Afgelopen vrijdag heeft de OPTA een update gepubliceerd van het document “Veelgestelde vragen over de nieuwe cookiewet”. Een opvallende wijziging betreft het antwoord van de OPTA op de vraag of het is toegestaan om door middel van een cookie te registeren dat een gebruiker geen toestemming heeft gegeven voor het plaatsen van cookies (“no-follow cookie”).
De OPTA stelt terecht dat het plaatsen van een no-follow cookie onder de uitzonderingen van de cookiewet valt: het registeren dat iemand geen cookies wil, kan gezien worden als een door de gebruiker gevraagde dienst waarbij het plaatsen van cookies strikt noodzakelijk is.
Wat ik echter niet kan plaatsen is dat de OPTA meent dat hier slechts sprake van is als voldaan wordt aan een drietal voorwaarden:
De eerste voorwaarde snap ik: je mag geen no-follow cookies plaatsen als er nog geen keuze is gemaakt. Overigens is het bieden van die keuze niet wettelijk verplicht: je mág enkel de keuze voor het accepteren van cookies bieden (en de keuze voor weigering van cookies niet opnemen). Pas als er een keuze is gemaakt voor het weigeren van cookies – en overigens ook voor het wél plaatsen van cookies – mag je die keuze opslaan in een cookie. Prima.
De tweede voorwaarde snap ik echter niet. De OPTA stelt nu als voorwaarde dat je de gebruiker moet informeren over het plaatsen van een functionele cookie. Dat is geen verplichting op grond van de cookiewet – als je onder de uitzonderingen valt hoef je namelijk niet te informeren. En je kan niet met droge ogen beargumenteren dat je pas onder de uitzonderingen valt – dus dat je geen toestemming of informatie hoeft te geven – als je informatie geeft. Dat slaat kant noch wal. Ook op grond van andere wetgeving, zoals de Wet bescherming persoonsgegevens of andere bepalingen uit de Telecommunicatiewet, zie ik niet in waarom de gebruiker geïnformeerd moet worden over het plaatsen van een no-follow cookie met als enig doel de registratie van de keuze van de gebruiker.
De derde voorwaarde is wel weer logisch: je mag alleen een functioneel cookie plaatsen voor het doeleinde van die functie. Gebruik je het cookie ook voor andere doeleinden, dan geldt het niet als een “uitsluitend” dienen voor het bieden van de door de gebruiker gevraagde dienst. Dat andere doeleinde kan namelijk buiten de uitzonderingen vallen, en dan dien je dus alsnog toestemming te verkrijgen en informatie te bieden.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.