Wie cookies wil plaatsen, moet daar toestemming voor vragen. Die toestemming moet je ergens registreren, al was het maar om te kunnen bewijzen dat je de toestemming hebt gekregen. Maar een dergelijk registratie is een “verwerking van persoonsgegevens”, je legt immers vast van wie en wanneer je die toestemming kreeg. Moet je die verwerking dan aanmelden bij de privacytoezichthouder, het Cbp?
Het opslaan van “persoon X zei ‘ja’ tegen mijn cookievraag” is een persoonsgegeven in de zin van de Wet bescherming persoonsgegevens. Het zegt immers iets over persoon X, en dát is al genoeg. Of je weet waar persoon X woont of wat zijn e-mailadres is, is dus niet nodig. Pas als je de informatie zo zou opslaan dat er géén koppeling is met persoon X, loop je buiten de privacywet. Maar in dat geval lijkt het me weer heel lastig om te bewijzen dát persoon X toestemming heeft gegeven.
Basisregel bij het verwerken van persoonsgegevens is dat je deze moet melden bij het College Bescherming Persoonsgegevens, de privacytoezichthouder. Zo kan iedereen inzien wie persoonsgegevens verwerkt en waarom. Op zich nuttig maar voor heel veel triviale zaken moet je dat niet willen, al was het maar omdat het Cbp dan bezwijkt onder de aanmeldingen. Daarom is er een wettelijk Vrijstellingsbesluit dat allerlei uitzonderingen bevat.
Eén van die uitzonderingen is voor communicatiebestanden: verwerkingen van voor communicatie benodigde persoonsgegevens. Dergelijke registraties (logging) hoeven niet te worden aangemeld, mits men de registratie beperkt tot:
Ook mogen de gegevens alleen voor de communicatie en afhandeling van daarmee verwante zaken worden gebruikt. Logs die bijvoorbeeld ook voor persoonlijke profielen worden aangewend, vallen dus buiten deze vrijstelling. Maar een ‘gewone’ logging van cookies is zonder meer gedekt door deze vrijstelling.
Wel lastig is dat je formeel een jaar nadat “de relatie is verbroken” de data moet wissen. Dat is een probleem want de OPTA kan tot vijf jaar na het zetten van het cookie een onderzoek starten naar de toestemming. Ik houd het er dan maar op dat de relatie pas verbroken is nadat het cookie verlopen is, en als je die levensduur dan op vijf jaar zet dan moet het goed gaan.
Een andere optie is de vrijstelling voor afnemers en leveranciers. Deze is eigenlijk bedoeld voor winkeliers en commerciële dienstverleners, maar een internetsite is ook een “dienstverlener”, zeker als er met advertenties of tegen betaling content wordt geleverd. Je mag dan zonder te melden vastleggen wat nodig is voor de bestelling of levering van de dienst. En in dat geval mag je de cookies bewaren voor de volle vijf jaar, omdat dit immers nodig is om de toestemming te kunnen bewijzen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.