27 november 2012

De Cookiewet onder de loep

Categorie: Privacyrecht

Cookies zijn kleine bestandjes die worden aangemaakt bij het bezoek aan een website. Hierbij wordt persoonlijke data opgeslagen en kunnen deze cookies bij een nieuw bezoek op deze website (herhaaldelijk) worden geactiveerd. Het doel van cookies is tweeledig. Enerzijds onthoudt de cookie wachtwoorden en eerder opgevraagde informatie, anderzijds worden cookies ook gebruikt voor statistische doeleinden. Hierdoor kunnen adverteerders gericht(er) de beoogde doelgroep benaderen.

Vanaf 5 juni 2012 is de toepasselijke regelgeving gewijzigd. Vanaf deze datum dient iedere website die ‘bezoekersgedrag’ waarneemt en deze gegevens gebruikt, zich te conformeren aan de nieuwe cookiewet. Opgemerkt dient te worden dat de nieuwe wet- en regelgeving geen zogenaamde ‘functionele cookies’ beslaat. Functionele cookies zijn cookies die strikt noodzakelijk zijn voor de dienst en niet privacyschendend zijn. In de praktijk betekent dat, dat deze cookies een rol spelen binnen de website of aangeboden dienst, bijvoorbeeld een winkelwagentje, een inlogcode onthouden of vastleggen dat een andere cookie wel of niet mag worden gezet.

Wanneer u een cookie wilt plaatsen op de computer van de internetter moet u de internetter, kort gezegd, vooraf informeren over (i) uw identiteit, (ii) waarvoor u dat doet en (iii) moet u toestemming voor de plaatsing hebben gekregen. Voordat u een cookie plaatst moet u de internetter van duidelijke en volledige informatie voorzien. In ieder geval houdt dat in dat u aangeeft : i) wie u bent, wat u gaat plaatsen, waarvoor u dit gaat plaatsen en of u de verkregen gegevens aan derden verstrekt. Deze informatie mag niet ergens in een privacyverklaring worden verstopt. Het is verstandig deze informatie tegelijkertijd te geven met het vragen om toestemming. Toestemming in deze zin betekent: een vooraf gegeven, expliciete en ondubbelzinnige toestemming. Stilzwijgende toestemming is daartoe onvoldoende. Deze zware eis geldt echter slechts voor tracking cookies, zij het eenmalig per aanbieder per soort cookie. Wordt het voor andere doeleinden ingezet, dan dient wel weer opnieuw toestemming te worden gevraagd.

In de Wet tot wijziging van de Telecommunicatiewet (ter implementatie van de herziene telecommunicatierichtlijnen) staat ook dat wanneer de plaatsing van cookies tot doel heeft informatie van de internetter verzamelen en gegevens bij houden over zijn surfgedrag, dit een verwerking van persoonsgegevens is. Dit houdt in dat de Wet Bescherming Persoonsgegevens (WBP) van toepassing is. Dit betekent dat wanneer u bijvoorbeeld tracking cookies plaatst, u te allen tijde hiervan een melding moet maken bij het College bescherming persoonsgegevens (“CBP”). Daarnaast moet u voldoen aan de verzoeken van de internetter tot inzage en correctie van de van hem bij u bekende gegevens.

De nieuwe cookiebepaling is, met uitzondering van het rechtsvermoeden bij tracking cookies, direct in werking getreden. Vanaf 5 juni 2012 is toezichthouder OPTA daarom bevoegd om de nieuwe cookieregels te handhaven en moeten partijen die cookies plaatsen en lezen de nieuwe cookieregels naleven, oftewel informeren en vooraf toestemming verkrijgen. Het rechtsvermoeden met betrekking tot tracking cookies, dat ook onderdeel uitmaakt van de cookieregels, treedt pas per 1 januari 2013 in werking.

Als u geen toestemming vraagt of u geeft onvoldoende informatie over de cookies die u plaatst, kunnen zowel de Nederlandse OPTA als het CBP als toezichthouders optreden. Zij hebben de mogelijkheid om bij overtreding van de wet aanzienlijke boetes op te leggen, die gemakkelijk in de tienduizenden euro’s kunnen lopen. Daarnaast kan de internetter u aansprakelijk stellen voor het schenden van zijn of haar recht op privacy en daarbij een schadevergoeding eisen. Dit geldt overigens ook wanneer u niet zelf deze cookies plaatst, maar advertenties of diensten van derden hiervoor verantwoordelijk zijn.

Verhoeven heeft recentelijk (november 2012) aangekaard dat er naar zijn idee een onderverdeling moet komen tussen “first-party” en “third-party cookies”. First-party cookies worden door de website zelf geplaatst, terwijl third-party cookies vaak afkomstig zijn van adverteerders. Nu maakt de wet alleen nog maar onderscheid tussen functionele en niet-functionele cookies, hetgeen een verruiming mogelijkerwijs wenselijker maakt. Op dit moment is er bij bedrijven veel onduidelijkheid over de nieuwe wetgeving. Ook de gebruikers van de website storen zich aan de meldingen die continue gedaan worden (en moeten worden weggeklikt). Kortom, maatwerk is gewenst. Zolang cookies alleen door de site zelf gebruikt worden, zou er volgens Verhoeven geen cookiemelding nodig moeten zijn. Bij ‘tracking cookies’ die voor reclamedoeleinden worden gehanteerd wel.