Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Hoe plaats ik cookies nu 25 mei is geweest?

“Twee van de drie websites overtreden de nieuwe privacywetgeving”, dat is wat ik vanmorgen meerdere malen op de radio hoorde onderweg naar werk. Het gaat hier om cookies, een techniek waarmee veel websitehouders de mist in gaan. De Consumentenbond heeft 150 websites gecontroleerd op het juist vertonen van de cookiebanner bij het plaatsen van cookies, waarbij dus 69% de Algemene Verordening Gegevensbescherming (AVG) overtrad. Dat het fout gaat, is nu goed duidelijk gemaakt, maar hoe moet het dan wel?

Wat zijn cookies nu eigenlijk?

Cookies zijn kleine bestandjes die met pagina’s van de desbetreffende website worden meegestuurd en door de browser van de websitebezoeker op de harde schijf van zijn computer of ander apparaat worden opgeslagen. Deze cookies kunnen essentieel zijn, bijvoorbeeld om te zorgen dat een winkelmandje werkt, maar ook gebruikt worden om hele klantprofielen op te bouwen, de zogenaamde trackingcookies. Om te voorkomen dat anderen zomaar allerlei persoonsgegevens gaan verzamelen via cookies of andere technieken zoals pixels en JavaScript, zijn er regels vanuit de Europese Unie opgesteld. Deze regels zijn destijds opgenomen in onze Telecommunicatiewet.

Toestemming: de cookiebanner

De Telecommunicatiewet haakte met betrekking tot de uitleg van het begrip ‘toestemming’ aan bij de Wet bescherming persoonsgegevens die onlangs vervangen is door de AVG. Toestemming is noodzakelijk voor cookies die niet door de Telecommunicatiewet zijn uitgezonderd. Voorbeelden van uitgezonderde cookies zijn essentiële en strikt functionele cookies en cookies die gebruikt worden om informatie te krijgen over de kwaliteit en effectiviteit van de geleverde dienst én geen of geringe gevolgen hebben voor de privacy van de websitebezoeker (hele mond vol, maar denk aan privacyvriendelijk ingestelde Google Analytics).

Waarbij eerder door de wetgever is aangegeven dat voldaan werd aan het toestemmingsvereiste wanneer er juist geïnformeerd werd en de websitebezoeker zelf verder surfte, is het nu noodzakelijk dat de websitebezoeker een actieve handeling verricht waarvan je zeker moet kunnen zijn dat hij daarmee toestemming bedoelde te geven. Een banner als:

indien u verder klikt op onze website, gaat u akkoord met het gebruik van cookies die wij of derden plaatsen, waarmee wij of derden bepaalde persoonsgegevens verwerken voor doel A, B en C. Bekijk onze cookieverklaring voor meer informatie

volstaat dus niet langer en zal vervangen moeten worden door een echte “Ik ga akkoord” of “Ik ga niet akkoord” knop, of wellicht meer specifiek een toestemmingsknop per categorie cookie, maar dat laatste staat ter discussie. Het toevoegen van ieder geval een akkoord en niet akkoord knop is nodig omdat het doorsurfen, hoewel ook dat een actieve handeling is, wel een impliciete toestemming inhoudt. De websitehouder (de cookieplaatser) moet er echt vanuit kunnen gaan dat het doorsurfen zag op het uitdrukking geven aan de wilsuiting tot het geven van toestemming voor het verwerken van persoonsgegevens die via die cookies verkregen worden.

Sinds de invoering van de AVG moet de toestemming dus echt actief verkregen worden, waarbij ook vooral het documenteren van deze toestemming belangrijk is. De bewijslast voor de vraag of toestemming is verkregen ligt namelijk bij de verwerkingsverantwoordelijke, wat in veel gevallen de websitehouder zal zijn. Naast een knop voor toestemming dient de cookiebanner ook de volgende informatie te bevatten:

–       welke partij(en) gebruikmaken van de cookies;

–       welke categorieën van cookies geplaatst worden;

–       waarvoor de cookies gebruikt worden;

–       een link naar de cookieverklaring.

Informatieplicht: de cookieverklaring

Met een goede cookiebanner alleen ben je er nog niet als je wil voldoen aan de AVG. Wanneer persoonsgegevens van de betrokkene worden verzameld (hier de websitebezoeker) zal de verwerkingsverantwoordelijke (de websitehouder) hierover moeten informeren. Dit kan hij het beste doen via een cookieverklaring. Deze cookieverklaring dient makkelijk vindbaar te zijn, bijvoorbeeld via een linkje in de footer, en hiernaast ook in begrijpelijke taal opgesteld te zijn. In deze cookieverklaring informeer je de betrokkene onder meer over:

–       de identiteit en contactgegevens van de verwerkingsverantwoordelijke;

–       wat cookies (en ander technieken zoals pixels) zijn;

–       welke cookies geplaatst worden;

–       de bewaartermijnen per cookie;

–       het doeleinde van elke cookie;

–       de rechten van de betrokkene.

