Wanneer vraagt u toestemming voor cookies?

Het is niet voor iedereen duidelijk wanneer er nu een verplichting bestaat om toestemming te vragen voor het plaatsen van cookies. De regels over cookies staan in de Telecommunicatiewet (art. 11.7a). Het uitgangspunt is altijd geweest dat bezoekers van een website moeten worden geïnformeerd over de cookies die worden geplaatst en dat niet altijd toestemming voor plaatsing van de cookies nodig is. Onder de wetgeving vallen overigens niet alleen cookies, maar ook Javascripts, Flash cookies, HTML5-local storage, web beacons en alle andere technieken waarbij gegevens worden geplaatst en/of uitgelezen. Slechts indien er in het geheel geen sprake is van het opslaan van gegevens dan wel het uitlezen van gegevens op de randapparatuur van de gebruiker, is artikel 11.7a Tw niet van toepassing.

Voor welke cookies moet  toestemming worden gevraagd?

Functionele en analytische cookies

Voor ‘functionele cookies’ en ‘analytische cookies’ is - in beginsel - geen toestemming vereist. Dit geldt alleen als de cookies geen of slechts geringe gevolgen hebben voor de persoonlijke levenssfeer van de bezoeker van de website. Deze cookies worden bijvoorbeeld gebruikt om de website goed te laten functioneren of om statistieken over het gebruik bij te houden. Als de analytische cookies een unieke ‘identifier’ bevat waardoor de bezoeker van de website geïndividualiseerd en benaderd kan worden, is sprake van – meer dan geringe - invloed op de privacy, en is toestemming nodig. Er is dus geen verplichting om bezoekers te informeren over het plaatsen van cookies of toestemming te vragen, indien de cookies:

  • nodig zijn om de communicatie uit te voeren. Hierbij kan gedacht worden aan loadbalancing cookies. Deze cookies zorgen ervoor dat het dataverkeer verdeeld wordt over meerdere servers;
  • strikt noodzakelijk zijn voor een door de gebruiker gevraagde dienst. Daarbij valt te denken aan een cookie die nodig is om af te rekenen bij een webshop of ten behoeve van het inloggen bij internetbankieren;
  • tot doel hebben om informatie te verkrijgen over de kwaliteit en/of effectiviteit van een geleverde dienst (bijvoorbeeld een website). Bijkomende voorwaarde voor het plaatsen van deze cookies is wel dat er geen of slechts een geringe inbreuk wordt gemaakt op de privacy van de gebruiker. Hierbij kan gedacht worden aan analytische cookies en affiliate cookies.

Tracking cookies

Er is wel toestemming nodig van de bezoeker als er ‘tracking cookies’ worden geplaatst. Tracking cookies zijn te onderscheiden in ‘first- party Tracking cookies’ en ‘third-party Tracking cookies’. First-party cookies worden geplaatst door de partij die de website aanbiedt en third-party cookies worden uitgegeven door een andere partij dan de aanbieder van de website. DeTracking cookies maken het mogelijk om het internetgebruik van bezoekers vast te leggen zodat het mogelijk is om de bezoekers gerichte aanbiedingen te doen of content te tonen. Tracking cookies worden dus voornamelijk gebruikt bij online adverteren. Bij het hanteren van Tracking cookies kan zal snel sprake zijn van het verwerken van persoonsgegevens omdat zij informatie bevatten met betrekking tot geïdentificeerde of identificeerbare natuurlijke personen (artikel 4 AVG). Voor het plaatsen van Tracking cookies moet dus altijd toestemming worden gevraagd aan de gebruikers van de website.

Omdat toestemming voor het plaatsen nodig is, zal de bezoeker van de website dus eerst volledig moeten worden geïnformeerd over het cookie en de doeleinden waarvoor het cookie wordt gebruikt. Rechtsgeldige toestemming kan namelijk alleen worden gegeven als de toestemming vrijelijk, specifiek, op informatie gebaseerd en ondubbelzinnig wordt gegeven. Het probleem met third-party tracking cookies is vaak dat het ontbreekt aan transparantie over de partij die deze aanbiedt en welke gegevens precies door het cookie worden verzameld en hoe met de gegevens wordt omgegaan.

Toestemming voor cookies: impliciet of expliciet?

