Nieuwe Cookiewet door de Eerste Kamer

Op dinsdag 7 oktober 2014 heeft de Tweede Kamer het wetsvoorstel voor een vernieuwde cookiewet (Telecommunicatiewet) al aangenomen.

Op dinsdag 3 februari 2015 heeft ook de Eerste Kamer het wetsvoorstel als hamerstuk afgedaan. Wanneer de nieuwe wet in werking treedt, wordt binnenkort bekend gemaakt in het Staatsblad, maar dat de wet wordt aangepast is nu definitief. Wij updaten uw kennis: wat houdt de vernieuwde wetgeving in en waar moet u als website-eigenaar rekening mee houden?

Cookies

Cookies zijn kleine tekstbestanden die door een website lokaal worden geplaatst en gelezen op het apparaat (een pc, laptop, tablet, smartphone etc.) van een websitebezoeker.

Er zijn allerlei soorten cookies, die op allerlei manieren kunnen worden onderscheiden. Een onderscheid naar functie, leidt tot de volgende soorten cookies:

–       Functionele cookies: deze cookies die nodig zijn voor het functioneren van een website, zoals de winkelmand van een webwinkel of het opslaan van taalinstellingen en inlogstatus.

–       Affliate cookies/Performance cookies: deze cookies kunnen worden gebruikt om bij te houden of bijvoorbeeld een advertentie, welke geplaatst is bij een affiliate, uiteindelijk leidt tot een aankoop of aanmelding. Op deze manier kunnen de affiliates vergoedingen ontvangen op basis van het aantal kliks dat effectief waren.

–       First party en third party analytic cookies: Met deze cookies kunnen website-eigenaren (first party) of derden die daarvoor zijn ingeschakeld, zoals Google Analytics (third party) de statistieken van een website bijhouden. Zo kunnen bijvoorbeeld de aantallen bezoekers, locatie van bezoekers en gebruikte browser worden gemeten.

–       Cookies kunnen ook gebruikt worden voor a/b-testing. Bij a/b-testing worden twee verschillende versies (versie a en versie b) van bijvoorbeeld een advertentie getoond. De cookie maakt het mogelijk bij te houden welke van de twee varianten het meest effectief is, dat wil (bijvoorbeeld) zeggen: welke de meeste kliks oplevert.

–       Retargeting cookies / remarketing cookies (ook wel: Profilerings cookies): Dit zijn een soort cookies die ervoor kunnen zorgen dat aan een bezoeker van een (bijvoorbeeld) webwinkel, op een andere website een advertentie wordt getoond die is afgestemd op zijn eerdere surfgedrag. Deze cookies zorgen er bijvoorbeeld voor dat er ineens op andere websites advertenties verschijnen van producten die de bezoeker net heeft bekeken bij een webwinkelbezoek. De cookies worden dus gebruikt om het surfgedrag van de websitebezoeker te analyseren en afgestemd daarop advertenties te tonen. Ook Facebook gebruikt dit soort cookies wanneer de Facebookgebruiker op de ‘vind ik leuk’ knop heeft geklikt, om de advertenties daarop af te stemmen.

–       First Party en Third Party Tracking cookies: Dit soort cookies worden geplaatst door een website-eigenaar om een bezoeker te identificeren op zijn website (‘first party tracking cookies’). Met first party tracking cookies kan de website-eigenaar kennis verkrijgen over de interesse van de bezoeker, over zijn klikgedrag en zijn voorkeuren. Daarnaast worden ook door derde partijen tracking cookies geplaatst bij internetgebruikers via bijvoorbeeld advertenties op de websites die de internetgebruiker bezoekt (‘third party tracking cookies’). Met deze cookies kan kennis worden verkregen over de interesse en het algemene surf- en klikgedrag van een internetgebruiker. Deze cookies kunnen door diverse andere partijen (website-eigenaren) worden gebruikt om het gedrag van een individuele websitebezoeker te voorspellen en zo aan hem juist die pagina te tonen waar zijn interesse in lijkt te zijn gezien zijn internetgeschiedenis. Tracking cookies zijn dan ook nog veel specifieker en ‘slimmer’ dan de retargeting cookies.

Cookies en wetgeving

Cookies kunnen erg nuttig zijn: ze kunnen ervoor zorgen dat de dienstverlening via een website goed functioneert. Cookies kunnen echter op zo’n manier worden ingezet dat deze de privacy van de websitebezoeker raken. Een websitebezoeker heeft echter ook recht op privacy. Om die reden is (naar aanleiding van Europese regelgeving) op twee plaatsen in de Nederlandse wetgeving het gebruik van cookies gereguleerd.

Ten eerste bepaalt de Telecommunicatiewet dat cookies alleen mogen worden geplaatst en gelezen als de gebruiker hiervoor (kort gezegd) toestemming heeft verleend. Dit zijn de wel bekende pop-ups waarmee aan de websitebezoeker wordt gevraagd “of hij of zij akkoord is met het plaatsen van cookies, omdat dan de website beter functioneert”. In de huidige wetgeving is een uitzondering opgenomen voor functionele cookies: voor het plaatsen daarvan hoeft geen toestemming te worden gevraagd aan de bezoeker. Deze regeling wordt ook wel de“Cookiewet” genoemd.

Ten tweede leidt het gebruik van cookies in veel gevallen ook tot de “verwerking van persoonsgegevens”, als da zo is geldt ook de Wet bescherming persoonsgegevens (Wbp). Persoonsgegevens mogen namelijk alleen worden verwerkt, zolang de verwerker binnen de grenzen van de Wbp blijft. Die term ‘verwerken’ omvat zo ongeveer alles dat iemand zou kunnen doen met persoonsgegevens. Een van de eisen die de Wbp stelt is dat websites aan de bezoeker toestemming moeten vragen voor de verwerking van cookies en dat aan hem moet worden medegedeeld wat met de daaruit gehaalde gegevens zal worden gedaan. Deze toestemming staat dus los van de toestemming voor het überhaupt mogen plaatsen van de cookies zelf op basis van de Telecommunicatiewet.

Indien een cookie de privacy van een websitebezoeker raakt, zal aan de bezoeker formeel gezien dus twee keer toestemming moeten worden gevraagd: één keer voor het plaatsen van de cookie, één keer voor het verwerken van de cookie. In de praktijk kan dit echter ook worden samengevoegd.

Wat verandert er?

De Minister van Economische Zaken licht in de Memorie van Toelichting toe dat de huidige wetgeving het voor de websitebezoeker moeilijk maakt om privacygevoelige cookies te onderscheiden van de cookies die nauwelijks gevolgen hebben voor zijn of haar privacy (ook wel genoemd: “persoonlijke levenssfeer”): “Hiermee schiet de wetgeving haar doel voorbij”.

De wetswijziging brengt mee dat geen toestemming meer nodig is voor het plaatsen van cookies indien de cookies geen of geringe gevolgen hebben voor de privacy van de websitebezoeker.

Voor welke cookies gaat de uitzondering dan gelden?

• Zowel first party analytic cookies, als third party analytic cookies kunnen onder de uitzondering vallen. Vereist is wel dat de cookies, of de daarmee gegenereerde gegevens niet worden gebruikt om een profiel van de websitebezoeker op te stellen, ook niet door een derde partij. Indien een de websitehouder zijn gebruiksgegevens uit analytic cookies deelt met een derde, moet dan ook in een (bewerkers)overeenkomst duidelijk met deze derde worden afgesproken dat ook hij de informatie niet zal gebruiken op een manier die meer dan geringe gevolgen heeft voor de privacy van websitebezoeker wiens gegevens het betreft en dat de derde de gegevens niet voor eigen doeleinden gebruikt, of alleen voor afgebakende, in de overeenkomst opgenomen doeleinden die geen of slechts geringe gevolgen hebben voor de privacy van de betrokken websitebezoekers.
• De uitzondering geldt over het algemeen ook voor affiliate cookies (of: performance cookies). Affiliate cookies verschaffen informatie over de effectiviteit (“heeft de advertentie tot een aankoop geleid”) van een getoonde advertentie. Indien de cookies en de daarmee verkregen gegevens uitsluitend met dit doel worden gebruikt, zal dit geen of nauwelijks gevolgen hebben voor de privacy van de internetgebruiker.
• Ook cookies die gebruikt worden voor a/b-testing vallen onder de uitzondering. De gevolgen voor de privacy bij a/b-testing zijn volgens de minister gering zijn, mits de cookies uitsluitend voor dit doel worden gebruikt.

Voor het plaatsen van welke cookies is nog wel toestemming nodig?

In de nieuwe wet wordt een uitdrukkelijk vermoeden opgenomen dat bij het gebruik van tracking cookies sprake is van verwerking van persoonsgegevens. Daarnaast heeft de minister toegelicht dat ook de remarketing cookies meer dan geringe gevolgen voor de persoonlijke levenssfeer met zich meebrengt, waardoor zij ook niet onder de uitzondering vallen.

Voor het plaatsen van remarketing cookies en/of trackingcookies zal dus in principe vooraf toestemming moeten worden gevraagd van websitegebruiker. Tevens moet er toestemming worden gegeven voor het verwerken van persoonsgegevens (Wbp).

En nu?

De minister benadrukt dat er naast de genoemde voorbeelden nog andere soorten cookies of uitzonderingen op de regels mogelijk zijn. De ACM is als toezichthouder aangewezen om per geval de ernst en de omvang van de gevolgen voor de persoonlijke levenssfeer van de gebruiker beoordelen. Op deze manier kan ook met de toekomstige (technische) ontwikkelingen rekening worden gehouden. 

De advocaten van Köster advocaten helpen u bij al uw vragen over cookies: bent u als website-eigenaar bijvoorbeeld wel verplicht om toestemming te vragen voor het plaatsen van cookies? En hoe moet u die vraag dan stellen of kan deze ook uit het gedrag van de bezoeker worden afgeleid? Ook kan Köster advocaten u helpen bij andere privacy-gerelateerde onderwerpen, zoals het opstellen van een bewerkersovereenkomst of een privacy statement. Neem daarvoor contact op met Iris Tuk van de Praktijkgroep ICT, Internet & Privacy.

We houden u op de hoogte van ontwikkelingen op het gebied van privacy. Volg ons via Twitter en LinkedIn.