Nieuwe regelgeving op komst: e-privacyverordening

Zoals bij sommigen al bekend is, komt er ‘weer’ nieuwe regelgeving aan met betrekking tot cookies. Het gaat hierbij om de e-privacyverordening die onze huidige regels in de Telecommunicatie zal vervangen. Wij verwachten echter dat dit het komende jaar nog niet het geval zal zijn. Interessant om te vermelden is dat, anders dan in eerdere conceptversies van de verordening, de meest recente versie ruimte laat voor het blokkeren van toegang indien iemand cookies weigert te accepteren:

Access to specific website content may still be made conditional on the consent to the storage of a cookie or similar identifier. (…) In some cases, making access to website content conditional to consent to the use of such cookies may be considered to be disproportionate. This is for example the case for websites providing certain services, such as those provided by public authorities, where the user could be seen as having few or no other options but to use the service, and thus having no real choice as to the usage of cookies. – (8537/18, 4 mei 2018, overweging 20)

Toegang tot content voorwaardelijk verbinden aan toestemming staat duidelijk op gespannen voet met de eis dat toestemming vrijelijk gegeven moet zijn. Een argument van de content eigenaar zou natuurlijk kunnen zijn dat de bezoeker ook een alternatieve website had kunnen bezoeken en daarmee dus in wezen in alle vrijheid akkoord is gegaan. Maar wat zodra er geen alternatieven zonder cookies (meer) beschikbaar zijn?

Zoals het er nu uitziet wordt het straks mogelijk om eenvoudig via browserinstellingen toestemming per categorie cookie op te nemen. Wat hier het voordeel van is, zie ik nog niet zo snel, omdat ik verwacht (en het vanuit commercieel oogpunt logisch vind) dat elke website dan alsnog een cookiebanner zal plaatsen om toch toestemming te verkrijgen voor de categorieën cookies waar de bezoeker via zijn browser geen algemene toestemming voor heeft gegeven. Natuurlijk zal ook de e-privacyverordening (net zoals de Telecommunicatiewet) aanhaken bij de AVG, bijvoorbeeld voor de invulling van het begrip ‘toestemming’.

Website op orde hebben

De AVG heeft veel voeten in de aarde, waaronder op het gebied van cookies. Hoewel de Autoriteit Persoonsgegevens, de toezichthouder met betrekking tot de AVG, niet direct zal overgaan tot het opleggen van boetes bij overtredingen, is er wel de mogelijkheid dat een andere toezichthouder, de Autoriteit Consument en Markt, hier al boetes voor zal geven. Ik raad dan ook zeker aan om de website op het gebied van privacy en dus ook op het gebied van cookies op orde te hebben.


Advies nodig over de regels op het gebied van cookies?

Heeft u hulp nodig om te voldoen aan de regels omtrent cookies? Wij staan uiteraard voor u klaar. Neem contact op met een van onze e-commerce specialisten voor de mogelijkheden of lees meer over onze dienst Cookiecare.

Samantha van de Stouwe

Juridisch adviseur - ICTRecht Groningen

Mr. Samantha van de Stouwe is werkzaam als juridisch adviseur bij ICTRecht Groningen in de Mediacentrale. Binnen ICTRecht richt zij zich voornamelijk op het beantwoorden van juridische vraagstukken op het gebied van privacy en blockchain. Verder behoort het certificeren van webwinkels voor Thuiswinkel.org ook tot haar expertise.


Er zijn 2 reacties

  1. Dank voor het duidelijke artikel; dit is precies de lijn die wij ook hanteren. Vandaar ook mijn verbazing over de officiële verklaring van de Persgroep die wij kregen na een vraag. Zou je daarover iets kunnen zeggen?

    “De websites van de Persgroep zijn overwegend afhankelijk van advertentie-inkomsten. De Persgroep gebruikt onder meer cookies om gebruikers van haar websites de meest relevante artikelen en advertenties te tonen. Om gebruik te kunnen maken van de websites van de Persgroep dienen gebruikers daarom toestemming te geven middels de cookiemuur voor het plaatsen van cookies.

    De Telecommunicatiewet bevat de regels omtrent deze cookies, welke voortkomen uit de Europese ePrivacy richtlijn. Op grond van deze regels mogen bepaalde cookies niet zonder toestemming worden geplaatst. Volgens de wetgever is een cookiemuur een rechtmatige manier om deze toestemming te verkrijgen. Dit principe van ‘voorwaardelijk toegang’ staat in de ePrivacy richtlijn.

    De AVG (Algemene Verordening Gegevensbescherming) verandert de regels omtrent cookies niet. Dit blijkt mede uit artikel 95 van de AVG. Momenteel wordt er in Europa gesproken over een herziening van de ePrivacy richtlijn. Uit de laatste concepten van wat dan de ePrivacy verordening gaat heten, blijkt dat het principe van ‘voorwaardelijk toegang’ wordt gehandhaafd. Onze cookiemuur zal naar verwachting onder de ePrivacy verordening rechtmatig zijn. Mochten de regels toch nog veranderen, dan zullen wij ook onze cookiemuur waar nodig herzien.”

    1. Beste Rolf,
      Hartelijk dank voor uw interesse in en reactie op onze blog.

      De Persgroep wijst in hun statement erop dat de cookiewall onder de e-privacyverordening is toegestaan. In eerdere versies van de e-privacyverordening leek dit niet het geval te zijn, maar de laatste versie lijkt dit wel goed te vinden:

      “Access to specific website content may still be made conditional on the consent to the storage of a cookie or similar identifier. (…) In some cases, making access to website content conditional to consent to the use of such cookies may be considered to be disproportionate. This is for example the case for websites providing certain services, such as those provided by public authorities, where the user could be seen as having few or no other options but to use the service, and thus having no real choice as to the usage of cookies. – (8537/18, 4 mei 2018, overweging 20)”

      Met betrekking tot de opmerking over artikel 95. Hier is aardig wat onduidelijkheid en discussie over of de AVG wel of niet al gevolgd moet worden. Dit is een interessant discussiepunt. Wij bekijken dan ook we over de E-privacyverordening een workshopmiddag kunnen organiseren.

      Met vriendelijke groet, Alisa Schurink namens Samantha van de Stouwe

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie