Op 15 mei is de nieuwe Telecomwet in werking getreden, inclusief de nieuwe cookieregels uit het nieuwe artikel 11.7a van de Telecommunicatiewet van kracht, ook wel bekend en berucht als de nieuwe cookiewet. Er bestaat echter nog veel onduidelijkheid over de praktische invulling van deze wet. Wat zijn de gevolgen van de nieuwe cookieregels en hoe kan je er praktisch gezien uitvoering aan geven?
De nieuwe cookiewet introduceert een aantal verplichtingen voor het gebruik van cookies, en soortgelijke technologieën als java-scripts, spyware, virussen, webtaps en device fingerprinting. Gemakshalve wordt de naam ‘cookie’wet gebruikt, maar de wet is technologieneutraal geformuleerd en geldt dus ook voor andere vormen van online tracken van gebruikers.
Dit betekent ook dat er geen onderscheid wordt gemaakt tussen soorten cookies: de nieuwe cookieregels gelden in principe voor alle cookies, dus voor zowel first party als third party cookies, zowel permanent als sessiecookies en zowel http- als flashcookies. Of een cookie een trackingfunctie heeft of niet, is niet van belang voor de verplichtingen onder de nieuwe cookieregels. Dit laat overigens onverlet de verplichtingen op grond van de Wet bescherming persoonsgegevens.
Niet van toepassing als cookies noodzakelijk zijn
De wet houdt gelukkig wel enigszins rekening met de praktijk. De nieuwe cookieregels zijn namelijk niet van toepassing indien de opslag en toegang tot de cookies noodzakelijk zijn voor uitsluitend:
- het uitvoeren van communicatie over internet; of
- de door de internetter gevraagde ‘dienst van de informatiemaatschappij’ te leveren.
Denk bijvoorbeeld aan cookies die nodig zijn om een winkelwagentje te vullen in het bestelproces op een webwinkel, of cookies om te onthouden dat je geen zin hebt in een enquête.
Verplichting 1: Geef informatie
Wanneer je niet onder één van de uitzonderingen valt, dan rusten er een aantal verplichtingen op je vóórdat je cookies mag plaatsen en/of uitlezen. Allereerst moet je de bezoeker, voordat je het cookie plaatst of uitleest, van duidelijke en volledige informatie voorzien. In die informatie moet je in ieder geval het volgende zeggen:
- Wie je bent;
- Welke cookies je gaat plaatsen;
- Waarvoor je de cookies gaat plaatsen en gebruiken;
- Hoe de bezoeker zijn toestemming kan intrekken;
- Voor welke termijn worden de cookies en opgevraagde informatie opgeslagen.
Het is daarbij niet voldoende om deze informatie ergens in een privacyverklaring op de website te ‘verstoppen’. Hieronder meer daarover. Overigens is het wel aan te raden om ook in de privacy verklaring en/of cookie verklaring deze informatie (meer uitgebreid) op te nemen.
Verplichting 2: Toestemming vragen
De tweede verplichting is de gevraagde toestemming. Deze dient voorafgaand aan het plaatsen en/of uitlezen van het cookie te worden verkregen op ondubbelzinnige wijze. De toestemming moet vrij, specifiek en op informatie berustend zijn. Maar hoe kan je de website zo gebruiksvriendelijk mogelijk houden en toch voldoen aan de nieuwe cookiergeles? Dit is nog niet helemaal duidelijk en de OPTA, de toezichthouder op dit gebied, zwijgt op ieder vlak (op een schamele F.A.Q. na, waarin weinig nieuws of verhelderende punten staan).
Browserinstellingen zouden een uitkomst kunnen bieden, maar deze voldoen volgens de wetgever vooralsnog niet aan de wettelijke verplichtingen. Je zal dus zelf de touwtjes in handen moeten nemen voordat je cookies plaatst en/of uitleest.
Hoe doe je dat?
Voordat de internetter de website bereikt, kun je de internetter een webpagina laten zien waarop je zegt wie je bent, welke cookies je plaatst en wat je daarmee doet. Je kunt vervolgens de keuze aanbieden tussen de website zonder cookies en de website met cookies; Nadeel: Dit is nogal rigide en gebruikersonvriendelijk;
Je kunt op de website gebruikmaken van een pop-up, splashscreen, banner, overlaypagina, toolbar of andere vorm van informatievoorziening over de te gebruiken cookies en daarbij de keuze geven voor het plaatsen of niet plaatsen van het cookie; Nadeel: Veel gebruikers zullen de betreffende informatie niet 1-2-3 zien, en niet zomaar “ja” klikken, waardoor je bijvoorbeeld veel statistieken mist van analytics-tools; Je kunt op je website slechts ongepersonaliseerde advertenties/(social media) plugins laten zien met daarbij de vermelding dat de internetter op een button moet klikken om een cookie te plaatsen, dat ervoor zorgt dat de internetter in het vervolg gepersonaliseerde advertenties of de betreffende (social media) plugins te zien krijgt; Nadeel: toch een extra klik van de gebruiker nodig;
Je kunt de internetter bij registratie op de website om toestemming vragen voor plaatsing van cookies en hem voor het verkrijgen ervan van de vereiste informatie voorzien; Nadeel: dit kan je niet toepassen op niet-ingelogde gebruikers. Welke mogelijkheid je de internetter biedt, blijft een eigen keuze – de wet stelt niet een bepaalde keuze verplicht, noch laat de OPTA weten welke wijze volgens haar voldoet aan de regels. Dit blijft dus vooralsnog onduidelijk. Het lijkt er echter op dat een notificatie (pop-up) voordat een cookie wordt geplaatst de meest betrouwbare manier is om aan de wet te voldoen. Hopelijk laat de OPTA binnenkort meer weten over de concrete invulling die zij aan de wet geeft.
De niet-functionele cookies
De nieuwe regels richten zich op de niet-functionele cookies, die worden gebruikt om bezoekersgedrag te registeren en op basis daarvan gericht aanbiedingen te doen. Hierbij wordt onderscheid gemaakt tussen:
- First party (direct) cookie. Wordt geplaatst door het domein dat iemand bezoekt. Bijvoorbeeld: iemand surft naar www.wehkamp.nl en dat bedrijf plaatst een cookie om bij te houden welke producten bekeken worden. Bij een volgend bezoek aan de site kan dan op basis daarvan een aanbieding worden gedaan.
- Third party (indirecte) cookie. Wordt gebruikt door adverteerders die op websites van andere bedrijven gerichte aanbiedingen doen op basis van surfgedrag.
Google Analytics, Snoobi en Piwik
U moet aan mensen die uw site bezoeken niet alleen toestemming vragen voor het gebruik van bepaalde cookies, maar ook voor Google Analytics. Hoewel u met Google Analytics zelf niet kunt zien wie uw website bezoekt, kan Google dat wel. Daarom moet hiervoor toestemming worden gevraagd.
Wettelijk gezien moet de partij die de cookies plaatst toestemming vragen. Dat geldt ook als dat een derde partij is die op de website van een ander cookies plaatst om surfgedrag bij te houden en op basis daarvan gericht te adverteren.
Om een en ander praktisch te houden, zou de andere partij deze plicht kunnen overnemen. De verplichting om toestemming te vragen is dus overdraagbaar, waardoor het mogelijk is om een systeem in te voeren waarbij eenmalig toestemming wordt gevraagd voor alle cookies die op een website worden geplaatst.
Wordt er ook gelijk streng gecontroleerd?
Hoewel de cookieregels sinds 15 mei gelden, is besloten dat bedrijven pas vanaf 1 januari 2013 moeten kunnen bewijzen dat zij toestemming hebben gekregen voor het gebruik van cookies. Tot die tijd ligt de bewijslast bij de Opta of het College Bescherming Persoonsgegevens (CBP). De Opta is daarbij gevraagd om, in afwachting van de technische standaard voor het regelen van toestemming, terughoudend te zijn, maar gaat vrijwel zeker wel controleren op de informatieplicht over het gebruik van cookies.
Waarschijnlijk krijgt u bij overtreding eerst een waarschuwing. Bovendien heeft het Ministerie van Economische Zaken, Landbouw en Innovatie aangegeven dat zolang binnen de Europese Unie geen consensus is over wat toestemming nu precies inhoudt, telecomwaakhond Opta terughoudend moet zijn met toezicht. Neem contact op met Vicus om uw Zen Cart of Magento webshop aan de regels te laten voldoen.
