De hele week blog ik al dat cookies alleen nog mogen worden gezet met toestemming, “behalve soms”. Dus nu maar eens die soms behandelen. De cookiewet bevat namelijk een uitzondering op het toestemmingsvereiste, waarmee “strikt noodzakelijke” cookies geplaatst mogen worden zonder aparte toestemming. Maar wat “strikt noodzakelijk” is, is niet duidelijk. Sterker nog, er werden bij behandeling van de wet voorbeelden gegeven van cookies die onder de uitzondering vallen maar helemaal niet “noodzakelijk” zijn in de technische betekenis. Dus wat mag er nu?
Het idee achter de uitzondering is om een beperkte escape te genereren voor het geval dat er eigenlijk gewoon geen reden zou kunnen zijn om het cookie te weigeren. Dit is geformuleerd met de woorden “strikt noodzakelijk voor de dienst”, en die bewoordingen moet je beperkt interpreteren maar ook weer niet zó beperkt dat alleen technisch volstrekt onvermijdelijke cookies er onder vallen.
De standaardvoorbeelden zijn het winkelwagentjecookie en het logincookie. Beiden zijn technisch niet écht nodig, je kunt ook zonder deze cookies een site aanbieden. Maar ze zijn wel handig voor de gebruiker. Daarom zijn deze cookies uitgesloten van de toestemmingseis.
Update: ook onder de uitzondering vallen cookies die onthouden of je toestemming hebt gegeven. Dat is immers ook een door jou gewenste dienst.
Hoe ver gaat dit nu? Dat weten we niet. Heftig onderwerp van debat op mijn eigen blog onlangs is Google Analytics. Die plaatst ook cookies, maar welk nut hebben die voor gebruikers? Hierover zei men in de Eerste Kamer:
Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.
Je zult dus moeten zoeken naar een rechtvaardiging dat het cookie nodig is voor de dienst die je levert, en het liefst met een direct nut voor de bezoeker. Een voorbeeld zou kunnen zijn dat je met Analyticsgegevens je content aanpast. Een bezoeker krijgt dan relevante links (of artikelen uit je webwinkel) op basis van wat Analytics aan informatie aanreikt. Dergelijke contentadaptatie staat in direct verband met de dienst zou ik zeggen, dus dat kan een legale omstandigheid opleveren.
Analytics “onzichtbaar” voor de eindgebruiker inzetten, bijvoorbeeld puur voor statistieken, is een ander verhaal. Ik zie niet hoe je dan kunt spreken van “direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst”. Het verband is hooguit indirect: door de statistieken kun je je site aanpassen en daar heeft de gebruiker uiteindelijk profijt van. Dat is niet genoeg.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.