Vallen mijn cookies onder de cookieregels?

De nieuwe cookieregels vereisen dat specifieke, vrije en op informatie berustende toestemming (de zogenaamde “informed consent”) moet worden verkregen van gebruikers voordat informatie wordt opgeslagen of wordt opgevraagd op de randapparatuur (computer, mobieltje, tablet, e.d.) van de gebruiker.

Echter, niet altijd is deze informed consent vereist. Uitgezonderd zijn de zogenaamde functionele cookies. Functionele cookies? Ja. Functionele cookies. Gelukkig heeft de Article 29 Data Protection Working Party (de “Werkgroep”, een Europees adviesorgaan waar alle Europese toezichthouders op het gebied van privacy zijn aangesloten), inmiddels meer duidelijkheid verschaft over welke cookies onder deze uitzondering valt (overigens heeft zij eerder al meer uitleg gegeven over wat onder “informed consent” moet worden verstaan in twee opinies (deze en deze)).

De Werkgroep omschrijft functionele cookies als cookies die (A) uitsluitend dienen ter uitvoering van communicatie (“Communicatie Cookies”) of (B) dienen ter uitvoering van een “dienst van de informatiemaatschappij” (“Dienst Cookies”).

Communicatie Cookies

Communicatie Cookies moeten noodzakelijk zijn om communicatie mogelijk te maken – enkel het vergemakkelijken of versnellen van communicatie is dus niet voldoende.  De Werkgroep noemt drie elementen die als strikt noodzakelijk kunnen worden aangemerkt voor het plaatsvinden van communicatie tussen twee partijen via een netwerk:

  1. De mogelijkheid om informatie te routeren via het netwerk, met name door de eindpunten van de communicatie te identificeren;
  2. De mogelijkheid om gegevens uit te wisselen in de bedoelde volgorde, met name door de data pakketjes te nummeren;
  3. De mogelijkheid om tranmissiefouten of verlies van data te ontdekken.

Overigens hoeft er niet per sé sprake te zijn van een “netwerk”, ook op applicatieniveau kunnen deze Communicatie Cookies voorkomen.

Indien minimaal één van de voornoemde functies worden gebruikt, is er sprake van Communicatie Cookies. De nieuwe cookieregels gelden in dat geval dus niet.

Dienst Cookies

Om als Dienst Cookie te kunnen worden aangemerkt, dient aan de volgende vereisten te zijn voldaan:

  1. De dienst moet uitdrukkelijk zijn verzocht door de betreffende gebruiker – er moet daarvoor een actieve wilsuiting hebben plaatsgevonden (zoals het klikken op een button);
  2. De cookie moet strikt noodzakelijk zijn om die betreffende dienst uit te kunnen voeren: als cookies zijn uitgeschakeld werkt de betreffende dienst niet.

Wordt aan beide vereisten voldaan, dan is er sprake van een Dienst Cookie. De nieuwe cookieregels gelden in dat geval dus niet.

Uitgezonderd? En dan?

Wanneer je uitgezonderd bent van de nieuwe cookieregels, betekent dit nog niet dat er geen verplichtingen voor je gelden. Het Communicatie Cookie of Dienst Cookie moet zodanig ingesteld zijn dat ze niet meer werken wanneer ze niet meer nodig zijn. Een goed moment is wanneer de browser sessie eindigt, en soms zelf eerder (verlaten van de website). Voor winkelwagen cookies (een Dienst Cookie bij uitstek) kan het wenselijk zijn om de cookies ook te houden na beëindiging van de browser sessie – bijvoorbeeld omdat de gebruiker zijn browser per ongeluk kan hebben afgesloten. De redelijke verwachtingen van de gemiddelde gebruiker zijn hierbij van belang – houd dat dus goed in de gaten als criterium.

 

Praktisch: een tabel om te bepalen of de nieuwe cookieregels gelden:

Allemaal leuk en aardig die regels, maar we hebben natuurlijk veel liever een gemakkelijk en praktisch overzicht waarin we kunnen opzoeken of de nieuwe cookieregels gelden voor het betreffende cookie of niet. Wel nu, bij deze:

Algemene voorbeelden:

Soort cookie Wel/geen vereisten, mitsen/maren?
First party session cookies vereisten gelden niet mits aan voornoemde voorwaarden is voldaan
Third party persistent cookies informed consent vereist
Dienst Cookies* geen vereisten
Communicatie Cookies* geen vereisten
Cookies met meerdere functies geen vereisten indien álle functies als Dienst Cookie en/of als Communicatie Cookie functioneren
Zombie cookies informed consent vereist
Ever-cookies informed consent vereist
Tracking cookies informed consent vereist
Third party advertising cookies informed consent vereist
*zie definitie hierboven

 

Specifieke voorbeelden:

Soort cookie Wel/geen vereisten, mitsen/maren?
User-id cookies waarschijnlijk geen vereisten indien enkel gebruikt voor onthouden gebruiksvoorkeuren, wel informed consent vereist indien (ook) gebruikt voor tracking doeleinden
First party user input session cookies geen vereisten
Authentication session cookie geen vereisten, mits niet gebruikt voor behavioural monitoring of advertising
Authentication persistent cookie informed consent vereist (maar: “Remember me (uses cookies)” als begeleidende tekst is volgens de Werkgroep 29 gebruikelijk en voldoende om toch binnen uitzondering te vallen)
User centric security session cookie voor betreffende website geen vereisten
User centric security persistent cookie informed consent vereist (maar: “Remember me (uses cookies)” als begeleidende tekst is volgens de Werkgroep 29 gebruikelijk en voldoende om toch binnen uitzondering te vallen)
User centric security cookie voor niet uitdrukkelijk verzochte websites of voor (third party) diensten informed consent vereist
Multimedia player session cookie (flash cookie) geen vereisten (mits uitdrukkelijk verzocht, mits cookie niet meer wordt gebruikt na beëindigen sessie en mits geen extra info wordt opgeslagen die niet strikt noodzakelijk is)
Load balancing session cookie geen vereisten
UI customization cookies geen vereisten (mits session cookies, of indien noodzakelijk short term cookies)
Language preference cookies geen vereisten (mits session cookies, of indien noodzakelijk short term cookies)
Result display preference session cookies geen vereisten (mits session cookies, of indien noodzakelijk short term cookies)
Social plug-in content sharing cookies geen vereisten voor logged-in gebruikers, mits session-cookie, informed consent vereist voor non-logged-in gebruikers en/of voor non-session cookies (mengeling? Dan beter: informed consent vereist)
Social plug-in tracking cookies informed consent vereist
First party analytics in principe informed consent vereist, maar mogelijk in de toekomst toch verspoepeld, voor zover het cookie first party geanonimiseerde en geaggregeerde statistieke doeleinden betreft
Third party analytics informed consent vereist
Third party advertising cookies informed consent vereist
Third party frequency capping cookies informed consent vereist
Third party  financial logging cookies informed consent vereist
Third party ad affiliation cookies informed consent vereist
Third party click fraud detection cookies informed consent vereist
Third party research and market analysis cookies informed consent vereist
Third party product improvement cookies informed consent vereist
Third party debugging cookies informed consent vereist
Terug naar overzicht