the valley whitepaper cookieverbod
DESCRIPTION
Vanaf 5 juni dient iedere website die bezoekersgedrag meet en gegevens daarover vastlegt in bijvoorbeeld cookies (en dat zijn vrijwel alle websites) zich te houden aan de nieuwe cookiewetgeving. Omdat er bij veel mensen onduidelijkheid is wat de wet nu precies inhoudt en hoe je er als bedrijf mee om moet gaan, hebben wij voor onze klanten en geinteresseerden een whitepaper geschreven waarin we de regeles, de context en de mogelijkheden om je te prepareren eenvoudig zijn uitgelegd door onze legal counsel. Voor specifieke vragen staan wij natuurlijk klaar om te helpen, vanzelfsprekend! Vragen? Mail: [email protected]TRANSCRIPT
Cookieverbod
Wat betekent de nieuwe cookiewetgeving voor jou?
InleidingOnlangs heeft de Eerste Kamer de nieuwe Telecommunicatiewet aangenomen. Deze is al
regelmatig in het nieuws geweest omtrent de ‘netneutraliteit’ die erin vastgelegd is. Een ander
ingrijpend onderdeel van de nieuwe wet is daardoor wat ondergesneeuwd, maar niet minder
belangrijk: er zijn strikte regels voor het gebruik en plaatsen van ‘cookies’.
De nieuwe wet zou op 1 juli 2012 in werking treden, uitgezonderd het gedeelte over tracking
cookies (zie verderop). Dat zou pas per 1 januari 2013 in werking treden. Omdat Nederland
echter te laat was met de invoering van de nieuwe wet, dreigde de Europese Commissie met een
boete, als gevolg waarvan de wet vervroegd per 5 juni 2012 in werking is getreden. Het gedeelte
over tracking cookies zal nog steeds per 1 januari 2013 in werking treden.
Omdat de nieuwe regels voor cookies op vrijwel alle (commerciële) websites van toepassing
zijn, worden hier de belangrijkste punten onder elkaar gezet. Deze whitepaper is mede tot stand
gekomen dankzij ABC legal.
Minke Feenstralegal counsel
the valley, juni 2012
Achtergrond van de nieuwe wetDe nieuwe Telecommunicatiewet (‘de wet’) is het gevolg van Europese regelgeving en had eigenlijk vorig
jaar al ingevoerd moeten zijn. Doelstelling van de wet is met name bescherming van de online eindgebruiker
(privacy en veiligheid). De regeling omtrent cookies is vastgelegd in het nieuwe artikel 11.7a van de wet.
Juridisch-technisch valt er een en ander af te dingen op de wet, maar die discussie wordt hier achterwege
gelaten.
Het woord ‘cookie(s)’ komt in de wet zelf niet voor, daar wordt gesproken van ‘gegevens die zijn opgeslagen
in randapparatuur van de gebruiker1. Strikt genomen strekt de wet zich dus verder uit dan alleen tot cookies,
maar voor het gemak wordt die term hier verder aangehouden.
Voor wie is de wetswijziging relevant?De nieuwe wet is van invloed op alle websites die gebruik maken van cookies. Verder kan de nieuwe wet van
invloed zijn op alle (online) adverteerders, publishers, affiliatenetwerken (en dus ook affiliates), mediabureaus,
advertentietussenpersonen, websitebouwers, designers en niet te vergeten de bezoekers van websites.
De nieuwe hoofdregels voor cookiesVanaf 5 juni 2012 moeten bezoekers van websites vooraf hun toestemming geven voor:
1. het plaatsen van elke cookie; en/of
2. het uitlezen van cookies (door websites).
Bij de verkrijging van die toestemming moet de bezoeker van de website:
1. duidelijk en volledig zijn geïnformeerd over de doeleinden waarvoor de website toegang wil verkrijgen
tot reeds bestaande cookies; en/of
2. duidelijk en volledig zijn geïnformeerd over de doeleinden waarvoor de website cookies wil plaatsen.
Bovenstaande kan dus worden samengevat in twee woorden: informatieplicht en toestemmingsplicht.
De websitebezoeker kan zijn toestemming op elk moment ook weer intrekken.
