AVG vs Telecommunicatiewet

Maakt u gebruik van cookies op uw website, dan zult u zich in eerste instantie moeten houden aan de Telecommunicatiewet (Tw). Worden middels deze cookies bovendien persoonsgegevens verwerkt, dan zult u daarnaast ook moeten voldoen aan de Algemene verordening gegevensbescherming (AVG). Beide wetten bevatten een informatieverplichting. Het lijkt er echter op dat deze wetten elkaar op dit gebied tegenspreken.

Cookiewet

In artikel 11.7a Tw zijn de regels omtrent het gebruik van cookies opgenomen. Dit wordt in de volksmond ook wel de ‘cookiewet’ genoemd. Deze cookiewet is gebasseerd op de EU ePrivacy Richtlijn 2002/58/EC en in Nederland geïmplementeerd in de Telecommunicatiewet. Op grond van artikel 11.7a lid 1 sub a dient iedere website haar bezoekers te informeren over het gebruik van cookies. Bovendien is op grond van sub b van hetzelfde artikel toestemming vereist voor het plaatsen van cookies. Zijn de cookies echter noodzakelijk voor het functioneren van de website, maken ze weinig tot geen inbreuk op de privacy van bezoekers of zijn ze uitsluitend bedoeld om de communicatie over een elektronisch communicatienetwerk uit te voeren? Dan sluit lid 3, lid 1 uit. Dit betekent dat de informatieverplichting en het toestemmingsvereiste in deze gevallen komen te vervallen. 

Informatieverplichting AVG

Ook de AVG kent een informatieverplichting richting betrokkenen wanneer hun persoonsgegevens verwerkt worden. Deze informatieverplichting houdt in dat betrokkenen, nog voordat hun persoonsgegevens verwerkt worden, geïnformeerd dienen te worden over de persoonsgegevens die verwerkt worden, waarom zij verwerkt worden en hoe. Deze informatie dient op grond van artikel 12 lid 1 AVG ‘in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal’ te worden verstrekt. Worden middels cookies persoonsgegevens verwerkt, dan dient een website bezoekers daarom niet alleen op grond van artikel 11.7a Tw te informeren over de cookies die geplaatst worden en waarom, maar daarnaast ook op basis van de AVG.

Informeren of toch niet?

Wat moet u nu doen als u gebruik maakt van cookies, die weinig inbreuk maken op de privacy van bezoekers, maar wel persoonsgegevens verzamelen? Op grond van artikel 11.7a lid 3 Tw hoeft u bezoekers dan ten slotte niet meer te informeren over het gebruik van deze cookies. Weinig inbreuk betekent echter niet dat er geen persoonsgegevens verwerkt worden. Een analytisch cookie van Google Analytics dat privacyvriendelijk is ingesteld bijvoorbeeld, maakt wellicht weinig inbreuk op de privacy, maar er worden wel degelijk persoonsgegevens verzameld middels dit cookie. En worden er persoonsgegevens verzameld, hoe weinig dit er ook mogen zijn, dan dient u zich te houden aan de AVG. Hoewel de informatieverplichting op grond van de Telecommunicatie voor dit soort cookies wellicht uitgesloten wordt, zult u op grond van de AVG daarom toch moeten voldoen aan uw informatieverplichting. Zo makkelijk komt u dus niet onder uw informatieverplichting richting betrokkenen uit, zelfs al doet de Telecommunicatiewet u misschien anders denken.

Terug naar overzicht