De nieuwe cookiewet

21 juni 2012

Voldoet uw website al aan de nieuwe Cookiewet?

Deze maand is de nieuwe cookiewetgeving in werking getreden. Als uw website hiervan gebruikt gemaakt – en dat doet uw website naar alle waarschijnlijkheid – beoogt dit artikel u een kleine handleiding te bieden om uw website te laten voldoen aan de nieuwe Cookiewet.

Overigens geldt de nieuwe regelgeving niet alleen voor cookies, maar ook voor alle andere bestanden (zoals JavaScript applicaties) die door een browser worden opgeslagen. Gemakshalve beperkt dit artikel zich tot cookies.

Wat zijn cookies?

Cookies zijn databestandjes die worden opgeslagen door de internetbrowser waarmee u een website bezoekt. Met deze cookies kan de website herkennen en bijhouden wat de bezoeker in het verleden gedaan heeft.

Er zijn directe en indirecte cookies (ook wel first en third party cookies genoemd). Directe cookies worden veelal gebruikt door een website om bijvoorbeeld inloggegevens te onthouden en een ‘winkelmandje’ bij te houden. Een indirecte cookie volgt de bezoeker over langere tijd en verschillende websites om zo surfgegevens te vergaren en profielen aan te maken (tracking cookies). Deze dataprofielen worden vervolgens vaak gebruikt om gericht te adverteren op verschillende websites in een bepaald advertentienetwerk. Voor meer informatie over de achtergrond van cookies klik hier.

Cookiewet: informatie- en toestemmingsplicht

De nieuwe cookieregelgeving is neergelegd in artikel 11.7a van de Telecommunicatiewet (Tw). Uit artikel 11.7a Tw volgen de twee belangrijkste verplichtingen. Websites die cookies plaatsen moeten de bezoeker (I) duidelijk en volledig informeren over de (aard en het gebruik van de) cookies en (II) toestemming vragen aan de bezoeker om cookies te mogen plaatsen. Het toestemmingsvereiste geldt voor álle cookies, dus ook voor cookies die bijvoorbeeld door Google Analytics ten behoeve van een website geplaatst worden.

Uitzondering

Cookies die noodzakelijk zijn om de communicatie uit te voeren of de desbetreffende dienst aan te bieden zijn uitgezonderd van de informatie- en toestemmingsplicht. Let wel, het gaat bij deze uitzondering om cookies die noodzakelijk zijn voor de bezoeker en niet om cookies die noodzakelijk zouden zijn voor de aanbieder van de website. Voorbeelden van deze noodzakelijke cookies zijn de al eerder genoemde inlog- en winkelmandje-cookies. 

Stappenplan

Stap 1: inventariseren

Inventariseer zelf, of vraag bij uw websitebouwer na, welke cookies uw website plaatst bij haar bezoekers.

Stap 2: onderscheiden

Maak vervolgens een onderscheid tussen de cookies waarvoor u géén toestemming nodig heeft van de bezoeker en de cookies waarvoor u wél toestemming nodig heeft. Zoals gezegd heeft u geen toestemming nodig van de bezoeker als de cookies noodzakelijk zijn voor de bezoeker om gebruik te kunnen maken van de website. U heeft wél toestemming van uw bezoekers nodig als u bijvoorbeeld gebruik maakt van Google Analytics en dat is vaak het geval.

Stap 3: implementeren

Bedenk (samen met uw websitebouwer) een manier om te kunnen voldoen aan uw informatie- en toestemmingsplicht. U kunt bijvoorbeeld denken aan het laten verschijnen op uw website van een pop-up venster, een (full page) overlay of een banner of toolbar, waarin informatie over de aard en gebruik van de aangeboden cookies wordt gegeven en om toestemming wordt gevraagd. Daarnaast zou u de informatie- en toestemmingsplicht in voorkomende gevallen onderdeel kunnen laten uitmaken van het inlogproces van uw website.

Voor voorbeelden van toepassing van het voorgaande in de praktijk kijkt u hier of hier. Het nadeel van een pop-up venster is overigens dat deze functionaliteit in veel browsers staat uitgeschakeld, zodat deze bezoekers het venster nooit te zien krijgen en daarmee niet voldaan wordt aan de informatie- en toestemmingsplicht.

Stap 4: privacy

Toestemming kan verder éénmalig van een bezoeker gevraagd worden en – ironisch genoeg – worden opgeslagen in een cookie. De bezoeker moet zijn keuze naderhand wel nog kunnen aanpassen. De wijze waarop dit zou kunnen gebeuren kan vermeld worden in bijvoorbeeld een privacyreglement. Als u nog geen gebruik maakt van een privacyreglement is dit wellicht een gelegenheid om dat wel te gaan doen.

Verder geldt dat vanaf 1 januari 2013 de regels voor wat betreft de privacy zwaarder worden. De zogenaamde tracking cookies worden dan verondersteld persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (Wbp) te verwerken. Toestemming op grond van de Telecommunicatiewet houdt dan bijvoorbeeld niet automatisch in toestemming op grond van de Wet bescherming persoonsgegevens.

Handhaving

De handhaving van de nieuwe cookieregelgeving is in handen van de OPTA, de toezichthouder in het kader van de Telecommunicatiewet. Hoewel de OPTA heeft aangegeven meteen met handhaving te zullen beginnen, heeft zij tegenover nieuwssite Emerce verklaard alléén de schrijnende gevallen te zullen aanpakken. In welke exacte gevallen en hoe hard de OPTA zal gaan optreden zal in de praktijk derhalve nog moeten blijken. Feit is in ieder geval dat de MKB-markt zich vooralsnog niet erg druk lijkt te maken om de Cookiewet, omdat nog maar weinig websites zijn aangepast aan de Cookiewet.

Indien de website van uw onderneming nog niet voldoet aan de nieuwe cookieregelgeving en u toch graag ‘compliant’ wil worden, kan Huver Advocaten u uiteraard adviseren en helpen bij het opstellen van een cookieverklaring en privacyreglement.

Meer artikelen over de volgende rechtsgebieden: