Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

De cookiewet is erdoor!

Na bezwaren uit de marketingbranche was de stemming van de Telecomwet in de Eerste Kamer vertraagd. Gisterenavond laat debateerde de eerste kamer dan toch over de telecomwet. Het resultaat? Nederland is voortaan netneutraal en er moet toestemming gevraagd worden voor het plaatsen van een tracking cookie!

Eerder vandaag blogde mijn collega Matthijs op hostingrecht.nl dat de Eerste Kamer het wetsvoorstel tot aanpassing van de telecomwet heeft aangenomen. Onderdeel van die wet is het beleid inzake cookies.Dat dat laatste een heikel is, moge duidelijk zijn. Clubs van adverteerders, zoals netwerken van affiliates, die hun geld verdienen aan cookies, schreeuwden deze morgen moord en brand. Zo werd op de Affiliateblog.nl over de nieuwe wet bericht onder de welluidende titel `En nu? De Cookiewet ellende begint`!

Waar gaat het over?

Een cookie is niets meer dan een tekstbestandje dat op de computer van de internetter wordt geplaatst. Op bijna alle websites worden algemene bezoekgegevens bijgehouden. Denk aan het IP-adres van de computer, de eventuele gebruikersnaam, het tijdstip van opvraging en gegevens die de browser van een bezoeker meestuurt.

De belangrijkste browsers; Microsoft, Mozilla en Google, hanteren alle drie als standaardinstelling dat cookies automatisch geaccepteerd worden. Gebruik je een van de drie browsers dan kan je er dus donder op zeggen dat je clickgedrag wordt geregistreerd en verkocht als informatie aan adverteerders.

Hierbij is een belangrijk onderscheid te maken tussen technische cookies (ook sessiecookies of functionele cookies genoemd) en tracking cookies.

Wat is het verschil tussen technische cookies en tracking cookies?

Zogenaamde technische cookies zorgen er bijvoorbeeld voor dat het winkelmandje de gekozen producten onthoudt tijdens je bezoek aan een webwinkel. Dit zijn de meest onschuldige cookies. In het algemeen vergemakkelijken ze het websitebezoek. Ze helpen om de instellingen van je bezoekers te onthouden en onder andere aanmeldgegevens en overzichten tijdelijk te bewaren.

Elementen van een webpagina zijn echter doorgaans afkomstig van meerdere servers. Zo staan op nu.nl advertenties die worden geplaatst door andere partijen (adverteerders). Sites zoals nu.nl worden in dit verband publishers genoemd. Bedrijven als Doubleclick, die een netwerk van websites van advertenties voorzien, worden ad network providers genoemd. Niet alleen publishers plaatsen cookies, maar ook ad network providers doen dit. Deze cookies worden ook wel third party cookies genoemd.

De third party cookies of tracking cookies gaan verder dan sessiecookies. Adverteerders plaatsen ze via hun advertentie op de computer van de bezoeker van uw site. Wanneer de bezoeker verder surft, kunnen sommige websites (indien ze een bepaalde code hebben ingebouwd) het cookie herkennen en registreren dat het om dezelfde bezoeker gaat. Zocht je vorige week nog naar een last minute vakantie naar Azië, dan is het geen toeval dat deze week alle advertenties die rechts op je zoekpagina verschijnen je een pakketreis naar Thailand, Maleisië of Indonesië willen verkopen.

Juist omdat tracking cookies aan de hand van het surfgedrag een profiel opbouwen, komen ze in het vaarwater van privacywetgeving. Adverteerders slagen erin je gepersonaliseerde advertenties te tonen omdat ze surfinformatie hebben die te herleiden is tot jouw persoon. Als dat zonder toestemming gebeurt, handelt de adverteerder of de publisher in strijd met de Europese Bijzondere privacyrichtlijn tot stand kwam. Die richtlijn heeft als kern de eerbiediging van de persoonlijke levenssfeer. En dat laatste in niet voor niets een mensenrecht.

De richtlijn eist daarom voorafgaande toestemming en informatieplicht voor het gebruik van tracking cookies en spyware. Een opt-in regime dus. Ondanks dat niet alle tracking cookies persoonsgegevens verzamelen. Het opt-in regime werd overgenomen in de aanpassing die de Eerste Kamer gisteren doorvoerde aan de telecomwetgeving!

Wat is een opt-in regime?

Dat is een regime waarbij de internetter – voor de plaatsing van het cookie – duidelijke en volledige informatie moet krijgen over :

  • Wie de cookie plaatst;
  • Wat u gaat plaatsen;
  • Waarvoor u dit gaat plaatsen;
  • Of degene die het cookie plaatst de verkregen gegevens aan derden verstrekt.

Naar de letter van de wet is het niet voldoende deze informatie ergens in een privacyverklaring op de website te ‘verstoppen’. Er mag (en kan) hierbij dus niet worden gewerkt met een puur passief systeem waarbij de gebruiker zelf maar moet ontdekken of er wellicht cookies op zijn computer staan en wat die cookies doen. De publisher moet zelfs kunnen bewijzen dat de bezoeker voor de plaatsing zijn toestemming heeft gegeven!

Browsers bieden hier vaak een knopje voor, maar de standaard browserinstellingen zijn niet voldoende voor het geven van toestemming. Uw bezoekers kunnen immers alleen grofmazig wel/geen cookies accepteren.

Inwerkingtreding en handhaving?

De cookie bepaling is op 5 juni 2012 in werking getreden. Wel is besloten tot volgend amendement : bedrijven die tracking cookies plaatsen, zullen pas vanaf 31 december van dit jaar moeten bewijzen dat ze geen persoonsgegevens verwerken. Tot die tijd moet de toezichthouder aantonen dat cookies die door een bedrijf worden geplaatst, persoonsgegevens bevatten.

Stel: u vraagt geen toestemming of geeft onvoldoende informatie over de cookies die u plaatst, wat zijn dan de gevolgen?

Volgens de wet kunnen in zo’n geval zowel de OPTA als het Cbp als toezichthouders optreden. OPTA heeft  de handhaving van de cookie-bepaling opgenomen in haar Focus voor 2012. OPTA heeft de mogelijkheid om bij overtreding van de wet aanzienlijke boetes op te leggen, die gemakkelijk in de tienduizenden euro’s kunnen lopen.

Nu is het afwachten hoe de toezichthouder de nieuwe regelgeving zal hanteren. De meest voorkomende online toepassingen maken immers gebruik van tracking cookies. Denk aan diensten zoals Google Analytics, Google Website Optimizer, Facebook en Twitter buttons ter ondersteuning van uw site.

Bent u adverteerder of publisher? In onze cookie-factsheet vind je praktische tips hoe om te gaan met de nieuwe regelgeving.

 

Louise Dancet

Voormalig juridisch adviseur bij ICTRecht.

Voormalig juridisch adviseur bij ICTRecht.


Er zijn 9 reacties

  1. @Martijn: ja, de wet steekt daar ook een stokje voor. De wet is ‘techniekneutraal’ geformuleerd, wat wil zeggen dat het niet uitmaakt met wat voor techniek er informatie op de computer van de eindgebruiker wordt opgeslagen en/of uitgelezen.

  2. Je schrijft dat de publisher moet kunnen bewijzen dat hij toestemming heeft verkregen. Dat is alleen waar voor zover de publisher zelf ook cookies plaatst en/of uitleest. De wet zegt tenslotte dat degene die cookies plaatst en/of uitleest (of op een andere manier info op randapparatuur opslaat en/of uitleest) daarvoor de toestemming moet verkrijgen en voorafgaand aan die plaatsing de gebruiker moet informeren. Meestal is dat niet de uitgever zelf, maar het advertentienetwerk (vaak meerdere per website).

  3. Dat is een interessante. Ik twijfel of een adverteerder als een zuivere verantwoordelijke te zien is, op zijn minst is er innige samenwerking tussen adverteerder en site-eigenaar. De site-eigenaar neemt immers de code op waarmee de cookie wordt gezet. En de adverteerde doet niets actiefs.

    Als jij de kopieermachine levert en ik druk op de knop, wie kopieert er dan?

    Ik zou het ook wel wat vinden om de site-eigenaar als bewerker aan te merken. Zijn website met code is immers een middel waarmee de adverteerder (verantwoordelijke) het gestelde doel “advertenties tonen” gaat halen. Via dit middel worden persoonsgegevens verwerkt voor dat doel, dus bewerkersrelatie.

