dorhout advocaten Nieuw logo 121x43

HOE IMPLEMENTEERT U DE NIEUWE COOKIEREGELS?

dorhout advocaten Nieuw logo 121x43

Inleiding

Sinds 5 juni 2012 zijn de strenge cookieregels van kracht. Deze regels zijn te vinden in de Telecomwet en de Wet bescherming persoonsgegevens. Ze komen er in het kort op neer dat u als exploitant van een website aan een aantal verplichtingen moet voldoen. De bezoekers van een website dienen vooraf te worden geïnformeerd over het gebruik van cookies én dienen ondubbelzinnig toestemming te geven voor cookiegebruik. Dit geldt niet alleen voor uw eigen cookies, maar ook voor eventuele cookies die u door bijvoorbeeld adverteerders als Google via uw website laat plaatsen. De OPTA handhaaft deze regels en kan in de meest ernstige gevallen een boete van maximaal € 450.000,= opleggen.

Informatieplichten

Het informeren houdt in dat wordt uitgelegd of er cookies worden gehanteerd, wat voor cookies dat zijn en welke (persoons)gegevens op welke wijzen worden verwerkt. Het gaat hierbij volgens de wet om duidelijke en volledige informatie over in ieder geval de doeleinden waarvoor men toegang tot de gegevens wil krijgen dan wel waarvoor men deze gegevens wil opslaan. De toestemming van de bezoeker dient te zijn gegeven vóór de plaatsing van cookies.

Voor noodzakelijke cookies, zoals session cookies voor het ingelogd blijven of voor winkelwagentjes en transacties op webshops, wordt een uitzondering gemaakt. Hiervoor hoeft geen toestemming gevraagd te worden.

Wijzen van toestemming verkrijgen

Als uw website behalve noodzakelijke cookies ook nog andere cookies gebruikt, dan ontkomt u er niet aan om vooraf de bezoeker te informeren en om toestemming te vragen voor de specifieke te plaatsen of te lezen cookies. Ook gedrag van de bezoeker kan een implied consent oftewel impliciete toestemming behelzen, zodat ook bewust gekozen browserinstellingen (maar niet de standaardinstellingen!) voldoende kunnen zijn om toestemming te verkrijgen.

Indien de cookies daarentegen persoonsgegevens bevatten (zoals bij sommige tracking cookies) dan is daarvoor ondubbelzinnige toestemming nodig. Vanaf 1 januari 2013 wordt er een bewijsvermoeden in het leven geroepen dat alle cookies in principe persoonsgegevens bevatten, tenzij de websitehouder tegenbewijs levert. Dit zal lastig te leveren zijn en kosten met zich meebrengen. Het meest veilige is dan ook om niet te steunen op browserinstellingen of implied consent, tenzij u het bewijs -dat uw cookies géén persoonsgegevens zijn- al klaar heeft liggen. Persoonsgegevens zijn tot natuurlijke personen herleidbare gegevens.

Grofweg zijn er vier varianten die veel in de praktijk voorkomen:

  1. De uitdrukkelijke opt-in

Dit kan bijvoorbeeld met een verschijnende banner of pop-up waarin informatie wordt gegeven en om een ondubbelzinnige toestemming wordt gevraagd. De banner of pop-up kan verdwijnen zodra de keuze is gemaakt. Dit is de meest veilige variant om te hanteren.

  1. De afgedwongen toestemming

Deze variant begint vaak met een splash-page of een pop-up waarin de bezoeker maar één dwingende keuze heeft: cookies accepteren. Indien niet wordt geaccepteerd wordt de bezoeker de verdere toegang tot de website ontzegd. Nu een bezoek van een website niet verplicht is, is deze vorm van toestemming verlenen volgens de OPTA geldig. Natuurlijk blijft het de vraag of het hier wel gaat om een vrije wilsuiting.

