De huidige Nederlandse cookiewet zal per 25 mei 2018 mogelijk worden vervangen door een nieuwe Europese cookiewet namelijk, de door de Europese Commissie (EC) voorgestelde, e-Privacyverordening (EPV). In deze blogpost wordt kort uiteengezet wat hiervan nu precies de gevolgen zullen zijn.
In de huidige Nederlandse cookiewet is bepaald dat cookies mogen worden geplaatst indien hiervoor toestemming is gekregen, of wanneer deze louter technisch of functioneel zijn, of indien het analytische cookies betreft die geen of geringe invloed hebben op de persoonlijke levenssfeer van de betrokkene.
Op basis van de EPV (artikel 8, lid 1) zal het plaatsen van cookies nog enkel zijn toegestaan, wanneer:
De cookieregels zullen niet alleen van toepassing zijn op het gebruik van cookies, maar ook op het gebruik van andere volgtechnieken zoals device fingerprinting (het verzamelen van gegevens bedoeld, die worden uitgezonden door een apparaat (bijv. een telefoon, tablet of laptop) bij het gebruik maken van internet via een internetbrowser).
Ten aanzien van de vereiste toestemming voor cookies, wordt in de EPV verwezen naar de Algemene Verordening Gegevensbescherming (AVG). Waaronder het mogelijk moet zijn voor een betrokkene om de toestemming te allen tijde in te kunnen trekken (artikel 7 AVG). In artikel 4 lid 11 AVG wordt onder toestemming verstaan:
Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.
Het verkrijgen van toegang tot een website is, volgens de EC in het voorstel voor de EPV, essentieel voor individuen om te kunnen communiceren en deel te nemen aan de digitale economie (overweging 18 EPV). Met het gebruik van een cookiewall wordt dan ook niet langer voldaan aan de toestemmingsvereiste.
Een nieuwe mogelijkheid waarmee wel aan deze toestemmingsvereiste kan worden voldaan, zijn instellingen in de internetbrowser (artikel 9, lid 2 EPV). Zo moet nieuwe browser software een gebruiker, bij de installatie hiervan, wijzen op het instellen van deze privacy-opties (artikel 10 lid 2 EPV). Bestaande software moet de privacy-opties hiervoor bij een eerste update, dan wel uiterlijk voor 25 augustus 2018, aan de gebruiker voor leggen (artikel 10, lid 3 EPV).
Net als onder de AVG, nemen de boetebevoegdheden van de toezichthouder op basis van de EPV enorm toe. Zo mogen er bij overtreding van de EPV door de nationale toezichthouder boetes worden opgelegd van maximaal 20 miljoen, of 4% van de wereldwijde omzet.
Kortom, wanneer dit wetsvoorstel erdoor komt zal de Nederlandse cookiewet worden vervangen door de EPV. Dit betekent dat een cookiewall niet langer voldoende is, toestemming moet kunnen worden gegeven via browserinstellingen en het verzamelen van gegevens via device fingerprinting (evenals het gebruik van cookies) aan striktere regels zal worden gebonden.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.