Na lang wachten is er een nieuw wetsvoorstel voor het aanpassen van de zogenoemde cookiewet. De ACM heeft in afwachting daarvan niet gehandhaafd op de bestaande regels, maar de waakhond zal straks wel gaan optreden. Waar moeten webwinkeliers aan voldoen?
Tekst: Charlotte Meindersma
Het werd al snel duidelijk dat de voorgaande en expliciete toestemming voor het gebruik van cookies, meestal via een pop-up of iets dergelijks, een doorn in het oog was van zowel de website-eigenaren als de bezoekers. Als je bovendien in je browser had opgeslagen dat er geen cookies bewaard mochten worden, moest je telkens bij het opnieuw bezoeken van een site weer die cookie wall wegklikken. De ACM gaf dan ook al snel aan tijdelijk niet te zullen handhaven, in afwachting van een wetswijziging. Die lijkt er nu te komen.
Cookies voor webwinkels
Of dit wetsvoorstel (artikel 11.7a Telecommunicatiewet) van belang is voor uw webwinkel hangt van een aantal zaken af. Allereerst geldt deze regel niet alleen voor cookies, maar ook voor andere technieken, zoals JavaScripts, zolang deze gegevens opslaan en toegang verkrijgen tot gegevens op een computer. Voor deze technieken moet toestemming gevraagd worden. Tot nu toe waren alleen de functionele cookies van deze toestemmingsverplichting uitgesloten.
Voor alle andere technieken, zoals analytics cookies, tracking cookies en affiliate cookies was wel expliciete toestemming nodig. Dat kan onhandig zijn bij het gebruik van advertenties bijvoorbeeld. Voor niet privacygevoelige cookies en technieken is nu geen toestemming meer nodig. Voor webwinkels kan dat betekenen dat de cookie wall kan verdwijnen. Informeren in een duidelijk cookie statement blijft noodzakelijk. In 2014 gaat de ACM webwinkels extra goed controleren. Zorg dus dat de cookieverklaring op orde is en goed vindbaar is op de website.
Privacygevoeligheid
Voor strikt functionele cookies, zoals cookies die nodig zijn voor het winkelmandje of om de betaling goed af te kunnen ronden, was de expliciete toestemming nooit nodig en dat zal zo blijven. Informeren over het gebruik van deze cookies zal echter nog steeds nodig blijven. Dat was altijd al verplicht. Maar dat is niet zo'n punt, want met een mooi linkje in de footer van de website is dat opgelost. Vooral die expliciete en voorafgaande toestemming was vervelend.
In de Memorie van Toelichting wordt nu aangegeven dat cookies die minder privacygevoelig zijn en bijvoorbeeld dienen ter verbetering van een dienst van de informatiemaatschappij (in gewoon Nederlands: verbetering van de website) cookies wel mogen zonder expliciete toestemming. Dat zijn vaak analytics cookies, maar bijvoorbeeld ook sommige affiliate cookies en cookies die nodig zijn voor een a/b test. Of deze van een first party of third party komen maakt in dat geval niet uit, zolang ze niet op een privacygevoelige wijze worden verwerkt en gebruikt. En daar schuilt precies het probleem.
Wat we ook doen, we moeten wel rekening blijven houden met de privacy van bezoekers van een website. Cookies die niet al te veel privacygevoelige informatie verzamelen zijn volgens de nieuwe cookiewet zonder expliciete toestemming toegestaan, mits de verkregen informatie niet alsnog op een privacygevoelige manier wordt verwerkt. Ze mogen als het ware alleen functioneel gebruikt worden. Om te zien naar welke producten mensen zoeken en met welke zoekwoorden zij dat doen, bijvoorbeeld.
Met een affiliate cookie mag je ook meten of iemand via een advertentie daadwerkelijk een bepaalde aankoop doet, zodat de commissie uitbetaald kan worden. Affiliate cookies worden steeds belangrijker, omdat ze direct kunnen leiden tot een koop én niet zo privacygevoelig zijn dat ze het volledige surfgedrag van een bezoeker volgen.
Wat echter niet mag, is het maken van een profiel op basis van de verkregen informatie. Het grootste probleem, is dat juist Google dit wel doet via Google Analytics. Daarom is de dienst ook gratis. Zij krijgen zoveel gratis informatie over personen door deze dienst aan te bieden, dat deze informatie en de daarmee te maken profielen, veel meer waard zijn, dan de dienst kost. Hetzelfde geldt voor gebruikte affiliate cookies en alle overige cookies of technische mogelijkheden die ingezet worden om profielen mee te maken of andere privacygevoelige informatie mee te verzamelen. Zo zijn tracking cookies nog steeds niet toegestaan zonder voorafgaande en expliciete toestemming.
Informatievereiste
Ja, informeren moet je nog steeds. Ook als je cookies gebruikt waarvoor geen expliciete toestemming meer nodig is. Maak een document waarnaar je in de footer van de website, met een link, kunt verwijzen. Dat is de meest makkelijke en gebruikelijke methode. Een andere manier mag natuurlijk ook, zolang de informatie maar eenvoudig te vinden is.
- Wie plaatst en leest de cookies?
- Wie krijgt de beschikking krijgt over verkregen gegevens?
- Waar worden de cookies voor gebruikt?
- Worden de cookies gebruikt om profielen op te stellen?
- Welk type informatie wordt verzameld om dergelijke profielen mee op te stellen?
- Worden deze profielen gebruikt om gerichte reclame aan te bieden en/of wordt het surfgedrag van de gebruiker gevolgd?
Voor cookies waar toestemming voor nodig blijft zijn, zoals tracking cookies of cookies die worden ingezet voor privacygevoelige handelingen, moet de toestemming nog steeds vooraf verkregen zijn. Toestemming via een button is niet meer nodig. De toestemming moet echter wel verkregen worden door een ‘handeling' van de websitebezoeker, bijvoorbeeld een klik naar een volgende pagina. Dit houdt praktisch gezien in dat een website nog geen cookies mag plaatsen wanneer een bezoeker voor het eerst de website bezoekt, maar dat dit mag pas, nadat er is doorgeklikt. Dat kan lastig zijn bij, bijvoorbeeld, directe links die vanaf een andere website worden aangeklikt. Bovendien moet, voor het plaatsen van de cookies, de bezoeker geïnformeerd worden. Dat wil zeggen dat de bezoeker, voor er cookies geplaatst worden, de informatie over de cookies moet kunnen lezen.
Charlotte Meindersma is jurist voor de creatieve sector en ondernemers. Ze is eigenaar van Charlotte’s Law & Fine Prints.
Kleine kanttekening:
Eis van expliciete toestemming is al laten vallen in de ontwerpfase van de cookiebepaling. Vanaf het moment dat de cookiebepaling van kracht was in Nederland werd gerefereerd aan het toestemmingsvereiste uit de Wbp (gewone toestemming). Toestemming afleiden uit een handeling op de website na voldoende geïnformeerd te zijn over het gebruik van cookies was daarmee al vanaf het moment van het van kracht worden van de cookiebepaling voldoende. Dat is dus niet nieuw.
Opmerkingen tav Google Analytics verbazen mij aangezien Google zelf stelt dat zij deze gegevens niet voor andere doeleinden gebruikt. Ben dan ook benieuwd op basis waarvan nu keihard wordt gesteld dat dit wel het geval is.
Volgens de vorige Nederlandse bepaling was wel expliciete toestemming nodig. De Wbp was (en blijft) óók van toepassing, maar er stond nergens dat de toestemming een toestemming volgens de Wbp zou zijn. Er stond simpelweg toestemming. Volgens de handhaver: ACM (voorheen: Opta) moest dit expliciete toestemming zijn.
In de servicevoorwaarden van Google Analytics staat weinig over wat ze met de informatie doen. Andere voorwaarden van Google zijn echter van overeenkomstige toepassing. Daar staat in dat Google de vrijheid en mogelijkheid heeft om de gegevens te verwerken en te gebruiken. Zij laten daarmee duidelijk de mogelijkheid open om ook profielen op te stellen. Dat zij deze, volgens hun voorwaarden, voorlopig nog niet verkopen of aan derden ter beschikking stellen, wil dus niet zeggen dat zij deze niet maken.
Uit amendement Van Bemmel/Van Dam wat uiteindelijk de huidige cookiebepaling heeft opgeleverd:
"In artikel 11.1, onderdeel g, Tw staat dat onder «toestemming» in de Telecommunicatiewet moet worden verstaan «toestemming» als bedoeld in artikel 1, onderdeel i, Wbp. Dit betekent dat er bij het plaatsen van alle soorten cookies (met uitzondering van de cookies bedoeld in het derde lid van 11.7a Tw) in ieder geval sprake moet zijn van een «vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt» dat er cookies worden geplaatst op en gelezen van zijn computer."
In 11.7a Tw wordt ook alleen maar gesproken over 'toestemming'. Niet over ondubbelzinnige (of expliciete) toestemming.