De Artikel 29 Werkgroep heeft recent een href="http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf">werkdocument met richtsnoeren gepubliceerd voor het verkrijgen van toestemming voor gebruik van cookies. De Werkgroep stelt dat de cookieregels in de verschillende EU-lidstaten nogal van elkaar verschillen. Om die reden komt de Werkgroep nu met haar zienswijze voor websites die opereren in de gehele EU.
De Werkgroep schetst de context door allereerst te verwijzen naar haar eerdere opinie over het toestemmingsvereiste”. Daaruit volgt dat toestemming moet voldoen aan vier vereisten:
De Werkgroep spitst deze vereisten vervolgens toe op cookies:
Specifieke informatie
De Werkgroep zet het toestemmingsvereiste voor cookies in dit licht en plaatst het in context. Zo stelt de Werkgroep dat een duidelijke, begrijpelijke en zichtbare vermelding op de website moet staan over het gebruik van cookies – bijvoorbeeld op de entry page. Vervolgens kan een linkje worden geplaatst naar een pagina waar alle soorten cookies worden benoemd. Daarbij moet de noodzakelijke informatie worden getoond voor welke doeleinden de cookies worden gebruikt en, indien relevant, een indicatie of derde partijen cookies plaatsen of data uit cookies verzamelen. Ook informatie over bewaartermijnen (cookie expiry date), typische waarden, details over third party cookies en andere technische informatie kan worden opgenomen om websitebezoekers volledig te informeren. De websitebezoeker moet ook geïnformeerd worden over hoe zij zijn/haar wensen over cookies kan aangeven, bijvoorbeeld hoe ze alle, sommige of geen cookies kunnen accepteren. En hoe ze dit in de toekomst kunnen veranderen.
Timing
Voor wat betreft de timing stelt de Werkgroep dat de toestemming voor het plaatsen of uitlezen van cookies moet zijn verkregen. Een eerste bezoek op een website mag dus niet leiden tot (ongevraagd) plaatsen van cookies (tenzij het een uitgezonderd cookie is uiteraard).
Actieve gedraging
Naast voornoemde informatie zal een website ook moeten informeren hoe de websitebezoeker zijn/haar toestemming geeft. Die informatie dient duidelijk, begrijpelijk en zichtbaar te vinden zijn op de entry page. Daarnaast dient de toestemming te zijn gebaseerd op een actieve gedraging. De Werkgroep noemt een tickbox, een button of een link dicht bij de informatie voldoende. Er moet sprake zijn van een traceerbare user-client request. (NB: een klik op “klik hier voor meer informatie over cookies” kan natuurlijk geen toestemming zijn.)
Uit de bewoordingen dat de klik dicht bij de gegeven informatie (cookiemelding) moet plaats vinden lijkt voort te vloeien dat de Werkgroep geen genoegen neemt met “doorklikken” op de website. Deze interpretatie ben ik zelf nog niet eerder tegen gekomen, en ik vind het persoonlijk wat overtrokken. Immers het vereiste is dat het ondubbelzinnig (zonder twijfel) duidelijk moet zijn dat een gebruiker akkoord is met het gebruik van cookies. De interpretatie van de Werkgroep lijkt beperkte dan dit vereiste.
Vrij gegeven
Ook de interpretatie voor het vereiste dat de toestemming “vrij gegeven” moet zijn lijkt wat strikte te worden geïnterpreteerd door de Werkgroep dan tot nu toe werd gedaan. Zo stelt de Werkgroep dat een cookiemuur (lees: toegang tot de website ontzeggen) in het algemeen niet is toegestaan. De website-exploitant zou de mogelijkheid moeten geven om de website zo cookieloos mogelijk te bezoeken. Ook wordt aanbevolen om een gradatie in cookietoestemming (alle cookies, alleen bepaalde soorten cookies, geen cookies) te hanteren. Ik meen dat een cookiemuur niet in alle gevallen hoef te leiden tot het ontbreken van vrij gegeven toestemming. Immers kan een website bezoeker er vrij voor kiezen om een website te bezoeken of om een website van een concurrent te bezoeken. Dat zal pas anders zijn bij websites van exploitanten met een monopolie of een publieke taak.
Kortom: in het algemeen weinig nieuws onder de zon, maar de Werkgroep houdt er wel een strikte interpretatie op na voor wat betreft de “actieve gedraging” en de “vrijheid” waarin de toestemming gegeven moet worden. De regels zijn echter wel duidelijk. Het wordt dus lastiger en lastiger voor partijen om met droge ogen te beweren dat ze niet weten hoe ze moeten voldoen…
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.