  4. De advertentienetwerken bouwen de profielen op, niet de website! Die profielen zijn veel waard en worden geëxploiteerd door die advertentienetwerken. De website is voor hen slechts slechts een podium, en het wel of niet plaatsen van cookies bepaalt het advertentienetwerk, en niet de uitgever. Die weet soms niet eens dat via zijn website cookies worden geplaatst en kan daar hooguit via algemene voorwaarden invloed op uitoefenen. De wet is mijns inziens heel helder, de plaatser/uitlezer van cookies moet zorgen voor informatie en toestemming, de uitgever heeft medeverantwoordelijkheid voor de Informatievoorziening. Zo staat het ook in de richtlijn. Ter vergelijking: als een adverteerder de reclamecode schendt wordt hij daar zelf op aangesproken, dus niet primair de uitgever van het medium waarmee de laakbare uiting wordt gepubliceerd.

  5. Als de uitgever “soms niet eens weet” dat via zijn website cookies worden geplaatst, dan heeft hij sowieso een probleem want dat schendt al zijn informatieverplichting. (En hoezo “via algemene voorwaarden” invloed uitoefenen? Toestemming onder de privacywet kun je nooit via algemene voorwaarden verkrijgen.)

    Verder creëert dit een gat van jewelste: stop je cookiezetactiviteiten in een BV op de Azoren, buiten de EU, en roep dan “sorry ik zet geen cookies dus ik hoef niks te doen”. Dat kan toch niet de bedoeling zijn.

    Op zijn minst is er een afgeleide aansprakelijkheid als je willens en wetens wetsovertredende volgcookies opneemt.

    En de reclamecode zal vast bepalen dat de aansprakelijkheid bij de adverteerder ligt, maar wettelijk gezien is óók de uitgever van het tijdschrift aansprakelijk. Die kiest voor opname van de advertentie.

  6. Met ‘via de algemene voorwaarden invloed uitoefenen’ bedoel ik nadrukkelijk NIET het vragen van toestemming, want je hebt helemaal gelijk dat dit niet kan. Ik bedoelde daarmee juist het afdekken door de uitgever dat een adverteerder/advertentienetwerk ongemerkt via zijn site cookies plaatst, dat de adverteerder garandeert dat hij dit alleen zal doen conform de geldende privacyregels en aanprakelijk is voor alle schade wanneer hij die regels overtreedt. Voor die plaatsing en het uitlezen moet de plaatster toestemming verkrijgen en de uitgever heeft dan een informatieplicht na te komen. De vlucht van partijen (plaatsers van cookies!) naar het buitenland met soepeler regels is overigens gedurende het wetgevingstraject wel aan de orde gekomen en als mogelijk risico erkend.

  7. Ah, je bedoelt in de algemene inkoopvoorwaarden naar de adverteerders toe? Ja, dat zou wel haalbaar kunnen zijn. Dan creëer je een verhaalsrecht. Wel twijfel ik of de grote jongens dat accepteren.

    Ik ben heel benieuwd wanneer de eerste Nederlandse uitgever zal worden aangesproken op het overtreden van de cookiewet, en dan met het verweer komt “dat doet partij X uit Amerika, niet ik”. Want er zijn wel degelijk aanknopingspunten om dan toch die uitgever aan te spreken, al is het maar via de gewone onrechtmatige daad van het willens en wetens faciliteren van het schenden van rechten van anderen. Net zoals torrentsites die zelf geen auteursrechten schenden. We zullen zien 🙂

  8. Ik heb me nu een tijdje zitten verbazen over het feit dat iedereen deze eindeloze bemoeienis zonder slag of stoot slikt. Ik kan mij ergens heel ver weg situaties voorstellen die ongewenst zijn en waar misschien de privacygegevens in het geding komen. Maar met deze bejubelde cookiewet schieten we wel enorm door. Ik moet nu als consument bij bijna elke klik op het internet door die cookie-barriere. Dit aspect alleen al vind ik een stuk kwalijker dan de zogenaamde winst voor mij als consument, nu ik ‘beter beschermd zou zijn’. Wat nu als ik op voorhand de hele wereld toestemming zou kunnen geven om mij coookie-wise te volgen? Dan zou ik daar nu meteen voor kiezen. Dat gedoe waar ik nu op jaarbasis doorheen moet is een ongelooflijke ergernis. En als je dan bedenkt dat we nu met veel ongemak een druppende kraan hebben weten te repareren, terwijl op de achtergrond een rivier langs je enkels stroomt, dan is dit naar mijn idee een onzinnige exercitie geweest.
    Mijn vraag, die vast niet beantwoord kan worden door alle techneuten, op welke manier kan ik mijn pc automatisch toestemming laten geven op al die cookievragen?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie