De impact van de cookiewet dringt steeds meer bij organisaties door. Waar veel mensen eerst dachten dat het alleen ging om third party tracking cookies van advertentienetwerken, ontstaat nu eindelijk het besef dat de cookiewet in feite een opslag- en volgwet is. Je mag geen gegevens opslaan en niets doen om mensen te volgen, tenzij met toestemming of tenzij technisch noodzakelijk voor een aangevraagde dienst. Ook niet als het niets met marketing te maken heeft (denk social media plugins). En hoe zit dat dan met intranetten, zo wordt ons veel gevraagd. Moet je je werknemers nu om toestemming gaan vragen als je intranetserver een cookie wil zetten?
Een intranet is een privaat netwerk binnen een organisatie. Ook daar zijn er servers die data willen opslaan op computers van gebruikers, dus ook daar speelt de cookiewet. Immers, elk opslaan (en uitlezen) van data valt onder de cookiewet.
Ik denk echter niet dat dit betekent dat individuele werknemers binnen die organisatie toestemming moeten geven voor dat opslaan. De wet heeft het immers over “randapparatuur van gebruikers”, en een gebruiker is de “natuurlijk persoon of rechtspersoon die gebruik maakt van of verzoekt om een openbare elektronische communicatiedienst”. Daarmee zijn er twee argumenten om de cookiewet buiten toepassing te mogen laten:
- In de context van een intranet is niet de werknemer maar de werkgever de ‘gebruiker’, immers deze neemt de dienst af. Zijn werknemers zijn niet meer dan de “handjes” die het afnemen realiseren. Een werknemer sluit ook niet zelf contracten met klanten, dat doen ze uit naam van de werkgever. De werkgever hoeft dus alleen zichzelf toestemming te geven voor cookies.
- Er moet sprake zijn van een openbare communicatiedienst, en het intranet is per definitie niet openbaar. Binnen het intranet is het hele wetsartikel dus niet van toepassing want juridisch is er per definitie geen ‘gebruiker’.
Wanneer het intranet wordt voorzien van third-party plugins (zoals analytics of social widgets) die cookies zetten, dan is daar wél toestemming voor nodig. Die plugins werken immers via internet en niet intranet (aangenomen dat de firewall dat toestaat). Ik kan me alleen moeilijk voorstellen wat voor third-party plugin je op een intranet zou willen inzetten.
Een interne tracking of analyticstool mag dus ingezet zonder toestemming. Wel is instemming van de Ondernemingsraad nodig als die tool op individueel niveau werknemers volgt. De Wet op de ondernemingsraad bepaalt immers dat deze instemming nodig is bij alle personeelsvolgsystemen of systemen die de performance van werknemers registreert.
Een variant op het intranet is het extranet: een gedeelte van het intranet dat beschikbaar is voor anderen, buiten de organisatie. Het doel van een extranet is het beveiligd beschikbaar stellen van bedrijfsinformatie en gegevens aan klanten, partners en leveranciers. Dat is echter nog steeds geen openbaar netwerk, dus als je argument twee neemt dan is ook bij extranetten geen toestemming nodig. Vind je argument één het doorslaggevende, dan is toestemming van die klant, partner of leverancier (de rechtspersoon dus, niet de individuele werknemer) nodig.
