Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465

Juridisch advies / Cookies en privacy: aanmelden cookiebestand

Wie toestemming krijgt, moet dat vastleggen bij wijze van bewijs. Een dergelijk registratie is een “verwerking van persoonsgegevens”, je legt immers vast van wie en wanneer je die toestemming kreeg. Moet je die verwerking dan aanmelden bij de privacytoezichthouder, de Autoriteit Persoonsgegevens (voorheen Cbp)?

Het opslaan van “persoon X zei ‘ja’ tegen mijn cookievraag” is een persoonsgegeven in de zin van de Wet bescherming persoonsgegevens. Het zegt immers iets over persoon X, en dát is al genoeg. Of je weet waar persoon X woont of wat zijn e-mailadres is, is dus niet nodig.

Basisregel bij het verwerken van persoonsgegevens is dat je deze moet melden bij de Autoriteit Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens), de privacytoezichthouder. Zo kan iedereen inzien wie persoonsgegevens verwerkt en waarom. Op zich nuttig maar voor heel veel triviale zaken moet je dat niet willen, al was het maar omdat het AP dan bezwijkt onder de aanmeldingen. Daarom is er een wettelijk Vrijstellingsbesluit dat allerlei uitzonderingen bevat.

Vrijstelling voor communicatiebestanden

Eén van die uitzonderingen is voor communicatiebestanden: verwerkingen van voor communicatie benodigde persoonsgegevens. Dergelijke registraties (logging) hoeven niet te worden aangemeld, mits men de registratie beperkt tot:

  • naam, adres, e-mailadres, IP-adres en dergelijke van de betrokkene (de afzender of ontvanger)
  • gegevens die betrekking hebben op de te verzenden en verzonden informatie;
  • andere dan de hierboven opgesomde gegevens die noodzakelijk zijn voor het onderhouden van het contact met de betrokkenen.

Ook mogen de gegevens alleen voor de communicatie en afhandeling van daarmee verwante zaken worden gebruikt. Logs die bijvoorbeeld ook voor persoonlijke profielen worden aangewend, vallen dus buiten deze vrijstelling. Maar een ‘gewone’ logging van cookies is zonder meer gedekt door deze vrijstelling.

Wel lastig is dat je formeel een jaar nadat “de relatie is verbroken” de data moet wissen. Dat is een probleem want de OPTA kan tot vijf jaar na het zetten van het cookie een onderzoek starten naar de toestemming. Ik houd het er dan maar op dat de relatie pas verbroken is nadat het cookie verlopen is, en als je die levensduur dan op vijf jaar zet dan moet het goed gaan.

Vrijstelling voor afnemers

Een andere optie is de vrijstelling voor afnemers en leveranciers. Deze is eigenlijk bedoeld voor winkeliers en commerciële dienstverleners, maar een internetsite is ook een “dienstverlener”, zeker als er met advertenties of tegen betaling content wordt geleverd. Je mag dan zonder te melden vastleggen wat nodig is voor de bestelling of levering van de dienst. En in dat geval mag je de cookies bewaren voor de volle vijf jaar, omdat dit immers nodig is om de toestemming te kunnen bewijzen.

Aanmelden van trackingbestand

Deze vrijstellingen gelden niet wanneer cookies worden gebruikt voor privacy-relevante handelingen, zoals het opbouwen van een profiel van bezoekers. Dergelijk gebruik van cookies valt onder de privacywet, en er is geen uitzondering voor een dergelijke verwerking. Dit zal dus moeten worden aangemeld.

Ik wil graag meer informatie ontvangen

Meer weten? Laat een van onze juridische experts contact met u opnemen via het onderstaande formulier.



  • Uw persoonsgegevens gebruiken wij alleen voor het gevraagde contact. Lees de privacyverklaring voor meer informatie.

Soortgelijke onderwerpen

  • vergrootglas / audit

    Cloud continuïteitsscan

    Bent u benieuwd naar wat er nog in de weg staat voor een goede cloud continuïteitsregeling? Dan is de continuïteitsscan een goede eerste stap.

  • vergrootglas / audit

    Juridische audit

    Maakt u zich zorgen of uw bedrijfsprocessen en diensten voldoen aan de wet? Heeft u genoeg zicht op naleving van wetten zoals de privacywet of auteurswet door uw medewerkers? Of wilt u gewoon zeker weten dat uw bedrijf alles op orde heeft? Laat ICTRecht dan een juridische audit uitvoeren.