button moet klikken om een cookie te plaatsen wat ervoor zorgt dat de internetter in het vervolg gepersonaliseerde advertenties te zien krijgt.
  • U zou de internetter bij registratie op de website om toestemming voor plaatsing van tracking cookies kunnen vragen en hem tegelijkertijd van informatie hierover kunnen voorzien. U zou dan zelfs het geven van de toestemming voor dergelijke cookies als voorwaarde voor de registratie kunnen stellen.
  • U zou de internetter bepaalde voordelen (kortingen etc.) kunnen aanbieden wanneer hij de toestemming tot het plaatsen van dergelijke cookies verleent.
  • Wanneer u niet zelf dergelijke cookies plaatst is het aan te raden advertentienetwerken te gebruiken die zelf de toestemming al goed hebben geregeld. Een dergelijke pagina kan wel uw positie in zoekmachines negatief beïnvloeden.

Let op! Er moet naast toestemming voor het plaatsen van het cookie ook nog altijd toestemming worden gevraagd voor het aanmaken van profielen en het bijhouden van het surfgedrag van de internetter. Dit kan in dezelfde tekst, mits het maar duidelijk is dat er voor twee zaken toestemming wordt gegeven.

Wat moet u nog meer doen?

In de nieuwe wet staat ook dat wanneer de plaatsing van het cookie tot doel informatie van de internetter verzamelen en gegevens bij houden over zijn surfgedrag heeft, dit een verwerking van persoonsgegevens is. Dit houdt in dat de Wet bescherming persoonsgegevens van toepassing is. Dit betekent dat wanneer u bijvoorbeeld tracking cookies plaatst u te allen tijde hiervan een melding moet maken bij het College bescherming persoonsgegevens (Cbp). Daarnaast moet u voldoen aan de verzoeken van de internetter tot inzage en correctie van de van hem bij u bekende gegevens.

Wat wanneer u niet aan de cookieregels voldoet?

Stel: u vraagt geen toestemming of geeft onvoldoende informatie over de cookies die u plaatst, wat zijn dan de gevolgen? Volgens de wet kunnen in zo’n geval zowel de OPTA als het Cbp als toezichthouders optreden. Zij hebben de mogelijkheid om bij overtreding van de wet aanzienlijke boetes op te leggen, die gemakkelijk in de tienduizenden euro’s kunnen lopen.

Daarnaast kan de internetter u aansprakelijk stellen voor het schenden van zijn recht op privacy en daarbij een schadevergoeding eisen. Dit geldt overigens ook wanneer u niet zelf deze cookies plaatst, maar advertenties of diensten van derden hiervoor verantwoordelijk zijn. Het is en blijft uw site en dus uw verantwoordelijkheid wat er op computers van bezoekers geplaatst wordt.

Initiatieven uit de marketingbranche: het cookie-icoon

De marketingbranche heeft in de aanloop naar de nieuwe wet al een aantal initiatieven genomen om mogelijk tegemoet te komen aan de regels. Zo is door de branche het zogenaamde cookie-icoon geïntroduceerd. Dit icoon komt bij advertenties en op websites te staan. Wanneer de internetter op dit icoon klikt komt hij op een website die informatie geeft over het gebruik van cookies in de marketingbranche. Daarnaast kan de internetter op die website zijn voorkeuren aangeven: van wie hij wel en van wie hij geen cookies wil ontvangen.

Het is echter nog maar de vraag of dit binnen de wet valt, het is namelijk geen expliciete opt-in. Zeker niet wanneer de cookies al geplaatst zijn voordat men deze website ooit bezocht heeft. Wij adviseren dan ook om alleen met expliciete opt-in te werken en niet alleen het cookie-icoon in te zetten.