Veel partijen maken gebruik van affiliate samenwerkingen. Bij deze samenwerkingen belonen adverteerders/dienstverleners hun partners (“affiliates’') voor aangebrachte klanten. Voor de affiliate is dit een verdienmodel. Voor de adverteerder is het een manier om meer websitebezoekers naar zijn website te trekken.
Om affiliate samenwerkingen als verdienmodel te laten werken, bieden affiliate cookies een uitkomst. Je moet immers kunnen achterhalen welke advertentie heeft geleid tot een bezoek aan de website. Met een affiliate cookie is te zien via welke advertentie een (potentiële) klant op de website terecht is gekomen, en welke affiliate dus moet worden betaald voor deze succesvolle link. Maar mogen affiliate cookies in alle situaties gewoon gebruikt worden? Of moet je voor het gebruik van affiliate cookies toestemming vragen? Wordt dat anders onder de nieuwe cookieregels? Vragen die we in deze blog gaan beantwoorden.
Het gebruik van cookies valt in Nederland onder de cookieregels uit artikel 11.7a van de Telecommunicatiewet. Op basis van de Telecommunicatiewet is toestemming nodig voor het gebruik van cookies voor trackingdoeleinden of ter verkrijging van analytische inzichten. Er is echter geen toestemming nodig voor het gebruik van puur technische of functionele cookies, of wanneer het gebruik van analytische cookies geen of een geringe privacyinbreuk teweegbrengt.
In de wetsgeschiedenis van de Telecommunicatiewet is opgemerkt dat affiliate cookies onder de uitzondering van de cookieregels vallen, waardoor er geen toestemming hoeft te worden gevraagd voor het plaatsen hiervan. Voorwaarde hiervoor is wel, dat de cookies alleen voor affiliate doeleinden worden gebruikt (lees: om een seintje te geven over het feit of de affiliate moet worden betaald of niet), er geen (volg)profiel wordt aangemaakt van de websitebezoeker en de levensduur van de cookies gelijk staat aan hoe lang ze nodig zijn voor de affiliatedoeleinden. De privacyinbreuk is dan namelijk gering. In veel gevallen maken affiliate cookies echter wel een (volg)profiel aan. In dat geval vallen de cookies niet langer onder de uitzondering, waardoor er wel toestemming moet worden gevraagd aan de websitebezoeker voor het plaatsen hiervan. Let wel; ongeacht of er wel of geen toestemming is vereist, geldt de informatieplicht voor cookies altijd.
Er zijn nieuwe cookieregels op komst in de vorm van de ePrivacyverordening (ePV). De ePV is echter nog niet definitief, dus voor onderstaande analyse ben ik uitgegaan van de laatste versie van de ePV van juli 2018. Het gebruik van cookies is onder de ePV - net als onder de Telecommunicatiewet - verboden, tenzij een van de uitzonderingen van toepassing is. Onder de ePV wordt echter een nieuw regime qua uitzonderingen geïntroduceerd. In het kader van affiliate cookies, zijn de volgende drie uitzonderingen uit de ePV relevant:
Hoe we de derde uitzondering moeten interpreteren (‘noodzakelijkheid voor het meten van publiek’) wordt in de overwegingen van de ePV wat meer verduidelijkt. Hierin staat namelijk dat cookies een rechtmatige en bruikbare tool kunnen zijn voor het meten van de effectiviteit van een dienst, waaronder de effectiviteit van websitedesign en advertenties. Het gebruik van affiliate cookies lijkt dan ook onder deze uitzondering te kunnen vallen, mits de cookies enkel worden ingezet voor het meten van de effectiviteit van de advertenties. Dit kan worden uitgelezen aan de hand van het aantal kliks. Dit lijkt dus op de uitzondering voor affiliate cookies zoals we die ook reeds onder de Telecommunicatiewet kennen.
Echter is aan de derde uitzondering (‘noodzakelijkheid voor het meten van publiek’) in de laatste versie van de ePV toegevoegd dat dit meten enkel mag worden gedaan door de websiteaanbieder zelf of door een derde in opdracht van de websiteaanbieder. De websiteaanbieder kan dit volgens de ePV alleen doen voor eigen doeleinden en met zelf aangewezen middelen. De partij die het meten uitvoert, handelt dus als verwerker.
Deze toevoeging zou weleens complicaties kunnen gaan opleveren voor de samenwerking tussen affiliates en adverteerders middels een affiliate netwerk. Een affiliate netwerk functioneert namelijk als intermediair, en behartigt zowel de belangen van de affiliate als de websiteaanbieder. Als het netwerk enkel aantallen mag meten in opdracht van de adverteerder of qua inzage in de aantallen volledig afhankelijk is van de informatie verstrekt voor de adverteerder, is dit risicovol voor de affiliate. Qua uitbetaling, is de affiliate dan namelijk afhankelijk van informatie die eenzijdig is verstrekt door de websiteaanbieder of verzameld door het affiliate netwerk in opdracht van de adverteerder. De adverteerder heeft dan ook veel macht over de informatie die wordt verzameld, en kan bijvoorbeeld de informatie beïnvloeden door het affiliate netwerk op te dragen om gegevens te wissen. De adverteerder bepaalt immers het doel en de middelen van de gegevensverwerking door de geplaatste cookies. Het is echter afwachten of dit ook de daadwerkelijke situatie zal gaan zijn, nu de ePV nog niet definitief is.
Wanneer affiliate cookies door een affiliate netwerk worden geplaatst, en niet door de websiteaanbieder zelf of in opdracht van de websiteaanbieder, is alleen de uitzondering toestemming nog over. Uit de overwegingen van de ePV blijkt al dat voor het monitoren van websitebezoekers, waaronder het tracken van online activiteiten en de locatie van een apparaat, altijd toestemming van de websitebezoeker vereist. Wanneer er dus sprake is van het opbouwen van een (volg)profiel of tracken van bezoekers middels de affiliate cookies, moet voor deze cookies, net als onder de huidige Telecommunicatiewet, ook gewoon toestemming worden gevraagd.
Je hoeft onder zowel de huidige als de toekomstige cookieregels geen toestemming te vragen voor het plaatsen van affiliate cookies, mits deze enkel worden ingezet voor affiliatedoeleinden (het meten van aantallen en geven van een seintje of de affiliate moet worden uitbetaald of niet). Daarnaast is de voorwaarde hiervoor onder de toekomstige (nog niet definitieve) cookieregels dat dit meten enkel wordt gedaan door de websiteaanbieder of een derde in opdracht van de websiteaanbieder. Mocht er daarentegen een (volg)profiel worden opgebouwd van de websitebezoekers of de cookies ook voor andere doeleinden worden ingezet, is er altijd toestemming van de websitebezoeker nodig.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.