ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01

Juridisch advies / Cookies: browser fingerprinting

Wie een cookie zet, moet daar toestemming voor hebben van de eindgebruiker. Die toestemming verkrijgen is nogal gedoe, dus niet iedereen heeft daar zin in.

Een gedachte is dan om met nieuwe technieken te gaan werken, zoals browser fingerprinting, om de gebruiker te herkennen zónder cookie. Of te werken met sessie-codes in de URL, zodat je ook op die manier kunt bijhouden welke bezoeken bij elkaar horen. Maar ook dat gaat niet zomaar onder de cookiewet.

De naam “cookiewet” is eigenlijk lichtelijk misleidend. Hoewel alle heisa over cookies gaat, is de wet formeel niet beperkt tot cookies. De wet spreekt van “een ieder die gegevens wenst uit te lezen uit of op te slaan in randapparatuur”. Onder gegevens vallen cookies, maar ook Flash cookies, plugins, toolbars, offline content en zelfs gewoon de HTML, CSS en Javascript waar iedere website uit bestaat. Voor al die gegevens is dus toestemming nodig.

De uitzondering voor strikt noodzakelijk zijn geldt bij HTML, CSS en dergelijke al snel. Zonder stylesheet ziet de website er niet uit, dus die is noodzakelijk. Maar wie de wet héél formeel leest, zal vast elementen van een website kunnen aanwijzen die eigenlijk niet noodzakelijk zijn en dus eigenlijk toestemming vereisen.

Browser fingerprinting valt óók onder de cookiewet. Daarbij wordt weliswaar niets opgeslagen op de computer van de eindgebruiker maar wel uitgelezen en ook dat triggert al de toestemmingseis (tenzij noodzakelijk). Uitlezen van informatie over de browser (welke fonts, welk besturingssysteem, welke schermresolutie enzovoorts) is óók uitlezen van gegevens immers. En de minister heeft expliciet gezegd:

Het lezen van de combinatie van instellingen en kenmerken van het apparaat met als uitsluitend doel de met dat apparaat opgevraagde dienst te leveren (bijvoorbeeld om de bezochte website goed te kunnen weergeven) valt onder de uitzondering in het derde lid. Het lezen van deze informatie om het surfgedrag van de gebruiker van het apparaat te volgen valt niet onder de uitzondering. Hiervoor is dan ook geïnformeerde toestemming van de gebruiker vereist.

Het maakt dus wél uit met welk doel de gegevens worden uitgelezen. Wie de browserversie uitleest om een Chrome-specifieke site (of een voor tablets geschikte versie) terug te kunnen sturen, hoeft daar geen toestemming voor te vragen. En wie het besturingssysteem en taalinstellingen achterhaalt om zo de meest passende downloadlink te kunnen tonen (de Nederlandstalige 64-bits Windowsversie of de Linux ARM versie) hoeft ook geen toestemming te vragen. Maar browser fingerprinting voor herkenning, al is het maar in geaggregeerde vorm, vereist dus net zo goed toestemming.

Dienst aanvraag

Meer weten? Laat een van onze juridische experts contact met u opnemen via het onderstaande formulier.

Soortgelijke onderwerpen

  • inventarisatie / checklist

    Reglement cameratoezicht

    Cameratoezicht kan een nuttig hulpmiddel zijn bij beveiliging, toezicht of controle. De privacywet (met name de Wet bescherming persoonsgegevens, Wbp) stelt eisen bij cameratoezicht. De belangrijkste eis is een cameratoezicht-protocol of reglement dat bepaalt waarom er wordt gefilmd, wat er met de beelden gebeurt en welke rechten gefilmde personen hebben.

  • advies vraagwolkje

    Juridische second opinion aanvragen

    Heeft u een specifiek contract waar u over twijfelt? Of algemene voorwaarden die u al jaren gebruikt en misschien aan een update toe zijn? Laat ICTRecht dan een second opinion of controle uitvoeren zodat u weet dat uw voorwaarden nog steeds voldoen.