Cookieverbod

Wat betekent de nieuwe cookiewetgeving voor jou?

InleidingOnlangs heeft de Eerste Kamer de nieuwe Telecommunicatiewet aangenomen. Deze is al

regelmatig in het nieuws geweest omtrent de ‘netneutraliteit’ die erin vastgelegd is. Een ander

ingrijpend onderdeel van de nieuwe wet is daardoor wat ondergesneeuwd, maar niet minder

belangrijk: er zijn strikte regels voor het gebruik en plaatsen van ‘cookies’.

De nieuwe wet zou op 1 juli 2012 in werking treden, uitgezonderd het gedeelte over tracking

cookies (zie verderop). Dat zou pas per 1 januari 2013 in werking treden. Omdat Nederland

echter te laat was met de invoering van de nieuwe wet, dreigde de Europese Commissie met een

boete, als gevolg waarvan de wet vervroegd per 5 juni 2012 in werking is getreden. Het gedeelte

over tracking cookies zal nog steeds per 1 januari 2013 in werking treden.

Omdat de nieuwe regels voor cookies op vrijwel alle (commerciële) websites van toepassing

zijn, worden hier de belangrijkste punten onder elkaar gezet. Deze whitepaper is mede tot stand

gekomen dankzij ABC legal.

Minke Feenstralegal counsel

the valley, juni 2012

Achtergrond van de nieuwe wetDe nieuwe Telecommunicatiewet (‘de wet’) is het gevolg van Europese regelgeving en had eigenlijk vorig

jaar al ingevoerd moeten zijn. Doelstelling van de wet is met name bescherming van de online eindgebruiker

(privacy en veiligheid). De regeling omtrent cookies is vastgelegd in het nieuwe artikel 11.7a van de wet.

Juridisch-technisch valt er een en ander af te dingen op de wet, maar die discussie wordt hier achterwege

gelaten.

Het woord ‘cookie(s)’ komt in de wet zelf niet voor, daar wordt gesproken van ‘gegevens die zijn opgeslagen

in randapparatuur van de gebruiker1. Strikt genomen strekt de wet zich dus verder uit dan alleen tot cookies,

maar voor het gemak wordt die term hier verder aangehouden.

Voor wie is de wetswijziging relevant?De nieuwe wet is van invloed op alle websites die gebruik maken van cookies. Verder kan de nieuwe wet van

invloed zijn op alle (online) adverteerders, publishers, affiliatenetwerken (en dus ook affiliates), mediabureaus,

advertentietussenpersonen, websitebouwers, designers en niet te vergeten de bezoekers van websites.

De nieuwe hoofdregels voor cookiesVanaf 5 juni 2012 moeten bezoekers van websites vooraf hun toestemming geven voor:

1. het plaatsen van elke cookie; en/of

2. het uitlezen van cookies (door websites).

Bij de verkrijging van die toestemming moet de bezoeker van de website:

1. duidelijk en volledig zijn geïnformeerd over de doeleinden waarvoor de website toegang wil verkrijgen

tot reeds bestaande cookies; en/of

2. duidelijk en volledig zijn geïnformeerd over de doeleinden waarvoor de website cookies wil plaatsen.

Bovenstaande kan dus worden samengevat in twee woorden: informatieplicht en toestemmingsplicht.

De websitebezoeker kan zijn toestemming op elk moment ook weer intrekken.

1 Daaronder vallen volgens de Memorie van Toelichting bijvoorbeeld ook jpeg- en javascriptbestanden, flashcookies, webtaps, spionagesoftware en dialerprogramma’s.

Inhoud van de informatieplicht2

Indien het gaat om ‘persoonsgegevens’ (dit begrip wordt hieronder uitgelegd) moet een websitebezoeker

onder meer geïnformeerd worden over de identiteit van de verantwoordelijke (ook dit begrip wordt hieronder

uitgelegd) en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd. Daarnaast moet de

verantwoordelijke nadere informatie verstrekken voor zover dat gelet op de aard van de gegevens, de

omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om

tegenover betrokkenen een behoorlijke en zorgvuldige verwerking te waarborgen (artikel 33 Wet bescherming

persoonsgegevens, de ‘Wbp’).

Indien het gaat om andere gegevens dan persoonsgegevens dan moet in ieder geval informatie verstrekt

worden omtrent de doeleinden waarvoor de gegevens worden verstrekt.

Denk daarbij onder andere aan: wat is een cookie, wat wordt ermee gedaan, wat kan een cookie, wat staat er

in een cookie, hoe lang blijft de cookie actief, welke gegevens over de gebruiker kan een cookie prijsgeven?

Bovendien moet gemeld worden dat een toestemming ook altijd weer ingetrokken kan worden (en op welke

wijze).

Extra strenge regelsVoor cookies die persoonsgegevens verwerken, gelden strengere regels. Op deze cookies is namelijk (naast de

nieuwe Telecommunicatiewet) ook de Wbp van toepassing3.

Alle gegevens waarmee iemand geïdentificeerd kan worden zijn persoonsgegevens, denk bijvoorbeeld aan

namen, adressen, foto’s, e-mailadressen en IP-adressen (hoewel over die laatste twee discussie bestaat).

Onder ‘verwerken’ van persoonsgegevens wordt volgens de Wbp onder meer verstaan: verzamelen, vastleggen,

bewaren, bijwerken, opvragen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige

andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het

afschermen, uitwissen of vernietigen van persoonsgegevens.

De Wbp eist bij cookies die persoonsgegevens verwerken dat er vooraf ‘ondubbelzinnige toestemming’

voor de verwerking gevraagd en verleend is. Om het nog ingewikkelder te maken: de Wbp kent naast deze

ondubbelzinnige toestemming nog vijf andere grondslagen voor de verwerking van persoonsgegevens. Daarvan

zijn hier vooral de volgende van belang:

a. de persoonsgegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst, of de

voorbereiding daarvan op verzoek van de betrokkene;

b. de persoonsgegevensverwerking is noodzakelijk voor de verantwoordelijke om een wettelijke verplichting

na te komen;

2 Memorie van Toelichting, p. 79-80.3 De Wbp was overigens al van toepassing op deze cookies. Dat de nieuwe wet de Wbp van toepassing heeft verklaard is

daarom eigenlijk van geen betekenis, maar een aantal politieke partijen wilde dit graag zo zien.

c. de persoonsgegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van

de verantwoordelijke, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in

het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Voor gebruik van niet-noodzakelijke cookies geldt sowieso al de toestemmingsplicht, wat deze

‘ondubbelzinnige toestemmingseis’ van de Wbp minder relevant maakt; de bezoeker moet immers sowieso al

‘gewone’ toestemming geven voor het plaatsen en uitlezen van cookies. Dan is het een kleine moeite om in

plaats van gewone toestemming direct om ondubbelzinnige toestemming te vragen. ‘Ondubbelzinnig’ betekent

simpel gezegd: goed geïnformeerd, uitdrukkelijk en voor één uitleg vatbaar.

Voor cookies die persoonsgegevens verwerken, bijvoorbeeld tracking cookies, geldt bovendien een omgekeerde

bewijslast die ingaat op 1 januari 2013: vanaf dat moment wordt er vanuit gegaan dat een tracking cookie

persoonsgegevens verwerkt, terwijl dat helemaal niet altijd zo hoeft te zijn. Het is dan de verantwoordelijke die

moet aantonen dat de tracking cookies géén persoonsgegevens verwerkt, dat hij toestemming heeft verkregen,

of dat een van hierboven genoemde ‘grondslagen’ van toepassing is.

Tot 1 januari 2013 rust deze bewijslast bij de handhavende autoriteiten, waarover hieronder meer.

De uitzonderingen op bovenstaande verplichtingenZoals elke wet kent ook deze wet de nodige uitzonderingen op bovenstaande hoofdregels.

De informatieplicht en toestemmingsplicht zijn niet van toepassing in het volgende geval:

Er zijn situaties waarin de technische opslag of toegang tot gegevens inherent is aan de toegepaste

techniek voor de communicatie. Soms zijn cookies gewoonweg noodzakelijk. Hierbij kan gedacht worden

aan:

a. het gebruik van een winkelwagentje bij een webwinkel;

b. inlogsessies op een website;

c. voorkeursinstellingen voor websites (bijv. taalinstellingen).

Het gaat er bij deze uitzonderingen in ieder geval om dat het gebruik van de website/dienst het plaatsen

of uitlezen van cookies (technisch) noodzakelijk maakt en dat de cookie alleen voor dit (technische) doel

gebruikt wordt.

Voor wie gelden de verplichtingen?De verplichtingen op grond van de nieuwe wet rusten op degene die verantwoordelijk is voor het plaatsen

of uitlezen van cookies. In strikt technische zin is dat de internetbrowser (of andere programmatuur) die de

cookies opslaat, en niet de bezochte website of de partij die de website beheert. Toch bedoelt de wet die

laatstgenoemden als verantwoordelijke partijen aan te wijzen.

Degene die verantwoordelijk is voor het plaatsen of uitlezen van cookies is daarentegen weer niet altijd degene

die verantwoordelijk is voor de bezochte website. Het komt veel voor dat de bezochte website zich als frame

voor andere websites voordoet, met andere woorden: via zijn eigen website een andere website vertoont.

Een voorbeeld hiervan is een adverteerder die via een banner op een andere website zijn website, bestaande

uit een advertentie, toont. Deze adverteerder kan bij het vertonen van de banner een cookie gebruiken. Op de

adverteerder rusten dan de informatie- en toestemmingsplicht voor de door hem gebruikte cookie.

Met andere woorden: de websitebezoeker moet – tenzij er sprake is van een uitzondering – altijd zijn

toestemming geven, aan de verantwoordelijke partij. De verantwoordelijke partij is niet altijd de beheerder van

de bezochte website. Het gevolg is dat soms voor één website meerdere verantwoordelijke zijn aan te wijzen.

Apparatuurneutraliteit & fingerprintingDe wet is ‘apparatuurneutraal’. Dat betekent dat de wet van toepassing is op alle websitebezoekers, ongeacht

de gebruikte hardware. Inmiddels is er hoeveelheid aan web-enabled devices waarvoor deze wet dus van

belang is, denk aan o.a. pc, Mac, tablet, telefoon, gameconsole, televisie, digitale decoders, Blu-rayspeler en

overige mediaplayers.

Bovendien is de wet – en de informatieplicht en toestemmingsplicht – tevens van toepassing op ‘device

fingerprinting’ (of machine fingerprinting, browser fingerprinting). Als bijvoorbeeld met een computer of

mobiele telefoon een website wordt bezocht, geeft de browser bepaalde instellingen en kenmerken van het

apparaat4 door aan die website.

Deze combinatie van instellingen en kenmerken is zo specifiek, dat een adverteerder die via verschillende

websites dezelfde fingerprint aantreft, er bijna met zekerheid vanuit kan gaan dat het gaat om dezelfde

internetgebruiker.

Door die gegevens te analyseren kan hij afleiden welke websites de (verder ongeïdentificeerde) bezoeker achter

een bepaalde fingerprint heeft bezocht. Hierbij wordt dus surfgedrag gevolgd aan de hand van informatie die

wordt gelezen van de apparatuur van een gebruiker.

Met deze fingerprints – die geen cookies zijn – kunnen individuele gebruikers aan de hand van de door hun

gebruikte apparatuur geïdentificeerd worden. Hoe een websitebezoeker kan nagaan of hij gevolgd wordt door

fingerprinting is evenwel niet duidelijk; dat maakt handhaving lastig.

4 Bijvoorbeeld het type besturingssysteem, de browserinstellingen, geïnstalleerde plug-ins, tijdzone en beeldschermgrootte en dergelijke.

