Connect 2011 - Arnout Engelfriet - ICTRecht
4
Hoe om te gaan met de nieuwe cookieregels? 'Eindelijk' is hij definitief: de nieuwe cookiewet. Deze wet is er niet zonder slag of stoot gekomen. Vooral in de marketingbranche, die veel met zogenaamde tracking cookies werkt, is er sprake van veel verwarring. Mogen cookies nog, en zo ja, wanneer dan? Moet er voor elk cookie een venster getoond worden waarin toestemming gevraagd wordt, of kan worden volstaan met een algemene zin in de privacyverklaring? In deze factsheet vindt u ons praktisch advies over hoe om te gaan met de nieuwe regels. Waarom zo streng zijn voor cookies? Vanwaar nu alle ophef over en angst voor cookies? Een cookie is namelijk niets meer dan een tekstbestandje dat op de computer van de internetter wordt geplaatst. Er zijn verschillende soorten cookies. Er zijn zogenaamde technische cookies, die er bijvoorbeeld voor zorgen dat tijdens het bezoek aan een webwinkel het winkelmandje de producten onthoudt, en er zijn tracking cookies. Deze cookies worden vaak door adverteerders (third parties) via hun advertentie op de computer van de internetter geplaatst. Wanneer de internetter verder surft, kunnen sommige websites (indien ze een bepaalde code hebben ingebouwd) het cookie herkennen en dan gepersonaliseerde advertenties tonen. Daarnaast kunnen deze cookies het surfgedrag van de internetter bijhouden waardoor een zeer specifiek profiel van de internetter wordt opgebouwd. Dit is erg handig voor marketeers: zij weten precies welke aanbiedingen ze het beste aan iemand kunnen doen. Dit profiel kan echter zo gedetailleerd zijn dat er sprake is van een 'gegeven wat herleidbaar is tot een identificeerbare natuurlijke persoon', met andere woorden een persoonsgegeven. Ondanks dat niet alle tracking cookies (waarschijnlijk zelfs het overgrote deel niet) persoonsgegevens verzamelen is de wetgever van mening dat met dergelijke tracking cookies de privacy van de internetter te zeer in het gedrang komt en dat de internetter dus moet worden beschermd. Deze (discutabele) opvatting was reden voor een streng wetsartikel tegen cookies.
description
Transcript of Connect 2011 - Arnout Engelfriet - ICTRecht
Hoe om te gaan met de nieuwecookieregels?'Eindelijk' is hij definitief: de nieuwe cookiewet. Deze wet is er niet
zonder slag of stoot gekomen. Vooral in de marketingbranche, die
veel met zogenaamde tracking cookies werkt, is er sprake van
veel verwarring. Mogen cookies nog, en zo ja, wanneer dan? Moet
er voor elk cookie een venster getoond worden waarin
toestemming gevraagd wordt, of kan worden volstaan met een
algemene zin in de privacyverklaring? In deze factsheet vindt u
ons praktisch advies over hoe om te gaan met de nieuwe regels.
Waarom zo streng zijn voor cookies?Vanwaar nu alle ophef over en angst voor cookies? Een cookie is namelijk niets meer
dan een tekstbestandje dat op de computer van de internetter wordt geplaatst. Er
zijn verschillende soorten cookies. Er zijn zogenaamde technische cookies, die er
bijvoorbeeld voor zorgen dat tijdens het bezoek aan een webwinkel het winkelmandje
de producten onthoudt, en er zijn tracking cookies. Deze cookies worden vaak door
adverteerders (third parties) via hun advertentie op de computer van de internetter
geplaatst. Wanneer de internetter verder surft, kunnen sommige websites (indien ze
een bepaalde code hebben ingebouwd) het cookie herkennen en dan
gepersonaliseerde advertenties tonen. Daarnaast kunnen deze cookies het
surfgedrag van de internetter bijhouden waardoor een zeer specifiek profiel van de
internetter wordt opgebouwd. Dit is erg handig voor marketeers: zij weten precies
welke aanbiedingen ze het beste aan iemand kunnen doen.
Dit profiel kan echter zo gedetailleerd zijn dat er sprake is van een 'gegeven wat
herleidbaar is tot een identificeerbare natuurlijke persoon', met andere woorden een
persoonsgegeven. Ondanks dat niet alle tracking cookies (waarschijnlijk zelfs het
overgrote deel niet) persoonsgegevens verzamelen is de wetgever van mening dat
met dergelijke tracking cookies de privacy van de internetter te zeer in het gedrang
komt en dat de internetter dus moet worden beschermd. Deze (discutabele) opvatting
was reden voor een streng wetsartikel tegen cookies.
InformerenWanneer u dus een cookie wilt plaatsen op de
computer van de internetter moet u de internetter
vooraf informeren over uw identiteit, wat voor cookie
er wordt geplaatst, waarvoor u dat doet en moet u
toestemming voor de plaatsing hebben gekregen.
De Nederlandse wetgever gaat hierbij veel verder
dan is bedoeld door de Europese regelgever. Met
name het woord ‘toestemming’ wordt in Nederland
streng uitgelegd: dat moet een vooraf gegeven,
expliciete en ondubbelzinnige toestemming zijn.
Stilzwijgend toestemming geven kan niet!
Gelukkig kent de wet enkele uitzonderingen. De
nieuwe wet bepaalt namelijk expliciet dat deze
strenge regel niet geldt voor technische cookies. Het
doemscenario dat straks voor elke cookie een
akkoord moet worden gegeven is dan ook — gelukkig maar — onzin.
Voor tracking cookies moet wel toestemming worden gevraagd, maar gelukkig hoeft
dat slechts eenmalig te gebeuren per aanbieder en per soort cookie. Wanneer dit
cookie echter voor andere doelen wordt ingezet, moet er wel weer opnieuw
toestemming worden gevraagd.
Wat moet u doen?Allereerst moet u de internetter voordat u het cookie plaatst van duidelijke en volledige
informatie voorzien. In die informatie moet u in ieder geval het volgende zeggen:
• Wie u bent;
• Wat u gaat plaatsen;
• Waarvoor u dit gaat plaatsen;
• Of u de zo verkregen gegevens aan derden verstrekt.
Naar de letter van de wet is het niet voldoende deze informatie ergens in een
privacyverklaring op de website te ‘verstoppen’.
Maar hoe geef je deze informatie vooraf? Het meest aan te raden is de informatie
tegelijkertijd te geven met de vraag over de toestemming. Een aantal praktische tips
vindt u aan het einde van deze factsheet.
Het nieuwe wetsartikelover cookiesIn de Telecommunicatiewet wordt nu een
nieuw artikel toegevoegd over de plaatsing
van cookies:
...een ieder die door middel van elektronische
communicatienetwerken (internet bijvoorbeeld)
gegevens wenst op te slaan in de randappa-
ratuur van de gebruiker (een cookie wordt op
de computer van de internetter geplaatst) moet
de gebruiker duidelijke en volledige informatie
verstrekken over de doeleinden waarvoor men
de gegevens (het cookie) wenst op te slaan
én moet van de gebruiker toestemming heb-
ben gekregen voor de handeling.
ToestemmingHet grote struikelblok is het gegeven dat u de inter-
netter om ondubbelzinnige toestemming moet vragen
het cookie te plaatsen. Dit houdt in dat er geen enkele
twijfel mag bestaan over het feit of de internetter het
cookie wel (of misschien niet) wilde. U moet zelfs kun-
nen bewijzen dat de internetter voor de plaatsing zijn
toestemming heeft gegeven!
Er mag (en kan) hierbij dus niet worden gewerkt met
een puur passief systeem waarbij de gebruiker zelf maar moet ontdekken of er wellicht
cookies op zijn computer staan en wat die cookies doen. Browsers bieden hier vaak
een knopje voor, maar de standaard browserinstellingen zijn niet voldoende voor het
geven van toestemming. Dit met name omdat ze standaard alle cookies accepteren,
maar ook omdat je vaak alleen grofmazig wel/geen cookies kunt accepteren. Je kunt
met de browsers meestal niet kiezen van welke aanbieder je wel en van welke aanbieder
je geen cookies wenst te ontvangen. Het zou mooi zijn als de browsers hier binnenkort
op worden aangepast. De vraag is dan echter nog steeds of de toestemming wel
specifiek genoeg wordt gegeven.
Tot die tijd moet de toestemming – helaas – op een andere manier worden verkregen.
Een notificatie (pop-up) voordat een cookie wordt geplaatst is dan de meest betrouwbare
manier om aan de wet te voldoen. Dit is echter ook de meest onpraktische manier.
Daarom hebben wij hieronder een aantal andere mogelijke manieren gegeven.
Praktische tips: Wat zou u kunnen doen?• U zou voordat men de echte website bereikt de internetter een webpagina kunnen
laten zien waarop u zegt wie u bent, welke cookies u plaatst en wat u daarmee doet.
U zou dan op de pagina de keuze kunnen maken de website zonder cookies en de
website met cookies te openen. Deze keuze mag u opslaan voor de volgende be-
zoeken van de internetter aan uw website.
• U zou op de website slechts ongepersonaliseerde advertenties kunnen laten zien
met daarbij de vermelding dat de internetter op een button moet klikken om een
cookie te plaatsen wat ervoor zorgt dat de internetter in het vervolg gepersonaliseerde
advertenties te zien krijgt.
• U zou de internetter bij registratie op de website om toestemming voor plaatsing van
tracking cookies kunnen vragen en hem tegelijkertijd van informatie hierover kunnen
voorzien. U zou dan zelfs het geven van de toestemming voor dergelijke cookies als
voorwaarde voor de registratie kunnen stellen.
• U zou de internetter bepaalde voordelen (kortingen etc.) kunnen aanbieden wanneer
hij de toestemming tot het plaatsen van dergelijke cookies verleent.
• Wanneer u niet zelf dergelijke cookies plaatst is het aan te raden advertentienetwerken
te gebruiken die zelf de toestemming al goed hebben geregeld. Een dergelijke pagina
kan wel uw positie in zoekmachines negatief beïnvloeden.
Let op!Er moet naast toestemming voor het
plaatsen van het cookie ook nog altijd
toestemming worden gevraagd voor het
aanmaken van profielen en het bijhouden
van het surfgedrag van de internetter. Dit
kan in dezelfde tekst, mits het maar
duidelijk is dat er voor twee zaken
toestemming wordt gegeven.
ICTRecht B.V.Panamalaan 8B1019 AZ Amsterdam
T 020 663 1941I ictrecht.nlE [email protected]
Wat moet u nog meer doen?In de nieuwe wet staat ook dat wanneer de plaatsing van het cookie tot doel informatie
van de internetter verzamelen en gegevens bij houden over zijn surfgedrag heeft, dit
een verwerking van persoonsgegevens is. Dit houdt in dat de Wet bescherming per-
soonsgegevens van toepassing is. Dit betekent dat wanneer u bijvoorbeeld tracking
cookies plaatst u te allen tijde hiervan een melding moet maken bij het College be-
scherming persoonsgegevens (Cbp). Daarnaast moet u voldoen aan de verzoeken
van de internetter tot inzage en correctie van de van hem bij u bekende gegevens.
Wat wanneer u niet aan de cookieregels voldoet?Stel: u vraagt geen toestemming of geeft onvoldoende informatie over de cookies die
u plaatst, wat zijn dan de gevolgen? Volgens de wet kunnen in zo'n geval zowel de
OPTA als het Cbp als toezichthouders optreden. Zij hebben de mogelijkheid om bij
overtreding van de wet aanzienlijke boetes op te leggen, die gemakkelijk in de tiendui-
zenden euro's kunnen lopen.
Daarnaast kan de internetter u aansprakelijk stellen voor het schenden van zijn recht
op privacy en daarbij een schadevergoeding eisen. Dit geldt overigens ook wanneer u
niet zelf deze cookies plaatst, maar advertenties of diensten van derden hiervoor ver-
antwoordelijk zijn. Het is en blijft uw site en dus uw verantwoordelijkheid wat er op
computers van bezoekers geplaatst wordt.
Initiatieven uit de marketingbranche: het cookie-icoon.De marketingbranche heeft in de aanloop naar de nieuwe wet al een aantal initiatieven
genomen om mogelijk tegemoet te komen aan de regels. Zo is door de branche het
zogenaamde cookie-icoon geïntroduceerd. Dit icoon komt bij advertenties en op web-
sites te staan. Wanneer de internetter op dit icoon klikt komt hij op een website die in-
formatie geeft over het gebruik van cookies in de marketingbranche. Daarnaast kan de
internetter op die website zijn voorkeuren aangeven: van wie hij wel en van wie hij
geen cookies wil ontvangen.
Het is echter nog maar de vraag of dit binnen de wet valt, het is namelijk geen expliciete
opt-in. Zeker niet wanneer de cookies al geplaatst zijn voordat men deze website ooit
bezocht heeft. Wij adviseren dan ook om alleen met expliciete opt-in te werken en niet
alleen het cookie-icoon in te zetten.
