De cookiewet is een Nederlandse wet. Toch kan deze ook gelden voor buitenlandse partijen, hoewel het nog maar de vraag is of dit ook daadwerkelijk gehandhaafd zal worden.
Allereerst geldt de Nederlandse wet alle bedrijven en diensten die zich “op Nederland” richten, zoals blijkt uit de algemene rechtspraak over bevoegdheid van de Nederlandse rechter. Het gaat dus niet om bijvoorbeeld welke extensie de domeinnaam van de site heeft, of waar het bedrijf formeel gevestigd is. Je moet alle omstandigheden bij elkaar optellen en dan de conclusie trekken “ja, dit is gewoon een Nederlandse site”.
Zo komt Bol.com écht niet weg met “we hebben een .com domeinnaam en onze servers staan in Duitsland”. Ze zijn een Nederlandse boekhandel. Amazon.com daarentegen is niet op Nederland gericht, want dat blijkt uit niets. Nou ja, ze sturen je boeken desgevraagd naar Nederland maar dat is het wel zo’n beetje. En die ene factor is niet genoeg.
De cookiewet kan ook om een andere reden voor buitenlandse bedrijven gelden. Wanneer een Amerikaans bedrijf op een Nederlandse computer een cookie plaatst, is volgens de privacytoezichthouder de Nederlandse privacywet van toepassing. Dat Amerikaans bedrijf gebruikt namelijk een Nederlands systeem voor privacygevoelige handelingen. Wel moet het dan gaan om een cookie dat persoonsgegevens verwerkt.
Natuurlijk is het wel lastig om een Amerikaans bedrijf daadwerkelijk te dwingen deze wet na te leven, maar als zo’n bedrijf een vestiging in Europa heeft dan wordt dat een stuk eenvoudiger. Google is bijvoorbeeld al diverse malen in Europa aangesproken door privacytoezichthouders wegens schendingen van de privacy van Europese burgers.
Formeel kan dus een partij als Google of Facebook aan de Nederlandse wet gehouden worden. Maar of de OPTA ook zal handhaven naar deze partijen toe is zeer de vraag.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.