1 Daaronder vallen volgens de Memorie van Toelichting bijvoorbeeld ook jpeg- en javascriptbestanden, flashcookies, webtaps, spionagesoftware en dialerprogramma’s.
Inhoud van de informatieplicht2
Indien het gaat om ‘persoonsgegevens’ (dit begrip wordt hieronder uitgelegd) moet een websitebezoeker
onder meer geïnformeerd worden over de identiteit van de verantwoordelijke (ook dit begrip wordt hieronder
uitgelegd) en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd. Daarnaast moet de
verantwoordelijke nadere informatie verstrekken voor zover dat gelet op de aard van de gegevens, de
omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om
tegenover betrokkenen een behoorlijke en zorgvuldige verwerking te waarborgen (artikel 33 Wet bescherming
persoonsgegevens, de ‘Wbp’).
Indien het gaat om andere gegevens dan persoonsgegevens dan moet in ieder geval informatie verstrekt
worden omtrent de doeleinden waarvoor de gegevens worden verstrekt.
Denk daarbij onder andere aan: wat is een cookie, wat wordt ermee gedaan, wat kan een cookie, wat staat er
in een cookie, hoe lang blijft de cookie actief, welke gegevens over de gebruiker kan een cookie prijsgeven?
Bovendien moet gemeld worden dat een toestemming ook altijd weer ingetrokken kan worden (en op welke
wijze).
Extra strenge regelsVoor cookies die persoonsgegevens verwerken, gelden strengere regels. Op deze cookies is namelijk (naast de
nieuwe Telecommunicatiewet) ook de Wbp van toepassing3.
Alle gegevens waarmee iemand geïdentificeerd kan worden zijn persoonsgegevens, denk bijvoorbeeld aan
namen, adressen, foto’s, e-mailadressen en IP-adressen (hoewel over die laatste twee discussie bestaat).
Onder ‘verwerken’ van persoonsgegevens wordt volgens de Wbp onder meer verstaan: verzamelen, vastleggen,
bewaren, bijwerken, opvragen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige
andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het
afschermen, uitwissen of vernietigen van persoonsgegevens.
De Wbp eist bij cookies die persoonsgegevens verwerken dat er vooraf ‘ondubbelzinnige toestemming’
voor de verwerking gevraagd en verleend is. Om het nog ingewikkelder te maken: de Wbp kent naast deze
ondubbelzinnige toestemming nog vijf andere grondslagen voor de verwerking van persoonsgegevens. Daarvan
zijn hier vooral de volgende van belang:
a. de persoonsgegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst, of de
voorbereiding daarvan op verzoek van de betrokkene;
b. de persoonsgegevensverwerking is noodzakelijk voor de verantwoordelijke om een wettelijke verplichting
na te komen;
2 Memorie van Toelichting, p. 79-80.3 De Wbp was overigens al van toepassing op deze cookies. Dat de nieuwe wet de Wbp van toepassing heeft verklaard is
daarom eigenlijk van geen betekenis, maar een aantal politieke partijen wilde dit graag zo zien.
c. de persoonsgegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van
de verantwoordelijke, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in
het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
Voor gebruik van niet-noodzakelijke cookies geldt sowieso al de toestemmingsplicht, wat deze
‘ondubbelzinnige toestemmingseis’ van de Wbp minder relevant maakt; de bezoeker moet immers sowieso al
‘gewone’ toestemming geven voor het plaatsen en uitlezen van cookies. Dan is het een kleine moeite om in
plaats van gewone toestemming direct om ondubbelzinnige toestemming te vragen. ‘Ondubbelzinnig’ betekent
simpel gezegd: goed geïnformeerd, uitdrukkelijk en voor één uitleg vatbaar.
Voor cookies die persoonsgegevens verwerken, bijvoorbeeld tracking cookies, geldt bovendien een omgekeerde
bewijslast die ingaat op 1 januari 2013: vanaf dat moment wordt er vanuit gegaan dat een tracking cookie
persoonsgegevens verwerkt, terwijl dat helemaal niet altijd zo hoeft te zijn. Het is dan de verantwoordelijke die
moet aantonen dat de tracking cookies géén persoonsgegevens verwerkt, dat hij toestemming heeft verkregen,
of dat een van hierboven genoemde ‘grondslagen’ van toepassing is.
Tot 1 januari 2013 rust deze bewijslast bij de handhavende autoriteiten, waarover hieronder meer.
De uitzonderingen op bovenstaande verplichtingenZoals elke wet kent ook deze wet de nodige uitzonderingen op bovenstaande hoofdregels.
De informatieplicht en toestemmingsplicht zijn niet van toepassing in het volgende geval:
Er zijn situaties waarin de technische opslag of toegang tot gegevens inherent is aan de toegepaste
techniek voor de communicatie. Soms zijn cookies gewoonweg noodzakelijk. Hierbij kan gedacht worden
aan:
a. het gebruik van een winkelwagentje bij een webwinkel;
b. inlogsessies op een website;
c. voorkeursinstellingen voor websites (bijv. taalinstellingen).
Het gaat er bij deze uitzonderingen in ieder geval om dat het gebruik van de website/dienst het plaatsen
of uitlezen van cookies (technisch) noodzakelijk maakt en dat de cookie alleen voor dit (technische) doel
gebruikt wordt.
Voor wie gelden de verplichtingen?De verplichtingen op grond van de nieuwe wet rusten op degene die verantwoordelijk is voor het plaatsen
of uitlezen van cookies. In strikt technische zin is dat de internetbrowser (of andere programmatuur) die de
cookies opslaat, en niet de bezochte website of de partij die de website beheert. Toch bedoelt de wet die
laatstgenoemden als verantwoordelijke partijen aan te wijzen.
Degene die verantwoordelijk is voor het plaatsen of uitlezen van cookies is daarentegen weer niet altijd degene
die verantwoordelijk is voor de bezochte website. Het komt veel voor dat de bezochte website zich als frame
voor andere websites voordoet, met andere woorden: via zijn eigen website een andere website vertoont.
Een voorbeeld hiervan is een adverteerder die via een banner op een andere website zijn website, bestaande
uit een advertentie, toont. Deze adverteerder kan bij het vertonen van de banner een cookie gebruiken. Op de
adverteerder rusten dan de informatie- en toestemmingsplicht voor de door hem gebruikte cookie.
Met andere woorden: de websitebezoeker moet – tenzij er sprake is van een uitzondering – altijd zijn
toestemming geven, aan de verantwoordelijke partij. De verantwoordelijke partij is niet altijd de beheerder van
de bezochte website. Het gevolg is dat soms voor één website meerdere verantwoordelijke zijn aan te wijzen.
Apparatuurneutraliteit & fingerprintingDe wet is ‘apparatuurneutraal’. Dat betekent dat de wet van toepassing is op alle websitebezoekers, ongeacht
de gebruikte hardware. Inmiddels is er hoeveelheid aan web-enabled devices waarvoor deze wet dus van
belang is, denk aan o.a. pc, Mac, tablet, telefoon, gameconsole, televisie, digitale decoders, Blu-rayspeler en
overige mediaplayers.
Bovendien is de wet – en de informatieplicht en toestemmingsplicht – tevens van toepassing op ‘device
fingerprinting’ (of machine fingerprinting, browser fingerprinting). Als bijvoorbeeld met een computer of
mobiele telefoon een website wordt bezocht, geeft de browser bepaalde instellingen en kenmerken van het
apparaat4 door aan die website.
Deze combinatie van instellingen en kenmerken is zo specifiek, dat een adverteerder die via verschillende
websites dezelfde fingerprint aantreft, er bijna met zekerheid vanuit kan gaan dat het gaat om dezelfde
internetgebruiker.
Door die gegevens te analyseren kan hij afleiden welke websites de (verder ongeïdentificeerde) bezoeker achter
een bepaalde fingerprint heeft bezocht. Hierbij wordt dus surfgedrag gevolgd aan de hand van informatie die
wordt gelezen van de apparatuur van een gebruiker.
Met deze fingerprints – die geen cookies zijn – kunnen individuele gebruikers aan de hand van de door hun
gebruikte apparatuur geïdentificeerd worden. Hoe een websitebezoeker kan nagaan of hij gevolgd wordt door
fingerprinting is evenwel niet duidelijk; dat maakt handhaving lastig.
4 Bijvoorbeeld het type besturingssysteem, de browserinstellingen, geïnstalleerde plug-ins, tijdzone en beeldschermgrootte en dergelijke.
Praktische gevolgen: vragen om toestemmingEen van de grootste kritiekpunten op de wet is de praktische uitvoerbaarheid ervan, want hoe moeten websites
hun bezoekers om toestemming voor cookies vragen?
Bij eigen cookies van een website (first party cookies) is vrij eenvoudig aan de vereisten van informatie en
toestemming te voldoen. De websitehouder kan dan bijvoorbeeld via een pop-up om toestemming vragen.
Bij cookies van derden (third party cookies) is dit een stuk lastiger; het is immers degene die verantwoordelijk
is voor de plaatsing of het uitlezen van cookies die aan de verplichtingen moet voldoen. Het probleem zit hier
in de praktische aanpak, want welke third party5 regelt de verkrijging van toestemming van de bezoeker? Dit
probleem zal zich vooral voordoen indien advertenties van derden middels banners op een website getoond
worden. De bezoeker bevindt zich op dat moment immers niet op de website van de adverteerder.
Google Analytics & Google Adsense
Deze programma’s van Google zijn eenvoudige en handige tools voor websitehouders voor resp. het verzamelen
van statistieken en het plaatsen van advertenties. De programma’s maken beiden gebruik van cookies, maar
vallen allebei niet onder de uitzonderingen van de wet: de cookies zijn niet noodzakelijk voor gebruiker, maar
enkel handig voor de websitehouder. Voor beide programma’s moet de websitebezoeker dus toestemming
geven (aan Google!).
De wet (of eigenlijk de politiek) heeft hier geen oplossing voor gegeven, anders dan dat het bedrijfsleven er
maar een oplossing voor moet bedenken.
De wet biedt wel de mogelijkheid voor de adverteerder om met de websitehouder een overeenkomst te sluiten
waarbij de laatste de informatieverplichting namens de adverteerder zal uitvoeren6.
Huidige internetbrowsers bieden bovendien geen (eenvoudige) mogelijkheden voor acceptatie van cookies:
cookies kunnen wel of niet geaccepteerd worden, maar lang niet alle browsers bieden de mogelijkheid om
per afzonderlijke website aan te geven of diens cookies geaccepteerd worden. Voor zover die mogelijkheid al
wel bestaat weet het gros van de websitebezoekers niet hoe daarmee om te gaan. Bovendien gaat het dan om
controle door de bezoeker achteraf, terwijl de wet nu voorafgaande instemming voor plaatsing en het uitlezen
van cookies verplicht stelt.
Op haar website geeft de Rijksoverheid wel aan dat het mogelijk is om een bezoeker, bijvoorbeeld via een pop-
up in een keer toestemming te vragen voor het plaatsen en uitlezen van cookies via verschillende websites,
voor een bepaalde duur (bijvoorbeeld een jaar)7.
5 Denk in dit geval bijvoorbeeld aan Google AdSense of Google Analytics. Het is nog niet duidelijk hoe Google omgaat met de nieuwe wetgeving.
6 Memorie van Toelichting, p. 81.7 <<http://www.rijksoverheid.nl/onderwerpen/ict/veilig-online-en-e-privacy/internetbezoek-volgen-met-cookies>>.
Handhaving & websites van buiten de EUDe Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) is belast met de handhaving van de nieuwe
wet. Zij kan boetes opleggen tot EUR 450.000,- en heeft inmiddels extra mankracht aangetrokken om
websites te kunnen controleren.
Daarnaast – voor zover het gaat om verwerking van persoonsgegevens – is ook het College Bescherming
Persoonsgegevens bevoegd om handhavend op te treden.
De regelgeving is niet van toepassing op websites van buiten de EU, of beter gezegd: op ‘verantwoordelijken’
van buiten de EU.
Conclusie Als gevolg van nieuwe wetgeving is het plaatsen en uitlezen van cookies slechts toegestaan indien de
internetgebruiker daar duidelijk over is geïnformeerd en zijn toestemming daarvoor heeft gegeven.
Cookies die het surfgedrag van internetgebruikers volgen vormen een extra risico vanwege privacywetgeving.
De partij die de cookies plaatst of uitleest is de verantwoordelijke en kan door OPTA op de vingers getikt
worden. Met name voor websites die advertenties van derden weergeven, bijvoorbeeld middels banners, geeft
dit een praktisch probleem. Het is dan namelijk de adverteerder die de toestemming moet vragen, terwijl de
internetgebruiker zich niet op de website van de adverteerder bevindt.
Advies aan websitehouders & ‘verantwoordelijken’A. Toepasselijkheid nieuwe wet 1. De nieuwe wetgeving geldt alleen voor degenen die cookies plaatsen en/of uitlezen. Controleer dus of
uw website gebruikt maakt van cookies8.
2. Zo ja, om wat voor soort cookies gaat het dan? Cookies van de eigen website, of third party cookies?
3. Controleer of de cookies noodzakelijk zijn voor het uitvoeren van de diensten op de website. Gaat
het om cookies uitsluitend ter uitvoering van de dienst op de website, dan mogen deze zonder
voorafgaande toestemming geplaatst en uitgelezen worden. Bedenk wel dat de cookies dus enkel dat
doel mogen dienen en geen nevenfuncties mogen en kunnen hebben. Voorbeelden: winkelwagentjes,
taalinstellingen, inlogcodes/aanmeldsessies.
4. Staan er banners/advertenties op de website? Controleer of deze banners cookies plaatsen of uitlezen9.
Doen zij dat, dan vormt dat dus een praktisch probleem omdat de adverteerder aan de verplichtingen
moet voldoen en niet de websitehouder. Op dit punt is er dus nog geen oplossing!
5. De wet is niet van toepassing op websites (of eigenlijk verantwoordelijke partijen) van buiten de EU.
B. Toestemming vragen / informatie geven 1. Een aantal mogelijkheden om toestemming te verkrijgen zijn de pop-up en de website layover (semi-
transparant menu). Pas nadat daarin informatie is gegeven en toestemming is verkregen mogen cookies
geplaatst en uitgelezen worden.
2. Het wordt aanbevolen om gebruikers hun toestemming actief te laten geven: bijvoorbeeld het
aanklikken van een vinkbox, het klikken op een acceptatie-knop.
3. Daarbij moet ook duidelijke informatie gegeven worden over de cookies, bij voorkeur wat cookies zijn,
wat de betreffende cookies doen, welke informatie de cookies verzamelen, met welk doel de cookies
geplaatst en uitgelezen worden, of de informatie aan derden beschikbaar wordt gesteld en zo ja, aan
welke derden precies.
4. Bovendien is het verstandig om bewijs te verzamelen (en op te slaan!) van de acceptatie door de
websitebezoeker: datum en tijdstip van toestemming, het IP-adres, logbestand van registratie van de
toestemming en de cookie zelf10.
8 Een eenvoudige manier is om eerst alle cookies via de browserinstellingen te verwijderen. Bezoek vervolgens de eigen website en bekijk via de browserinstellingen welke cookies er inmiddels opgeslagen zijn.
9 Zie voorgaande voetnoot.10 Onder techneuten is veel discussie over de juiste, niet-manipuleerbare, makkelijkste en goedkoopste wijze van bewijs
verzamelen. Een eenduidig antwoord is nog niet gevonden. Het gaat er in ieder geval om dat achteraf aangetoond kan worden dat de bezoeker toestemming gegeven heeft voor het plaatsen/uitlezen van cookies.
C. Overigen 1. Maak duidelijke en schriftelijke afspraken met businesspartners over de nieuwe regels: wie vraagt
toestemming, hoe wordt dat gedaan, wie is aansprakelijk, etc.
2. Maak (voor zover van toepassing, of juist uit voorzorg) melding bij het CBP van verwerking van
persoonsgegevens11.
11 www.cbpweb.nl
the valley b.v.De Entree 230 | 1101 EE Amsterdam | +31 20 451 51 51 | www.thevalley.nl