  1. De stilzwijgende toestemming

Websites kunnen ook uitgaan van de stilzwijgende toestemming van bezoekers door enkel een banner of een beetje informatie te tonen, waarmee gewezen wordt op gebruik van cookies en dat het verdere gebruik van de website wordt beschouwd als de gegeven toestemming. De toestemmingverlening is niet uitdrukkelijk, maar wel een stuk gebruiksvriendelijker. Volgens de OPTA is deze vorm van impliciete toestemming niet in lijn met de wet. Dat zou wellicht anders kunnen zijn als er bij binnenkomst, waar dan ook op de website, eerst géén cookies worden geplaatst en pas na verder surfen op de website wel. Maar vanaf 1 januari 2013 geldt het bewijsvermoeden dat alle cookies ook persoonsgegevens zijn en vanaf dat moment is het veiliger om ondubbelzinnige toestemming te verlangen. Ook nu is ondubbelzinnige toestemming al noodzakelijk indien u tracking cookies gebruikt die ook als persoonsgegevens zijn te beschouwen.

  1. Het enkel informeren

Transparantie in het gebruik van cookies door middel van een banner of pop-up is mooi, maar onvoldoende om (impliciete) toestemming uit af te leiden. Ook het gebruik van opt-out-systemen, waarbij bezoekers op een daartoe in het leven geroepen website do not track-voorkeuren kan opslaan, is onvoldoende volgens de Minister.

Varianten 1 en 2 zijn dus de meest veilige opties. Variant 4 is in het geheel niet in lijn met de regels. En let op: Als een gebruiker cookies niet accepteert, dan mag uw website ook geen cookies plaatsen bij de betreffende gebruiker! U dient bij uzelf na te gaan wat voor cookies u (al dan niet via derden) gebruikt op uw website en of deze zich laten kwalificeren als persoonsgegevens. Indien dat laatste het geval is, dan dient u ondubbelzinnige toestemming te krijgen.

Internationale websites en serverlocaties

De Nederlandse cookieregels zijn afkomstig uit een Europese Privacyrichtlijn. Ook de andere EU-landen hebben deze cookieregels op hun manier in nationale regelgeving omgezet. In Europa gelden dus nagenoeg dezelfde regels.

Bij de beoordeling van de vraag of een website van buiten de EU zich aan de Nederlandse cookieregels moet houden, gaat het om de vraag of de website zich “richt op Nederland”. Dat is een optelsom van diverse factoren. Het maakt dan ook niet uit waar de servers staan die de website hosten of wat de extensie van de website is.

Aanbod: Cookie Law Compliance Test

Een snelle blik op het internet leert dat het overgrote deel van de Nederlandse websites momenteel niet voldoet aan de nieuwe cookieregels. Om te controleren of uw website wél compliant is biedt Dorhout Advocaten u de Cookie Law Compliance Test aan voor het vaste bedrag van 299,= euro (excl. BTW), waarbij u ook handvatten krijgt om de website wél compliant te maken. Dit aanbod is geldig tot 21 december 2012.

Hiervoor, maar ook voor andere vragen op het gebied van informaticarecht, privacy of intellectueel eigendom, kunt u contact opnemen met Koen Konings.

Related Posts

Toezicht in de semipublieke…

De semipublieke sector heeft de afgelopen jaren al te maken gehad met verscherpte eisen en toenemende regelgeving op het gebied van bestuur en toezicht en Governance. Dit naar aanleiding van…
Read more

WHOA: HERSTRUCTURERINGSMIDDEL BIJ EEN…

De WHOA (Wet Homologatie Onderhands Akkoord) is per 1 januari 2021 opgenomen in de Faillissementswet. Deze nieuwe regeling maakt het mogelijk bij ondernemingen en organisaties om schulden te saneren door…
Read more

REGIONALE PRAKTIJK ONDER DRUK…

De advocatuur aan de randen van Nederland heeft het moeilijk: in Limburg en Noord-Nederland daalt het aantal praktijken substantieel. Hoe komt dit? En waar liggen de oplossingen? Lees het artikel…
Read more