Praktische gevolgen: vragen om toestemmingEen van de grootste kritiekpunten op de wet is de praktische uitvoerbaarheid ervan, want hoe moeten websites

hun bezoekers om toestemming voor cookies vragen?

Bij eigen cookies van een website (first party cookies) is vrij eenvoudig aan de vereisten van informatie en

toestemming te voldoen. De websitehouder kan dan bijvoorbeeld via een pop-up om toestemming vragen.

Bij cookies van derden (third party cookies) is dit een stuk lastiger; het is immers degene die verantwoordelijk

is voor de plaatsing of het uitlezen van cookies die aan de verplichtingen moet voldoen. Het probleem zit hier

in de praktische aanpak, want welke third party5 regelt de verkrijging van toestemming van de bezoeker? Dit

probleem zal zich vooral voordoen indien advertenties van derden middels banners op een website getoond

worden. De bezoeker bevindt zich op dat moment immers niet op de website van de adverteerder.

Google Analytics & Google Adsense

Deze programma’s van Google zijn eenvoudige en handige tools voor websitehouders voor resp. het verzamelen

van statistieken en het plaatsen van advertenties. De programma’s maken beiden gebruik van cookies, maar

vallen allebei niet onder de uitzonderingen van de wet: de cookies zijn niet noodzakelijk voor gebruiker, maar

enkel handig voor de websitehouder. Voor beide programma’s moet de websitebezoeker dus toestemming

geven (aan Google!).

De wet (of eigenlijk de politiek) heeft hier geen oplossing voor gegeven, anders dan dat het bedrijfsleven er

maar een oplossing voor moet bedenken.

De wet biedt wel de mogelijkheid voor de adverteerder om met de websitehouder een overeenkomst te sluiten

waarbij de laatste de informatieverplichting namens de adverteerder zal uitvoeren6.

Huidige internetbrowsers bieden bovendien geen (eenvoudige) mogelijkheden voor acceptatie van cookies:

cookies kunnen wel of niet geaccepteerd worden, maar lang niet alle browsers bieden de mogelijkheid om

per afzonderlijke website aan te geven of diens cookies geaccepteerd worden. Voor zover die mogelijkheid al

wel bestaat weet het gros van de websitebezoekers niet hoe daarmee om te gaan. Bovendien gaat het dan om

controle door de bezoeker achteraf, terwijl de wet nu voorafgaande instemming voor plaatsing en het uitlezen

van cookies verplicht stelt.

Op haar website geeft de Rijksoverheid wel aan dat het mogelijk is om een bezoeker, bijvoorbeeld via een pop-

up in een keer toestemming te vragen voor het plaatsen en uitlezen van cookies via verschillende websites,

voor een bepaalde duur (bijvoorbeeld een jaar)7.

5 Denk in dit geval bijvoorbeeld aan Google AdSense of Google Analytics. Het is nog niet duidelijk hoe Google omgaat met de nieuwe wetgeving.

6 Memorie van Toelichting, p. 81.7 <<http://www.rijksoverheid.nl/onderwerpen/ict/veilig-online-en-e-privacy/internetbezoek-volgen-met-cookies>>.

Handhaving & websites van buiten de EUDe Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) is belast met de handhaving van de nieuwe

wet. Zij kan boetes opleggen tot EUR 450.000,- en heeft inmiddels extra mankracht aangetrokken om

websites te kunnen controleren.

Daarnaast – voor zover het gaat om verwerking van persoonsgegevens – is ook het College Bescherming

Persoonsgegevens bevoegd om handhavend op te treden.

De regelgeving is niet van toepassing op websites van buiten de EU, of beter gezegd: op ‘verantwoordelijken’

van buiten de EU.

Conclusie Als gevolg van nieuwe wetgeving is het plaatsen en uitlezen van cookies slechts toegestaan indien de

internetgebruiker daar duidelijk over is geïnformeerd en zijn toestemming daarvoor heeft gegeven.

Cookies die het surfgedrag van internetgebruikers volgen vormen een extra risico vanwege privacywetgeving.

De partij die de cookies plaatst of uitleest is de verantwoordelijke en kan door OPTA op de vingers getikt

worden. Met name voor websites die advertenties van derden weergeven, bijvoorbeeld middels banners, geeft

dit een praktisch probleem. Het is dan namelijk de adverteerder die de toestemming moet vragen, terwijl de

internetgebruiker zich niet op de website van de adverteerder bevindt.

Advies aan websitehouders & ‘verantwoordelijken’A. Toepasselijkheid nieuwe wet 1. De nieuwe wetgeving geldt alleen voor degenen die cookies plaatsen en/of uitlezen. Controleer dus of

uw website gebruikt maakt van cookies8.

2. Zo ja, om wat voor soort cookies gaat het dan? Cookies van de eigen website, of third party cookies?

3. Controleer of de cookies noodzakelijk zijn voor het uitvoeren van de diensten op de website. Gaat

het om cookies uitsluitend ter uitvoering van de dienst op de website, dan mogen deze zonder

voorafgaande toestemming geplaatst en uitgelezen worden. Bedenk wel dat de cookies dus enkel dat

doel mogen dienen en geen nevenfuncties mogen en kunnen hebben. Voorbeelden: winkelwagentjes,

taalinstellingen, inlogcodes/aanmeldsessies.

4. Staan er banners/advertenties op de website? Controleer of deze banners cookies plaatsen of uitlezen9.

Doen zij dat, dan vormt dat dus een praktisch probleem omdat de adverteerder aan de verplichtingen

moet voldoen en niet de websitehouder. Op dit punt is er dus nog geen oplossing!

5. De wet is niet van toepassing op websites (of eigenlijk verantwoordelijke partijen) van buiten de EU.

B. Toestemming vragen / informatie geven 1. Een aantal mogelijkheden om toestemming te verkrijgen zijn de pop-up en de website layover (semi-

transparant menu). Pas nadat daarin informatie is gegeven en toestemming is verkregen mogen cookies

geplaatst en uitgelezen worden.

2. Het wordt aanbevolen om gebruikers hun toestemming actief te laten geven: bijvoorbeeld het

aanklikken van een vinkbox, het klikken op een acceptatie-knop.

3. Daarbij moet ook duidelijke informatie gegeven worden over de cookies, bij voorkeur wat cookies zijn,

wat de betreffende cookies doen, welke informatie de cookies verzamelen, met welk doel de cookies

geplaatst en uitgelezen worden, of de informatie aan derden beschikbaar wordt gesteld en zo ja, aan

welke derden precies.

4. Bovendien is het verstandig om bewijs te verzamelen (en op te slaan!) van de acceptatie door de

websitebezoeker: datum en tijdstip van toestemming, het IP-adres, logbestand van registratie van de

toestemming en de cookie zelf10.

8 Een eenvoudige manier is om eerst alle cookies via de browserinstellingen te verwijderen. Bezoek vervolgens de eigen website en bekijk via de browserinstellingen welke cookies er inmiddels opgeslagen zijn.

9 Zie voorgaande voetnoot.10 Onder techneuten is veel discussie over de juiste, niet-manipuleerbare, makkelijkste en goedkoopste wijze van bewijs

verzamelen. Een eenduidig antwoord is nog niet gevonden. Het gaat er in ieder geval om dat achteraf aangetoond kan worden dat de bezoeker toestemming gegeven heeft voor het plaatsen/uitlezen van cookies.

C. Overigen 1. Maak duidelijke en schriftelijke afspraken met businesspartners over de nieuwe regels: wie vraagt

toestemming, hoe wordt dat gedaan, wie is aansprakelijk, etc.

2. Maak (voor zover van toepassing, of juist uit voorzorg) melding bij het CBP van verwerking van

persoonsgegevens11.

11 www.cbpweb.nl

the valley b.v.De Entree 230 | 1101 EE Amsterdam | +31 20 451 51 51 | www.thevalley.nl