Het standpunt van de wetgever en de Autoriteit Consument en Markt (ACM) was vóór inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) dat toestemming van de gebruiker voor analytische cookies (met impact op de privacy) en Tracking cookies, kon worden afgeleid uit een handeling, te weten de zogenaamde impliciete toestemming. Hiervan is bijvoorbeeld sprake wanneer de internetgebruiker door surft op de website, nadat hij duidelijk en volledig is geïnformeerd over welke cookies er op de website gebruikt worden en dat hij bij door surfen toestemming voor het plaatsen en/of uitlezen daarvan geeft. Voor deze impliciete toestemming is dus wel een expliciete handeling vereist, aldus de ACM. Volgens de ACM betekent dat een enkele scroll of swipebeweging op de website niet voldoende is voor impliciete toestemming. Het moet voor de website-eigenaar volstrekt duidelijk zijn dat de gebruiker daadwerkelijk toestemming heeft willen geven voor het plaatsen van cookies. Bovendien moet het voor de gebruiker duidelijk zijn dat zijn toestemming voor het plaatsen van cookies wordt afgeleid uit het feit dat hij gebruik blijft maken van de website. Zie hier het document 'veelgestelde vragen cookiebepaling ' van de ACM uit 2016.

Met de inwerkingtreding van de AVG op 25 mei 2018 zijn er aanvullende eisen gekomen voor wat betreft het verkrijgen van toestemming. In overweging 32 van de AVG staat dat toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Er staat ook dat hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Daaraan is toegevoegd dat stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit niet als toestemming gelden.

Omdat in overweging 32 van de AVG staat dat ondubbelzinnige toestemming ook kan worden verkregen door “een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens”, zou het dus wellicht nog steeds mogelijk kunnen zijn om door middel van een actieve handeling impliciete toestemming te verkrijgen voor het plaatsen van een tracking cookie. Maar doordat in overweging 32 ook staat dat het gebruik van aangekruiste vakjes niet als toestemming kan gelden, lijkt het mij dat impliciete toestemming onder de AVG niet meer mogelijk is. Bij impliciete toestemming speelt er overigens nog iets anders. De aanbieder van de website moet kunnen bewijzen dat de betreffende gebruiker toestemming heeft gegeven voor het plaatsen van het cookie en ook dat deze toestemming ook ingetrokken moet kunnen worden op eenzelfde manier als de toestemming is gegeven. Als ‘slechts’ de hiervoor genoemde impliciete toestemming is verkregen, lijkt mij dat technisch gezien bijzonder lastig te realiseren.

Door inwerkingtreding van de AVG lijkt het mij daarom dat het uitgangspunt moet zijn dat de bezoeker van de website de keus wordt gegeven om Tracking cookies te accepteren door middel van een duidelijke opt-in.

Daarnaast mag het niet zo zijn dat eerst de cookies worden geplaatst en dat pas daarna toestemming wordt gevraagd. Het gebruik van een cookie wall is volgens de Autoriteit Persoonsgegevens ook niet meer toegestaan (nieuwsbericht AP). Volgens de AP staat het hanteren van een cookie wall de noodzakelijke vrije toestemming in de weg. De vraag is overigens of de AP de wet op dit punt niet te strikt interpreteert.        

Toestemming analytische cookies onder de e-Privacy verordening

Op redelijk korte termijn zal er wederom voor cookies relevante wetgeving in werking treding. Dit is de e-Privacy Verordening (e-PV). De e-PV geeft meer invulling aan de algemene AVG regels door ze toe te passen en te specificeren als het specifiek gaat om elektronische communicatiegegevens die als persoonsgegevens worden aangemerkt. Deze verordening richt zich op bedrijven die online communiceren, gebruik maken van tracking technologieën en direct marketing. Het startpunt is de AVG, maar in de specifieke gevallen waarin een organisatie te maken heeft met elektronische communicatiegegevens zal de e-PV leidend zijn.

Op het moment dat de e-PV in werking treedt zal voor analytische cookies toestemming gevraagd moeten worden, als voor het plaatsen van analytische cookies gebruik wordt gemaakt van software van derden, zoals Google Analytics. Wanneer de e-PV in werking treedt, is nog niet bekend. Dat zal waarschijnlijk pas in 2020 of 2021 zijn.

Tot slot

Het is zinvol om tijdig het cookiebeleid aan te passen en de noodzakelijke (technische) maatregelen te nemen om te voldoen aan de AVG en komende e-PV. Het hanteren van een softwarematige tool waarbij de bezoeker van de website wordt geïnformeerd én om toestemming voor plaatsing wordt gevraagd, is daarom aan te bevelen.

Gepubliceerd op: 29 maart 2019 in ICT-recht
Vragen?
Neem contact op met Mark (M.R.) Krul
Wanneer vraagt u toestemming voor cookies?
Delen:

Nieuwsbrief

Op de hoogte blijven? Wij sturen periodiek een gratis nieuwsbrief met actualiteiten op juridisch gebied.