Cookies door ons uitgelegd

‘De cookiewet’ bestaat eigenlijk niet. Juridisch gezien gaat het om een deel van de Telecommunicatiewet, artikel 11.7a om precies te zijn, dat bepaalt dat toestemming nodig is van de eindgebruiker voordat gegevens mogen worden uitgelezen of geplaatst bij diens randapparatuur (zoals computers, laptops, tablet of telefoons). Een cookie is een “gegeven”, maar de wet is veel breder dan dat – ook browser add-ons, browser fingerprinting, Javascript scripts en spyware vallen eronder. Hoe zit het qua regelgeving omtrent cookies? Je leest het hier.

1. Toestemming

Toestemming krijg je alleen als de gebruiker op akkoord klikt. Impliciete toestemming (‘de website gebruiken = cookies accepteren’) is niet geldig. Hoe de toestemmingsvraag voor het plaatsen van cookies er precies uit moet zien, volgt uit de AVG. Deze eist dat toestemming ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ gegeven wordt.

Pop-up met akkoord
De simpelste manier is een pop-up (cookiebanner) in beeld waarin om toestemming wordt gevraagd. Vergeet niet die toestemming te loggen. Zo’n pop-up is niet te missen, en drukken op de “Akkoord”-knop voldoet aan de vereisten voor geldige toestemming.

Vroeger kon je nog kiezen voor een mededeling dat de websitebezoeker door verder te surfen automatisch akkoord ging met de plaatsing van cookies. Dat mag niet meer, want hiermee geeft de bezoeker zijn toestemming niet op ‘ondubbelzinnige’ wijze.

Ook kun je geen cookiewall meer gebruiken. Omdat deze pop-up het hele beeldscherm vult en de website alleen verder bezocht kan worden indien de bezoeker instemt met de plaatsing van cookies, geeft diegene de toestemming niet ‘vrij’.

Niet akkoord
Om de toestemming ‘vrij’ te kunnen geven, moet er dus ook een mogelijkheid zijn voor de websitebezoeker om aan te geven dat hij of zij niet akkoord is met de plaatsing van cookies. Dit kan door naast de “Akkoord”-knop een “Niet akkoord”-knop op te nemen.

De Autoriteit Persoonsgegevens heeft bepaald dat het gebruik van een vooraf aangevinkt vakje bij het vragen van toestemming voor niet strikt noodzakelijke cookies niet is toegestaan, omdat ook dit niet geldt als ‘vrije’ toestemming onder de AVG. 

Strikt noodzakelijke cookies
Voor het plaatsen van strikt noodzakelijke cookies is volgens de wet geen toestemming nodig. Onder noodzakelijke cookies valt bijvoorbeeld de cookie om te onthouden dat een websitebezoeker al eerder toestemming heeft gegeven om cookies te plaatsen bij zijn of haar bezoek, waardoor hij of zij niet iedere keer opnieuw op de “Akkoord”-knop hoeft te drukken. Ook voor logincookies geldt dat deze noodzakelijk zijn, en is geen toestemming nodig.

Ook het analytische cookie “Google Analytics” kan zo worden ingesteld dat geen toestemming nodig is om deze te kunnen plaatsen. Door het stappenplan van de Autoriteit Persoonsgegevens te volgen kan het Google Analytics cookie zo worden ingesteld dat deze slechts een zeer geringe inbreuk vormt op de privacy van de bezoeker. Let op: de Autoriteit Persoonsgegevens heeft aangegeven dat het gebruik van Google Analytics mogelijk niet meer is toegestaan.

Categorieën van cookies
Je kunt de toestemming voor álle cookies ineen vragen. Dit wordt wel een complex overzicht, want je moet per categorie cookie toelichten wat je doet. Plus, mensen kunnen dan alleen ja of nee tegen álle cookies zeggen. Als iemand één cookie bezwaarlijk vindt, is er geen mogelijkheid om alleen daar bezwaar tegen maken. Diegene zal dan waarschijnlijk alles afkeuren, waardoor ook jouw gewenste cookies geen kans meer krijgen.

Je kunt de categorieën bijvoorbeeld ook opdelen in “Basis ervaring”, “Beperkte ervaring” en “Complete ervaring”. Door het gebruik van dergelijke positieve taal kun je ervoor zorgen dat meer mensen alle cookies op jouw website accepteren. Let echter wel op, zoals bovenal vermeld, dat niet de categorieën waarvoor toestemming vereist is al van tevoren zijn aangevinkt.

Bewijzen van toestemming
De cookiewet bepaalt dat het plaatsen van cookies alleen nog mag met toestemming (behalve bij puur functionele of privacyvriendelijke analytische cookies). Mocht daar discussie over komen, dan moet de site bewijzen dat die toestemming is gegeven. De Autoriteit Consument & Markt – die de cookiewet handhaaft – hoeft alleen maar te bewijzen dat de cookie is geplaatst.

De website moet bewijzen dat de websitebezoeker toestemming heeft gegeven voordat de cookie op zijn browser werd geplaatst. Om dit bewijs te kunnen leveren, kan de website loggen vanaf welk IP-adres en op welk moment er toestemming is gegeven, inclusief de inhoud van de cookie die wordt geplaatst. Ook kan het handig zijn om screenshots te maken van de procedure: welke tekst heeft de toestemmingsvraag, en wat gebeurt er na een ja of nee.

In theorie kan al dat bewijs achteraf worden vervalst, maar met een duidelijk vastgelegde procedure én een database-entry mét de cookietekst zou men in de praktijk een heel eind moeten komen.

Het bewijs van die toestemming moet je ook bewaren nadat de cookie is gewist. Men kan immers ook later nog bij je komen met een claim over een vermeend onrechtmatig geplaatste cookie. Dit bewijs moet vijf jaar bewaard moet worden, omdat dat de termijn is waarna de ACM geen boete meer mag opleggen. Voor de juristen: artikel 5:45 Awb.

Toestemming via browser?
Toestemming vragen in een internetomgeving is buitengewoon moeilijk. Popups, overlays, subtiele teksten bij registratieformulieren: echt gelukkig word je er niet van.

Veel handiger zou zijn dat je in je browser een instelling kan maken over cookie-acceptatie, waar de site automatisch naar luistert. Helaas is deze technisch haalbare optie juridisch niet genoeg, omdat de browserinstellingen op dit moment niet fijnmazig genoeg zijn.

De cookiewet eist dat mensen een specifieke en geïnformeerde keuze maken. En “specifiek” moet verder gaan dan “ik wil geen cookies”: je moet zo ongeveer per site kunnen instellen welke cookies wel en niet. Het is dus afwachten tot de browsermakers dit hebben doorgevoerd, bijvoorbeeld in het “Do not track” systeem dat nu in ontwikkeling is. En dan nog zal men altijd rekening moeten houden met oude browsers.

Wie moet toestemming vragen?
De wet legt nergens vast wie verantwoordelijk is voor het verkrijgen van de toestemming. Voor de hand ligt om deze verantwoordelijkheid te leggen bij de partij die de cookie feitelijk opstuurt, de third party dus. Dat sluit aan bij de wetstekst dat “een ieder die gegevens wil opslaan” hiervoor toestemming moet hebben. De adverteerder wil opslaan, dus hij mag de toestemming gaan regelen.

Maar even goed verdedigbaar is dat de first party (de webmaster) de plicht heeft om voor de toestemming te zorgen. Diegene is uiteindelijk verantwoordelijk voor de cookie: hij of zij neemt code van de third party op die leidt tot de plaatsing. Zonder die opname was de cookie nooit geplaatst; het is dus de keuze van de first party geweest dat de third party het cookie mocht gaan plaatsen. En daarmee is hij of zij eindverantwoordelijk.

Daar komt bij dat áls je als webmaster de cookiewet mag negeren door het via een derde te laten lopen, het wel erg makkelijk wordt om de cookiewet te omzeilen. Het is immers expliciet de bedoeling om trackingcookies te reguleren, en vrijwel alle trackingcookies zijn afkomstig van third parties. Beetje gekke wet dus als third party tracking cookies in de praktijk in 90% van de gevallen erbuiten vallen. Terwijl het doel was om met náme die enge third party tracking cookies aan te pakken.

Wij denken dan ook dat de meest logische interpretatie is dat in eerste instantie de third party voor de toestemming moet zorgen. Maar als een webmaster willens en wetens cookies laat plaatsen door derden waarvan diegene wéét dat die niet vragen om toestemming, dan zien wij hem zomaar zélf verantwoordelijk daarvoor worden.

Lees meerLees minder

2. Soorten cookies

De cookiewet is er met name gekomen vanwege de gedachte dat het tracken van gebruikers eng is, omdat een interesseprofiel de privacy van gebruikers kan schenden. Dergelijk tracken gebeurt meestal met third-party cookies (bijvoorbeeld via een advertentiebanner van een netwerk). Hierdoor is het misverstand ontstaan dat de cookiewet specifiek gericht is op dergelijke cookies, en dat ‘eigen’ cookies nog wel zouden mogen. Dat is fout.

Noodzakelijk of niet?
De cookiewet maakt nergens onderscheid tussen first party en third party cookies. Het enige onderscheid dat er is, is tussen noodzakelijke (functionele) en niet-noodzakelijke cookies. Een cookie die technisch noodzakelijk is vereist geen toestemming, alle andere wel. Wel kent de wet een uitzondering voor privacyvriendelijke analytische cookies, mits de inbreuk op de privacy beperkt is.

First party, third party, privacyschendend, puur registrerend: het maakt allemaal niet uit. Is het een cookie? Dan is toestemming nodig, tenzij je kunt motiveren waarom de cookie technisch noodzakelijk is.

Functionele cookies
Zogeheten functionele cookies vallen buiten de cookiewet. Hiervoor hoef je geen toestemming te vragen, en eigenlijk hoeven dit ook niet in de cookieverklaring te worden beschreven (hoewel wij dat toch wel een goed idee vinden). 

Het idee achter de uitzondering is om een beperkte escape te genereren voor het geval er geen reden is om de cookie te weigeren. Dit is geformuleerd met de woorden “strikt noodzakelijk voor de dienst”, en die bewoordingen moet je beperkt interpreteren, maar ook weer niet zó beperkt dat alleen technisch volstrekt onvermijdelijke cookies er onder vallen. En tevens moeten de cookies niet privacyschendend zijn, want een privacyschending is per definitie niet noodzakelijk voor de dienst. Wij spreken dan ook van “functionele cookies” om aan te geven dat het cookie een functionele rol binnen een site of dienst moet spelen. Een winkelwagentje, een login onthouden of vastleggen dat een ander cookie wel of niet mag worden gezet.

Analytische cookies
Hierbij kan het gaan om cookies die geplaatst worden voor analyse van het gebruik van de website. In principe is hiervoor toestemming nodig. Slechts wanneer de plaatsing en het uitlezen van deze cookies geringe gevolgen voor de privacy heeft, hoeft de bezoeker hier geen toestemming voor te geven. Let op: voor het gebruik van Google Analytics is slechts in uitzonderlijke gevallen geen toestemming vereist. Om geen toestemming te hoeven vragen dient het Google Analytics stappenplan van de Autoriteit Persoonsgegevens precies te worden opgevolgd. 

Tracking cookies
Tracking cookies worden soms door website-eigenaren zelf maar vaker door adverteerders (third parties) via hun advertentie op de computer van de websitebezoeker geplaatst. Wanneer de websitebezoeker verder surft, kunnen sommige websites (indien ze een bepaalde code hebben ingebouwd) de cookie herkennen en dan gepersonaliseerde advertenties tonen. Daarnaast kunnen deze cookies het surfgedrag van de websitebezoeker bijhouden waardoor een zeer specifiek profiel van de bezoeker wordt opgebouwd. Dit is erg handig voor marketeers: zij weten precies welke aanbiedingen ze het beste aan iemand kunnen doen. Dit profiel is meestal echter zo gedetailleerd dat er sprake is van ‘gegevens die herleidbaar zijn tot een identificeerbare natuurlijke persoon’, met andere woorden persoonsgegevens. 

Lees meerLees minder

3. Browser fingerprinting / canvastracking

Wie een cookie plaatst, moet daar toestemming voor hebben van de websitebezoeker. Die toestemming verkrijgen is nogal gedoe, dus niet iedereen heeft daar zin in. Een gedachte is dan om met nieuwe technieken te gaan werken, zoals browser fingerprinting of canvastracking, om de gebruiker te herkennen zónder cookie. Of te werken met sessiecodes in de URL, zodat je ook op die manier kunt bijhouden welke bezoeken bij elkaar horen. Maar ook dat gaat niet zomaar onder de cookiewet.

De naam ‘cookiewet’ is lichtelijk misleidend. Hoewel alle heisa over cookies gaat, is de wet formeel niet beperkt tot cookies. De wet spreekt van “eenieder die gegevens wenst uit te lezen uit of op te slaan in randapparatuur”. Onder gegevens vallen cookies, maar ook Flash-cookies, plugins, local storage, toolbars, offline content en zelfs gewoon de HTML, CSS en Javascript scripts waar iedere website uit bestaat. Voor al die gegevens is dus toestemming nodig.

De uitzondering voor strikt noodzakelijk zijn, geldt bij HTML, CSS en dergelijke al snel. Zonder stylesheet ziet de website er niet uit, dus die is noodzakelijk. Maar wie de wet héél formeel leest, zal vast elementen van een website kunnen aanwijzen die eigenlijk niet noodzakelijk zijn en dus eigenlijk toestemming vereisen. 

Browser fingerprinting valt óók onder de cookiewet. Daarbij wordt weliswaar niets opgeslagen op de computer van de eindgebruiker maar wel uitgelezen en ook dat triggert al de toestemmingseis (tenzij noodzakelijk). Uitlezen van informatie over de browser (welke fonts, welk besturingssysteem, welke schermresolutie enzovoorts) is óók uitlezen van gegevens immers. En de minister heeft expliciet gezegd:

“Het lezen van de combinatie van instellingen en kenmerken van het apparaat met als uitsluitend doel de met dat apparaat opgevraagde dienst te leveren (bijvoorbeeld om de bezochte website goed te kunnen weergeven) valt onder de uitzondering in het derde lid. Het lezen van deze informatie om het surfgedrag van de gebruiker van het apparaat te volgen valt niet onder de uitzondering. Hiervoor is dan ook geïnformeerde toestemming van de gebruiker vereist.”

Het maakt dus wél uit met welk doel de gegevens worden uitgelezen. Wie de browserversie uitleest om een Chrome-specifieke site (of een voor tablets geschikte versie) terug te kunnen sturen, hoeft daar geen toestemming voor te vragen. En wie het besturingssysteem en taalinstellingen achterhaalt om zo de meest passende downloadlink te kunnen tonen (de Nederlandstalige 64-bits Windowsversie of de Linux ARM versie) hoeft ook geen toestemming te vragen. Maar browser fingerprinting voor herkenning, al is het maar in geaggregeerde vorm, vereist dus net zo goed toestemming.

Lees meerLees minder

4. Cookie als persoonsgegeven

Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Het bekendste voorbeeld is iemands naam of adres. Maar aan een foto is iemand ook te herkennen. Een foto is dus net zo goed een persoonsgegeven. En het houdt niet op bij zulke feitelijke gegevens: gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld een beoordeling van diens manager, kan ook een persoonsgegeven zijn.

Een IP-adres wordt over het algemeen als persoonsgegeven gezien, omdat het meestal in gebruik is bij één persoon (op een gegeven tijdstip). Deze is te identificeren via zijn internetprovider. Hoewel dat in de praktijk een heel gedoe is, is deze mogelijkheid voor de AVG genoeg. Natuurlijk zijn er ook IP-adressen die niet aan één persoon te koppelen zijn (bijvoorbeeld het IP-adres van een thuisnetwerk, bedrijfsproxy of webserver), maar als vuistregel is het aan te bevelen alle IP-adressen te behandelen alsof het persoonsgegevens zijn.

Een cookie is meestal niet meer dan een getal (naam en waarde). Dat is op zichzelf zelden een persoonsgegeven, tenzij die naam en waarde zelf dat zijn natuurlijk. Denk aan het onthouden van een IP-adres of iemands naam of e-mailadres of iets dergelijks.

Wanneer een cookie een identificatienummer oplevert voor een profiel in een database, is dat cookie een persoonsgegeven. Daarmee geldt de AVG  voor dit cookie (en op het profiel zelf natuurlijk). 

Grijze gebieden te over: een cookie die een gebruiker uniek identificeert maar weinig meer doet dan dat, is waarschijnlijk wel een persoonsgegeven (want het identificeert een gebruiker) maar welke verwerking vindt er plaats?

Lees meerLees minder

5. Cookieverklaring

Een cookieverklaring is verplicht als je met cookies werkt, net als een privacyverklaring verplicht is.

Lees meerLees minder

6. Hoe zit het met internationale sites?

De cookiewet is een Nederlandse wet. Deze wet is gebaseerd op Europese regelgeving. Elke Europese lidstaat heeft dus een eigen variant van “de cookiewet”. Toch kunnen deze regels ook gelden voor niet-Europese partijen, hoewel het nog maar de vraag is of dit ook daadwerkelijk gehandhaafd zal worden.

Allereerst geldt de Nederlandse wet voor alle bedrijven en diensten die zich “op Nederland” richten, zoals blijkt uit de algemene rechtspraak over bevoegdheid van de Nederlandse rechter. Het gaat dus niet om bijvoorbeeld welke extensie de domeinnaam van de site heeft, of waar het bedrijf formeel gevestigd is. Je moet alle omstandigheden bij elkaar optellen en dan de conclusie trekken “ja, dit is gewoon een Nederlandse site”.

Zo komt Bol.com écht niet weg met “we hebben een .com domeinnaam en onze servers staan in Duitsland”. Ze zijn een Nederlandse webshop. The New York Times/nytimes.com is daarentegen niet op Nederland gericht, want dat blijkt uit niets.  Je kunt de artikelen lezen vanuit Nederland, maar dat is het wel zo’n beetje. En die ene factor is niet genoeg.

De cookiewet kan ook om een andere reden voor buitenlandse bedrijven gelden. Wanneer een Amerikaans bedrijf op een Nederlandse computer een cookie plaatst, is volgens de privacytoezichthouder de AVG van toepassing. Dat Amerikaans bedrijf gebruikt namelijk een Nederlands systeem voor privacygevoelige handelingen. Wel moet het dan gaan om een cookie die persoonsgegevens verwerkt.

Natuurlijk is het lastig om een Amerikaans bedrijf te dwingen deze wet na te leven, maar als zo’n bedrijf een vestiging in Europa heeft dan wordt dat een stuk eenvoudiger. Google en Facebook zijn bijvoorbeeld al diverse malen in Europa aangesproken door privacytoezichthouders wegens schendingen van de privacy van Europese burgers.

Formeel kan dus een partij als Google of Facebook aan de Nederlandse wet gehouden worden. Maar of de ACM ook zal handhaven naar deze partijen toe is zeer de vraag.

Lees meerLees minder

Meer informatie ontvangen?

Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan contact met je op.

Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij u op locatie.

Laat je gegevens achter