ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

De e-Privacyverordening: eindelijk de Nederlandse cookiewet op de schop

13 januari 2017 Door

Juridisch Product

De cookiewet is er gekomen vanwege zorgen over de privacy. Met cookies is het immers mogelijk mensen te volgen (zeker bij third-party cookies) en zo uitgebreide informatie over hun interesses op te bouwen.

De huidige Nederlandse cookiewet zal per 25 mei 2018 mogelijk worden vervangen door een nieuwe Europese cookiewet namelijk, de door de Europese Commissie (EC) voorgestelde, e-Privacyverordening (EPV). In deze blogpost wordt kort uiteengezet wat hiervan nu precies de gevolgen zullen zijn.

Nieuwe cookieregels

In de huidige Nederlandse cookiewet is bepaald dat cookies mogen worden geplaatst indien hiervoor toestemming is gekregen, of wanneer deze louter functioneel zijn, of indien de cookies geen of geringe invloed hebben op de persoonlijke levenssfeer van de betrokkene.

Op basis van de EPV (artikel 8, lid 1) zal het plaatsen van cookies nog enkel zijn toegestaan, wanneer:

  • hiervoor toestemming is verkregen;
  • de geplaatste cookies louter functioneel zijn; of
  • de cookies enkel dienen voor het bijhouden van webstatistieken door de dienstaanbieder (let op: niet door een derde partij, zoals bijvoorbeeld Google Analytics).

Toestemmingsvereiste en cookiewalls

Ten aanzien van de vereiste toestemming voor cookies, wordt in de EPV verwezen naar de Algemene Verordening Gegevensbescherming (AVG). Waaronder het mogelijk moet zijn voor een betrokkene om de toestemming te allen tijde in te kunnen trekken (artikel 7 AVG). In artikel 4 lid 11 AVG wordt onder toestemming verstaan:

Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

Het verkrijgen van toegang tot een website is, volgens de EC in het voorstel voor de EPV, essentieel voor individuen om te kunnen communiceren en deel te nemen aan de digitale economie (overweging 18 EPV). Met het gebruik van een cookiewall wordt dan ook niet langer voldaan aan de toestemmingsvereiste.

Een nieuwe mogelijkheid waarmee wel aan deze toestemmingsvereiste kan worden voldaan, zijn instellingen in de internetbrowser (artikel 9, lid 2 EPV). Zo moet nieuwe browser software een gebruiker, bij de installatie hiervan, wijzen op het instellen van deze privacy-opties (artikel 10 lid 2 EPV). Bestaande software moet de privacy-opties hiervoor bij een eerste update, dan wel uiterlijk voor 25 augustus 2018, aan de gebruiker voor leggen (artikel 10, lid 3 EPV).

Nieuwe regels device fingerprinting

Behalve nieuwe cookieregels, introduceert de EPV ook nieuwe regels over het gebruik van device fingerprinting. Met device fingerprinting wordt het verzamelen van gegevens bedoeld, die worden uitgezonden door een apparaat (bijv. een telefoon, tablet of laptop) bij het gebruik maken van internet via een internetbrowser. Gegevens die middels device fingerprinting kunnen worden verkregen, zijn bijvoorbeeld; een IP-adres, locatiegegevens, het gebruikte besturingssysteem, de schermgrootte (nodig voor bijvoorbeeld responsive websites) en het gebruikte lettertype.

Het verzamelen van gegevens via device fingerprinting is op basis van de EPV (artikel 8, lid 2) alleen toegestaan wanneer:

  • dit noodzakelijk is om een verbinding met de website mogelijk te maken;
  • de bezoeker van een website duidelijk wordt geïnformeerd over de gegevensverzameling, en een opt-out mogelijkheid heeft.

Daarnaast, zijn voor de tweede grondslag de artikelen uit de AVG over de informatieplicht (artikel 13) en adequate bescherming (artikel 32) ook van toepassing verklaard.

Boetes

Net als onder de AVG, nemen de boetebevoegdheden van de toezichthouder op basis van de EPV enorm toe. Zo mogen er bij overtreding van de EPV door de nationale toezichthouder boetes worden opgelegd van maximaal 20 miljoen, of 4% van de wereldwijde omzet.

Kortom, wanneer dit wetsvoorstel erdoor komt zal de Nederlandse cookiewet worden vervangen door de EPV. Dit betekent dat een cookiewall niet langer voldoende is, toestemming moet kunnen worden gegeven via browserinstellingen en het verzamelen van gegevens via device fingerprinting (evenals het gebruik van cookies) aan striktere regels zal worden gebonden.

 

ICTRecht Academy

Wat staat er in een bewerkersovereenkomst en hoe onderhandel je daar over? Hoe zit het met de Meldplicht Datalekken en hoe bereid ik mijn organisatie voor op de Algemene Verordening Gegevensbescherming? Met de privacytrainingen van ICTRecht Academy voor juridische professionals en algemeen publiek krijgt u praktische antwoorden op deze en andere privacyvragen.

 

Michelle Wijnant

Juridisch adviseur

Michelle Wijnant is senior juridisch adviseur bij ICTRecht. Binnen ICTRecht houdt Michelle zich voornamelijk bezig met alle juridische aspecten rondom privacy.

Michelle adviseert zowel profit als non-profit organisaties over het werken in lijn met de privacy- en telecommunicatiewetgeving, en de daarbij behorende juridische vraagstukken.


Er zijn 2 reacties

  1. Hi Mark,

    Er is nog geen definitieve versie van de e-Privacy Verordening (EPV). De laatste wijziging van de concepttekst heeft plaatsgevonden op 5 december 2017 door de Raad van de Europese Unie. Het zal dan ook niet gaan lukken om de EPV vanaf 25 mei 2018 van kracht te laten gaan. Naar verwachting, zal dit pas in de loop van 2018 begin 2019 gaan gebeuren.

    Groet,
    Alisa Schurink namens Michelle Wijnant

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *