Na bezwaren uit de marketingbranche was de stemming van de Telecomwet in de Eerste Kamer vertraagd. Gisterenavond laat debateerde de eerste kamer dan toch over de telecomwet. Het resultaat? Nederland is voortaan netneutraal en er moet toestemming gevraagd worden voor het plaatsen van een tracking cookie!
Eerder vandaag blogde mijn collega Matthijs op hostingrecht.nl dat de Eerste Kamer het wetsvoorstel tot aanpassing van de telecomwet heeft aangenomen. Onderdeel van die wet is het beleid inzake cookies.Dat dat laatste een heikel is, moge duidelijk zijn. Clubs van adverteerders, zoals netwerken van affiliates, die hun geld verdienen aan cookies, schreeuwden deze morgen moord en brand. Zo werd op de Affiliateblog.nl over de nieuwe wet bericht onder de welluidende titel `En nu? De Cookiewet ellende begint`!
Een cookie is niets meer dan een tekstbestandje dat op de computer van de internetter wordt geplaatst. Op bijna alle websites worden algemene bezoekgegevens bijgehouden. Denk aan het IP-adres van de computer, de eventuele gebruikersnaam, het tijdstip van opvraging en gegevens die de browser van een bezoeker meestuurt.
De belangrijkste browsers; Microsoft, Mozilla en Google, hanteren alle drie als standaardinstelling dat cookies automatisch geaccepteerd worden. Gebruik je een van de drie browsers dan kan je er dus donder op zeggen dat je clickgedrag wordt geregistreerd en verkocht als informatie aan adverteerders.
Hierbij is een belangrijk onderscheid te maken tussen technische cookies (ook sessiecookies of functionele cookies genoemd) en tracking cookies.
Zogenaamde technische cookies zorgen er bijvoorbeeld voor dat het winkelmandje de gekozen producten onthoudt tijdens je bezoek aan een webwinkel. Dit zijn de meest onschuldige cookies. In het algemeen vergemakkelijken ze het websitebezoek. Ze helpen om de instellingen van je bezoekers te onthouden en onder andere aanmeldgegevens en overzichten tijdelijk te bewaren.
Elementen van een webpagina zijn echter doorgaans afkomstig van meerdere servers. Zo staan op nu.nl advertenties die worden geplaatst door andere partijen (adverteerders). Sites zoals nu.nl worden in dit verband publishers genoemd. Bedrijven als Doubleclick, die een netwerk van websites van advertenties voorzien, worden ad network providers genoemd. Niet alleen publishers plaatsen cookies, maar ook ad network providers doen dit. Deze cookies worden ook wel third party cookies genoemd.
De third party cookies of tracking cookies gaan verder dan sessiecookies. Adverteerders plaatsen ze via hun advertentie op de computer van de bezoeker van uw site. Wanneer de bezoeker verder surft, kunnen sommige websites (indien ze een bepaalde code hebben ingebouwd) het cookie herkennen en registreren dat het om dezelfde bezoeker gaat. Zocht je vorige week nog naar een last minute vakantie naar Azië, dan is het geen toeval dat deze week alle advertenties die rechts op je zoekpagina verschijnen je een pakketreis naar Thailand, Maleisië of Indonesië willen verkopen.
Juist omdat tracking cookies aan de hand van het surfgedrag een profiel opbouwen, komen ze in het vaarwater van privacywetgeving. Adverteerders slagen erin je gepersonaliseerde advertenties te tonen omdat ze surfinformatie hebben die te herleiden is tot jouw persoon. Als dat zonder toestemming gebeurt, handelt de adverteerder of de publisher in strijd met de Europese Bijzondere privacyrichtlijn tot stand kwam. Die richtlijn heeft als kern de eerbiediging van de persoonlijke levenssfeer. En dat laatste in niet voor niets een mensenrecht.
De richtlijn eist daarom voorafgaande toestemming en informatieplicht voor het gebruik van tracking cookies en spyware. Een opt-in regime dus. Ondanks dat niet alle tracking cookies persoonsgegevens verzamelen. Het opt-in regime werd overgenomen in de aanpassing die de Eerste Kamer gisteren doorvoerde aan de telecomwetgeving!
Dat is een regime waarbij de internetter - voor de plaatsing van het cookie - duidelijke en volledige informatie moet krijgen over :
Naar de letter van de wet is het niet voldoende deze informatie ergens in een privacyverklaring op de website te ‘verstoppen’. Er mag (en kan) hierbij dus niet worden gewerkt met een puur passief systeem waarbij de gebruiker zelf maar moet ontdekken of er wellicht cookies op zijn computer staan en wat die cookies doen. De publisher moet zelfs kunnen bewijzen dat de bezoeker voor de plaatsing zijn toestemming heeft gegeven!
Browsers bieden hier vaak een knopje voor, maar de standaard browserinstellingen zijn niet voldoende voor het geven van toestemming. Uw bezoekers kunnen immers alleen grofmazig wel/geen cookies accepteren.
De cookie bepaling is op 5 juni 2012 in werking getreden. Wel is besloten tot volgend amendement : bedrijven die tracking cookies plaatsen, zullen pas vanaf 31 december van dit jaar moeten bewijzen dat ze geen persoonsgegevens verwerken. Tot die tijd moet de toezichthouder aantonen dat cookies die door een bedrijf worden geplaatst, persoonsgegevens bevatten.
Stel: u vraagt geen toestemming of geeft onvoldoende informatie over de cookies die u plaatst, wat zijn dan de gevolgen?
Volgens de wet kunnen in zo’n geval zowel de OPTA als het Cbp als toezichthouders optreden. OPTA heeft de handhaving van de cookie-bepaling opgenomen in haar Focus voor 2012. OPTA heeft de mogelijkheid om bij overtreding van de wet aanzienlijke boetes op te leggen, die gemakkelijk in de tienduizenden euro’s kunnen lopen.
Nu is het afwachten hoe de toezichthouder de nieuwe regelgeving zal hanteren. De meest voorkomende online toepassingen maken immers gebruik van tracking cookies. Denk aan diensten zoals Google Analytics, Google Website Optimizer, Facebook en Twitter buttons ter ondersteuning van uw site.
Bent u adverteerder of publisher? In onze cookie-factsheet vind je praktische tips hoe om te gaan met de nieuwe regelgeving.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.