Europese richtsnoeren voor cookietoestemming


De Artikel 29 Werkgroep heeft recent een href="http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf">werkdocument met richtsnoeren gepubliceerd voor het verkrijgen van toestemming voor gebruik van cookies. De Werkgroep stelt dat de cookieregels in de verschillende EU-lidstaten nogal van elkaar verschillen. Om die reden komt de Werkgroep nu met haar zienswijze voor websites die opereren in de gehele EU.

De Werkgroep schetst de context door allereerst te verwijzen naar haar eerdere opinie over het toestemmingsvereiste”. Daaruit volgt dat toestemming moet voldoen aan vier vereisten:

 

  1. Specifieke informatie: Toestemming moet specifiek zijn en gebaseerd op gepaste informatie. Toestemming zonder te specificeren voor welk doeleinde de cookies worden gebruikt is onvoldoende;
  2. Timing: Toestemming moet in het algemeen voor het gebruik plaats vinden;
  3. Actieve keuze: Toestemming moet ondubbelzinnig zijn: er mag geen twijfel bestaan over de intentie van de websitebezoeker. Daarbij moet sprake zijn van een actieve handeling waaruit de wensen van de websitebezoeker blijkt.
  4. Vrij gegeven: Toestemming kan alleen geldig zijn als er sprake is van een echte keuze, zonder risico op bedrog, intimidatie, dwang of significante negatieve gevolgen als de websitebezoeker zijn/haar toestemming niet geeft.

De Werkgroep spitst deze vereisten vervolgens toe op cookies:

 

Specifieke informatie

De Werkgroep zet het toestemmingsvereiste voor cookies in dit licht en plaatst het in context. Zo stelt de Werkgroep dat een duidelijke, begrijpelijke en zichtbare vermelding op de website moet staan over het gebruik van cookies – bijvoorbeeld op de entry page. Vervolgens kan een linkje worden geplaatst naar een pagina waar alle soorten cookies worden benoemd. Daarbij moet de noodzakelijke informatie worden getoond voor welke doeleinden de cookies worden gebruikt en, indien relevant, een indicatie of derde partijen cookies plaatsen of data uit cookies verzamelen. Ook informatie over bewaartermijnen (cookie expiry date), typische waarden, details over third party cookies en andere technische informatie kan worden opgenomen om websitebezoekers volledig te informeren. De websitebezoeker moet ook geïnformeerd worden over hoe zij zijn/haar wensen over cookies kan aangeven, bijvoorbeeld hoe ze alle, sommige of geen cookies kunnen accepteren. En hoe ze dit in de toekomst kunnen veranderen.

 

Timing

Voor wat betreft de timing stelt de Werkgroep dat de toestemming voor het plaatsen of uitlezen van cookies moet zijn verkregen. Een eerste bezoek op een website mag dus niet leiden tot (ongevraagd) plaatsen van cookies (tenzij het een uitgezonderd cookie is uiteraard).

 

Actieve gedraging

Naast voornoemde informatie zal een website ook moeten informeren hoe de websitebezoeker zijn/haar toestemming geeft. Die informatie dient duidelijk, begrijpelijk en zichtbaar te vinden zijn op de entry page. Daarnaast dient de toestemming te zijn gebaseerd op een actieve gedraging. De Werkgroep noemt een tickbox, een button of een link dicht bij de informatie voldoende. Er moet sprake zijn van een traceerbare user-client request. (NB: een klik op “klik hier voor meer informatie over cookies” kan natuurlijk geen toestemming zijn.)

Uit de bewoordingen dat de klik dicht bij de gegeven informatie (cookiemelding) moet plaats vinden lijkt voort te vloeien dat de Werkgroep geen genoegen neemt met “doorklikken” op de website. Deze interpretatie ben ik zelf nog niet eerder tegen gekomen, en ik vind het persoonlijk wat overtrokken. Immers het vereiste is dat het ondubbelzinnig (zonder twijfel) duidelijk moet zijn dat een gebruiker akkoord is met het gebruik van cookies. De interpretatie van de Werkgroep lijkt beperkte dan dit vereiste.

 

Vrij gegeven

Ook de interpretatie voor het vereiste dat de toestemming “vrij gegeven” moet zijn lijkt wat strikte te worden geïnterpreteerd door de Werkgroep dan tot nu toe werd gedaan. Zo stelt de Werkgroep dat een cookiemuur (lees: toegang tot de website ontzeggen) in het algemeen niet is toegestaan. De website-exploitant zou de mogelijkheid moeten geven om de website zo cookieloos mogelijk te bezoeken. Ook wordt aanbevolen om een gradatie in cookietoestemming (alle cookies, alleen bepaalde soorten cookies, geen cookies) te hanteren. Ik meen dat een cookiemuur niet in alle gevallen hoef te leiden tot het ontbreken van vrij gegeven toestemming. Immers kan een website bezoeker er vrij voor kiezen om een website te bezoeken of om een website van een concurrent te bezoeken. Dat zal pas anders zijn bij websites van exploitanten met een monopolie of een publieke taak.

 

Kortom: in het algemeen weinig nieuws onder de zon, maar de Werkgroep houdt er wel een strikte interpretatie op na voor wat betreft de “actieve gedraging” en de “vrijheid” waarin de toestemming gegeven moet worden. De regels zijn echter wel duidelijk. Het wordt dus lastiger en lastiger voor partijen om met droge ogen te beweren dat ze niet weten hoe ze moeten voldoen…

Terug naar overzicht