Beschikbare browsers niet geschikt zijn om toestemming te verlenen zoals bedoeld in de Nieuwe Cookiewet
Een bijdrage van Femke Vos, Louwers IP|Technology Advocaten.
Eerder verschenen in Automatiseringsgids 2012-11 (klik afbeelding voor vergroting van het kader). De Cookiewet is door de Eerste Kamer. Wedsitebezoekers zullen binnenkort vooraf om toestemming gevraagd moeten worden voor het gebruik van niet-functionele cookies. Dat geldt ook voor webanalysediensten, zoals het veelgebruikte Google Analytics. Hoe het toezicht geregeld gaat worden, is echter nog de vraag, concludeert Femke Vos.
Op 8 mei jl. ging de Eerste Kamer akkoord met de zogenaamde ‘Cookiewet’. Deze wet is gebaseerd op nieuwe Europese regelgeving die onder meer de privacyrechten van internetgebruikers moet versterken. De nieuwe Cookiewet treedt vrij snel in werking, waarschijnlijk al per 1 juli 2012.
Wat zijn cookies eigenlijk? Cookies zijn kleine tekstbestanden met informatie die een webserver naar een browser van de bezoeker van de website stuurt met de bedoeling dat deze informatie bij een volgend bezoek weer naar de webserver wordt teruggestuurd. De cookies worden opgeslagen op de pc van de bezoeker.
Er bestaan verschillende soorten cookies. Zo kunnen zij bijvoorbeeld worden gebruikt voor het onthouden van de gebruikersnaam, gekozen taalinstellingen of geplaatste bestellingen. Denk bij dat laatste aan het winkelmandje in het online bestelproces. Dat soort cookies worden ook wel aangeduid als functionele cookies.
Cookies kunnen echter ook worden gebruikt om informatie te verzamelen over de voorkeuren van websitebezoekers door bezoekers te volgen, de zogenaamde tracking cookies. Dit kan gebeuren door cookies die door de websitehouder worden gebruikt (first party cookies). Er kan echter ook gebruik worden gemaakt van cookies van andere partijen dan de websitehouder (third party cookies). Iedereen kent wel de Like-button van Facebook die op veel websites staat.
Het volgen van bezoekers beperkt zich overigens niet altijd tot het volgen van het bezoekgedrag van een gebruiker op een bepaalde website. Soms worden bezoekers zelfs over diverse websites gevolgd waarbij hun bezoekgedrag wordt vastgelegd. Denk daarbij bijvoorbeeld aan het geval dat je een website van een bepaalde vakantieaanbieder hebt bezocht. In de dagen daarna word je vervolgens op diverse websites geconfronteerd met advertenties van de betreffende aanbieder, maar ook met advertenties van andere vakantieaanbieders.
Dat laatste wordt door internetters nog wel eens als online stalking ervaren. Je kunt immers dagen of zelfs maanden ‘achtervolgd’ worden met advertenties van een product of dienst op basis van een enkel websitebezoek. Dat kan ook tot rare situaties leiden als een ander achter jouw pc heeft gezeten. Kreeg je voorheen met name reclame voor nieuwe auto’s of biermerken te zien, spitst de reclame zich plots toe op damesschoenen of zelfs maandverband. Dat is een van de redenen waarom er op Europees niveau nieuwe, strengere regels voor het gebruik van cookies zijn opgesteld.
Cookieregeling
Hoe luidt de huidige cookieregeling? Op basis van de huidige regels is het toegestaan om cookies te gebruiken als er aan de volgende voorwaarden is voldaan:
- De bezoeker van de website wordt vooraf voldoende geïnformeerd over het gebruik van cookies. Aan deze voorwaarden wordt in de praktijk overigens vaak niet voldaan.
- De bezoeker van de website wordt de mogelijkheid geboden om bezwaar te maken tegen het gebruik van cookies (de zogenaamde opt-out). Onder de huidige regeling kan de bezoeker deze opt-out benutten door zijn browserinstellingen aan te passen. In het verleden werden op die manier alle cookies geweigerd, ook de cookies die nodig zijn voor de technische werking van de website. Inmiddels bieden de grote browsers overigens ook de optie om alleen third party cookies te weigeren. De optie om first party cookies die niet-functioneel zijn te weigeren, ontbreekt echter nog.
