De cookiewet wordt gewijzigd

Minister Kamp van Economische Zaken heeft vandaag, op pinkstermaandag, in een brief aan de Tweede Kamer laten weten dat de cookiewet zal worden gewijzigd. Cookies die worden gebruikt voor het meten van het gebruik van de website, zullen niet meer onder de cookiewet vallen als het voorstel wordt aangenomen. De openbare internetconsultatie start vandaag.

De huidige cookiewet

Artikel 11.7a van de Telecommunicatiewet – ook wel cookiewet genoemd – bepaalt dat vóór het plaatsen en uitlezen van gegevens zoals cookies toestemming nodig is van de internetter (de “toestemmingsplicht”), en dat deze toestemming alleen kan worden verkregen nadat de internetter hierover duidelijk en volledig is geïnformeerd (de “informatieplicht”). Deze plichten gelden alleen niet in het geval er sprake is van zogenaamde “functionele” cookies: cookies die noodzakelijk zijn om bijvoorbeeld een winkelwagentje te kunnen vullen, of om jouw inloggegevens te onthouden als jij daarom vraagt.

Huidige cookiewet is overtrokken

Dat deze plichten in de praktijk nog al eens overtrokken kunnen zijn, is ook eindelijk doorgedrongen tot de Haagse politiek. Doel van de cookiewet is immers om de privacy van de burger te beschermen (ook de informatie op jouw computer valt namelijk onder jouw “persoonlijke levenssfeer” en geniet daarom privacy bescherming), maar veel cookies hebben geen of slechts geringe gevolgen voor de privacy. Bovendien raken gebruikers “geïrriteerd” door de vele cookie pop-ups en cookiewalls, waar ze constant op “Ja”, “OK” of “Akkoord” moeten klikken, om maar van die pop-up af te komen (meestal zonder de tekst te hebben gelezen en dus zonder daadwerkelijk geïnformeerd te zijn over de gevolgen voor zijn/haar privacy, met alle gevolgen van dien).

Als voorbeeld noemt Minister Kamp de analytic cookies die worden gebruikt om bepaalde informatie te verkrijgen over het gebruik van de website, zodat de websitehouder de kwaliteit van de website op basis daarvan kan verbeteren. Deze cookies hebben nauwelijks gevolgen voor de privacy, maar zijn wel van groot belang voor de kwaliteit van websites. Vandaar dat ze ook door zo goed als iedere website wel worden gebruikt.

Voorstel wetswijziging: Cookies om info te krijgen over kwaliteit en effectiviteit van websites

Nu komt er dus toch een wetswijziging – althans, daartoe wordt nu een voorstel gedaan. Het voorstel komt er op neer dat de uitzonderingen op de cookiewet worden aangevuld. Uitgezonderd zijn nu:

(i) cookies die uitsluitend dienen om communicatie mogelijk te maken (load_balancer cookies);

(ii) cookies die noodzakelijk zijn om een door de internetter gevraagde dienst te leveren vallen (winkelwagentje, onthouden inloggegevens); en – dit is nieuw -

(iii)cookies die dienen om informatie te verkrijgen over de kwaliteit of effectiviteit van de website, mits dit geen nadelige gevolgen heeft voor de privacy van de internetter.

Gevolgen voor analytic cookies: onder omstandigheden uitgezonderd

Het voorstel is gedaan met zowel een oog op de belangen van de websitehouders bij gebruik van de analytic cookies, als op de belangen van de internetter op de bescherming van zijn of haar privacy. En uiteraard blijft ook de Wet bescherming persoonsgegevens gelden, voor de gevallen waarbij persoonsgegevens zoals IP-adressen en unieke cookie-ID’s worden verwerkt.

Gevolg van dit wetsvoorstel is dat, als deze van kracht wordt, dat zowel first party analytic cookies als third party analytic cookies onder de uitzondering kunnen vallen! Wel is het dan noodzakelijk dat deze cookies óf de daarmee genenereerde gegevens niet ook gebruikt kunnen worden voor andere – wel privacygevoelige – doeleinden, zoals het opstellen van profielen. Daarnaast is het van belang dat websitehouders die de verkregen gegevens deelt met derden een (bewerkers)overeenkomst moet sluiten met die derde om af te spreken dat de gegevens niet voor eigen doeleinden worden gebruikt. Sluit je niet zo’n overeenkomst, dan val je niet onder de uitzonderingen. Doe je dat niet, dan blijft voor het gebruik van deze cookies de informatieplicht en toestemmingsplicht gelden.

Gevolgen voor A/B testing cookies: onder omstandigheden uitgezonderd

A/B testing cookies, cookies die gebruikt worden om te beoordelen welke versie van een bepaalde reclame of website het beste worden gewaardeerd. Ook hier gaat het dus niet om het verzamelen van informatie over de gebruiker, maar over de kwaliteit en effectiviteit van de website. Als de A/B testing cookies dus alleen daarvoor worden gebruikt, en niet voor bijvoorbeeld het profileren van gebruikers, dan valt ook deze cookie in principe onder de nieuwe uitzondering.

Gevolgen voor affiliate cookies: onder omstandigheden uitgezonderd

Affiliate cookies worden gebruikt om bij te houden welke advertentie heeft geleid tot een aankoop, zodat de affiliate daarvoor een beloning kan ontvangen. Ook deze cookies zijn in principe niet bedoeld om informatie te verzamelen over de gebruiker zelf, maar in dit geval over de betreffende affiliate (“Doet hij goed werk?” “Levert hij veel bezoekers/verkopen op?”). Ook als hier dus alleen gegevens worden verkregen die alleen daarvoor wordt gebruikt, zal dit nauwelijks gevolgen hebben voor de privacy van de internetter, en zou deze cookie ook onder de nieuwe uitzondering vallen.

Vanzelfsprekend zal ook bij het gebruik van A/B testing cookies en affiliate cookies een (bewerkers)overeenkomst moeten worden gesloten, indien de gegevens met een derde worden gedeeld. En de Wet bescherming persoonsgegevens blijft uiteraard ook gelden, in het geval er persoonsgegevens zoals IP-adressen en cookie-ID’s worden verwerkt.

Geen gevolgen voor tracking cookies: cookiewet blijft gelden

En hoe verhoudt de nieuwe cookieuitzondering zich tot tracking cookies? Volgens Kamp worden bij deze cookies individueel surfgedrag gevolgd om profielen op te stellen. Niet zo privacyprettig, dus moet bij gebruik van deze cookies nog wel gewoon worden voldaan aan de vereisten van de cookiewet. Sterker nog: het rechtsvermoeden dat bij tracking cookies persoonsgegevens worden verwerkt, blijft bestaan: Tenzij je kan aantonen dat er géén persoonsgegevens worden verwerkt, valt het gebruik van tracking cookies ook onder de Wet bescherming persoonsgegevens.

Toelichting op toestemmingsplicht

Ten slotte informeert Minister Kamp nog eens over het toestemmingsvereiste: hoe kan je daar aan voldoen in de praktijk? Er moet sprake zijn van een handeling waaruit de toestemming kan worden afgeleid. Het uitblijven van een handeling kan dus niet worden gezien als een “handeling”, en dus ook niet als “toestemming”. Expliciete toestemming is dus niet per sé nodig (“Ja, hierbij ga ik akkoord met het plaatsen en uitlezen van cookies”), minder expliciete toestemmingen zijn ook mogelijk.

Als een gebruiker van een website dus bij aanvang van het bezoek van de website duidelijk is geïnformeerd dat het verder doorklikken op de website wordt beschouwd als toestemming voor het gebruik van cookies, dan wordt daarmee voldaan aan de “toestemmingsplicht”. Dat betekent dus wel, dat cookies dan nooit op de eerste pagina van de website kunnen worden geplaatst (althans, niet bij eerste bezoek).

Dit is niet nieuw en was al het geval onder de huidige cookiewet: Toestemming is en blijft: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat informatie op zijn computer wordt geplaatst of gelezen.

Kortom

Kortom: een hoop websitehouders zullen blij zijn. Veel cookies zullen onder de nieuwe uitzondering vallen. Wel dient er nog altijd goed gelet te worden op welke gegevens worden verkregen, en wat daarmee wordt gedaan. Als gegevens gedeeld worden met derde partijen, wat vaak het geval is, dan zal er een (bewerkers)overeenkomst gesloten moeten worden om het gebruik van die gegevens in overeenstemming met de cookiewet en Wet bescherming persoonsgegevens te houden. Doe je dat niet, dan valt het gebruik van de analytics, A/B testing en affiliate cookies gewoon onder de informatieplicht en toestemmingsplicht van de cookiewet.

Internetconsultatie en vervolgprocedure

De internetconsultatie van het wetsvoorstel is per vandaag dus online. Iedereen kan binnen nu en zes weken reageren op het concept wetsvoorstel. Na de internetconsultatie zullen de reacties daarop worden verwerkt, en zullen het ACM en het College bescherming persoonsgegevens worden gevraagd om advies uit te brengen. Daarna zal de Raad van Staat worden gevraagd om advies – met namen om te beoordelen of het wel mogelijk is om de cookiewet te wijzigen in het licht van de Europese richtlijn, lijkt me. Naar verwachting zal het wetsontwerp dan in het najaar bij de Kamer worden ingediend.

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Terug naar overzicht