Vallen mijn cookies onder de cookieregels?
Een bijdrage van Wouter Dammers, ICTRecht.
Zie onderaan voor een praktische lijst. De nieuwe cookieregels vereisen dat specifieke, vrije en op informatie berustende toestemming (de zogenaamde “informed consent”) moet worden verkregen van gebruikers voordat informatie wordt opgeslagen of wordt opgevraagd op de randapparatuur (computer, mobieltje, tablet, e.d.) van de gebruiker.
Echter, niet altijd is deze informed consent vereist. Uitgezonderd zijn de zogenaamde functionele cookies. Functionele cookies? Ja. Functionele cookies. Gelukkig heeft de Article 29 Data Protection Working Party (de “Werkgroep”, een Europees adviesorgaan waar alle Europese toezichthouders op het gebied van privacy zijn aangesloten), inmiddels meer duidelijkheid verschaft over welke cookies onder deze uitzondering valt (overigens heeft zij eerder al meer uitleg gegeven over wat onder “informed consent” moet worden verstaan in twee opinies (deze en deze)).
De Werkgroep omschrijft functionele cookies als cookies die (A) uitsluitend dienen ter uitvoering van communicatie (“Communicatie Cookies”) of (B) dienen ter uitvoering van een “dienst van de informatiemaatschappij” (“Dienst Cookies”).
Communicatie Cookies
Communicatie Cookies moeten noodzakelijk zijn om communicatie mogelijk te maken – enkel het vergemakkelijken of versnellen van communicatie is dus niet voldoende. De Werkgroep noemt drie elementen die als strikt noodzakelijk kunnen worden aangemerkt voor het plaatsvinden van communicatie tussen twee partijen via een netwerk:
De mogelijkheid om informatie te routeren via het netwerk, met name door de eindpunten van de communicatie te identificeren;
De mogelijkheid om gegevens uit te wisselen in de bedoelde volgorde, met name door de data pakketjes te nummeren;
De mogelijkheid om tranmissiefouten of verlies van data te ontdekken.
Overigens hoeft er niet per sé sprake te zijn van een “netwerk”, ook op applicatieniveau kunnen deze Communicatie Cookies voorkomen.
Indien minimaal één van de voornoemde functies worden gebruikt, is er sprake van Communicatie Cookies. De nieuwe cookieregels gelden in dat geval dus niet.
Dienst Cookies
Om als Dienst Cookie te kunnen worden aangemerkt, dient aan de volgende vereisten te zijn voldaan:
De dienst moet uitdrukkelijk zijn verzocht door de betreffende gebruiker – er moet daarvoor een actieve wilsuiting hebben plaatsgevonden (zoals het klikken op een button);
De cookie moet strikt noodzakelijk zijn om die betreffende dienst uit te kunnen voeren: als cookies zijn uitgeschakeld werkt de betreffende dienst niet.
Wordt aan beide vereisten voldaan, dan is er sprake van een Dienst Cookie. De nieuwe cookieregels gelden in dat geval dus niet.
Uitgezonderd? En dan?
Wanneer je uitgezonderd bent van de nieuwe cookieregels, betekent dit nog niet dat er geen verplichtingen voor je gelden. Het Communicatie Cookie of Dienst Cookie moet zodanig ingesteld zijn dat ze niet meer werken wanneer ze niet meer nodig zijn. Een goed moment is wanneer de browser sessie eindigt, en soms zelf eerder (verlaten van de website). Voor winkelwagen cookies (een Dienst Cookie bij uitstek) kan het wenselijk zijn om de cookies ook te houden na beëindiging van de browser sessie – bijvoorbeeld omdat de gebruiker zijn browser per ongeluk kan hebben afgesloten. De redelijke verwachtingen van de gemiddelde gebruiker zijn hierbij van belang – houd dat dus goed in de gaten als criterium.
Praktisch: een tabel om te bepalen of de nieuwe cookieregels gelden:
Allemaal leuk en aardig die regels, maar we hebben natuurlijk veel liever een gemakkelijk en praktisch overzicht waarin we kunnen opzoeken of de nieuwe cookieregels gelden voor het betreffende cookie of niet. Wel nu, bij deze:
Algemene voorbeelden
Soort cookie | Wel/geen vereisten, mitsen/maren? |
First party session cookies | vereisten gelden niet mits aan voornoemde voorwaarden is voldaan |
Third party persistent cookies | informed consent vereist |
Dienst Cookies* | geen vereisten |
Communicatie Cookies* | geen vereisten |
Cookies met meerdere functies | geen vereisten indien álle functies als Dienst Cookie en/of als Communicatie Cookie functioneren |
Zombie cookies | informed consent vereist |
Ever-cookies | informed consent vereist |
Tracking cookies | informed consent vereist |
Third party advertising cookies | informed consent vereist |
*zie definitie hierboven
Specifieke voorbeelden:
Soort cookie | Wel/geen vereisten, mitsen/maren? |
User-id cookies | waarschijnlijk geen vereisten indien enkel gebruikt voor onthouden gebruiksvoorkeuren, wel informed consent vereist indien (ook) gebruikt voor tracking doeleinden |
First party user input session cookies | geen vereisten |
Authentication session cookie | geen vereisten, mits niet gebruikt voor behavioural monitoring of advertising |
Authentication persistent cookie | informed consent vereist (maar: “Remember me (uses cookies)” als begeleidende tekst is volgens de Werkgroep 29 gebruikelijk en voldoende om toch binnen uitzondering te vallen) |
User centric security session cookie voor betreffende website | geen vereisten |
User centric security persistent cookie | informed consent vereist (maar: “Remember me (uses cookies)” als begeleidende tekst is volgens de Werkgroep 29 gebruikelijk en voldoende om toch binnen uitzondering te vallen) |
User centric security cookie voor niet uitdrukkelijk verzochte websites of voor (third party) diensten | informed consent vereist |
Multimedia player session cookie (flash cookie) | geen vereisten (mits uitdrukkelijk verzocht, mits cookie niet meer wordt gebruikt na beëindigen sessie en mits geen extra info wordt opgeslagen die niet strikt noodzakelijk is) |
Load balancing session cookie | geen vereisten |
UI customization cookies | geen vereisten (mits session cookies, of indien noodzakelijk short term cookies) |
Language preference cookies | geen vereisten (mits session cookies, of indien noodzakelijk short term cookies) |
Result display preference session cookies | geen vereisten (mits session cookies, of indien noodzakelijk short term cookies) |
Social plug-in content sharing cookies | geen vereisten voor logged-in gebruikers, mits session-cookie, informed consent vereist voor non-logged-in gebruikers en/of voor non-session cookies (mengeling? Dan beter: informed consent vereist) |
Social plug-in tracking cookies | informed consent vereist |
First party analytics | in principe informed consent vereist, maar mogelijk in de toekomst toch verspoepeld, voor zover het cookie first party geanonimiseerde en geaggregeerde statistieke doeleinden betreft |
Third party analytics | informed consent vereist |
Third party advertising cookies | informed consent vereist |
Third party frequency capping cookies | informed consent vereist |
Third party financial logging cookies | informed consent vereist |
Third party ad affiliation cookies | informed consent vereist |
Third party click fraud detection cookies | informed consent vereist |
Third party research and market analysis cookies | informed consent vereist |
Third party product improvement cookies | informed consent vereist |
Third party debugging cookies | informed consent vereist |