Er geldt echter een uitzondering voor functionele cookies. Het gebruik van functionele cookies hoeft niet aan voornoemde voorwaarden te voldoen.
Wat gaat er veranderen? Onder de nieuwe Cookiewet is het gebruik van cookies alleen nog toegestaan als er vooraf toestemming is gegeven door de websitebezoeker (de zogenaamde opt-in). De bezoeker moet echter eerst duidelijk en volledig zijn geïnformeerd over het gebruik van de cookies, onder meer over de manier waarop de verzamelde informatie zal worden gebruikt.
Ook hier geldt een uitzondering voor functionele cookies. De informatieverplichting en opt-in geldt onder de nieuwe Cookiewet niet voor functionele cookies. Van functionele cookies is sprake als:
• de cookie nodig is voor de uitvoering van de communicatie (bijvoorbeeld het inloggen bij een bank);
• de cookie strikt noodzakelijk is voor de uitvoering van een dienst waar de bezoeker expliciet om heeft gevraagd (bijvoorbeeld het winkelwagentje bij onlinebestellingen).
Het vervelende is overigens dat toestemming op ieder moment ingetrokken kan worden.
Toestemming
In de praktijk zal er straks dus vooraf geïnformeerd moeten worden en toestemming moeten worden gevraagd voor het gebruik van cookies die niet-functioneel zijn. Let wel, voor webanalysediensten – zoals het veelgebruikte Google Analytics – zal ook vooraf toestemming moeten worden gevraagd. Dergelijke diensten maken namelijk gebruik van cookies om het bezoekgedrag bij te houden en vallen niet onder het begrip ‘functionele cookies’. Hetzelfde geldt bijvoorbeeld voor diensten die integratie van sociale media leveren en daarbij gebruik maken van cookies, zoals Addthis.com. Ook voor dit soort diensten is dus toestemming vereist. Verder is de nieuwe Cookiewet van toepassing op het volgen van internetters aan de hand van technische kenmerken van hun apparatuur (het zogenaamde ‘device fingerprinting’).
Er is inmiddels veel discussie geweest over de manier waarop toestemming moet worden gegeven. Voor het gebruikersgemak is het immers niet praktisch om bij ieder bezoek van een website waarbij een niet-functionele cookie wordt geplaatst, de bezoeker te confronteren met een pop-upscherm waarin om toestemming wordt gevraagd voordat de website wordt geopend. Toestemming door middel van de browserinstelling van de bezoeker zou de meest praktische en werkbare oplossing zijn.
De gezamenlijke Europese privacytoezichthouders hebben echter al laten weten dat de thans beschikbare browsers niet geschikt zijn om toestemming te verlenen in de zin van de nieuwe wetgeving. Op den duur zullen er overigens wel geschikte browsers op de markt komen, maar daar hebben websitehouders nu natuurlijk niets aan.
OPTA
De verwachting is dat de toezichthouder, in dit geval de OPTA, vanaf de inwerkingtreding van de Cookiewet in ieder geval zal handhaven op naleving van de informatieplicht. Wat betreft het toestemmingsvereiste, zit er voor websitehouders vooralsnog niets anders op dan bijvoorbeeld met pop-ups te werken als er gebruik wordt gemaakt van cookies die niet-functioneel zijn. Een dergelijke pop-up zal informatie moeten geven over het gebruik van cookies en zal een checkbox moeten bevatten waarmee de gebruiker toestemming kan geven voor het gebruik van cookies. Een alternatief is het inrichten van een soort ‘voorportaal’, een webpagina die de noodzakelijke informatie geeft en aan de gebruiker de keuze laat om de website met of juist zonder gebruikmaking van tracking cookies te openen.
Femke Vos is advocaat bij Louwers IP|Technology Advocaten.