De cookiewet bepaalt dat het plaatsen van cookies alleen nog mag met toestemming (behalve bij enkele functionele cookies). Mocht daar discussie over komen, dan moet de site bewijzen dat die toestemming is gegeven. De OPTA -die de cookiewet gaat handhaven- hoeft alleen maar te bewijzen dat het cookie is gezet.
Het feit dat het cookie is gezet, bewijst natuurlijk niet dat het ook met toestemming is gebeurd. De site-eigenaar zal dus meer moeten doen. Op zijn minst zou ik loggen vanaf welk IP adres en op welk moment er toestemming is gegeven, inclusief de inhoud van het cookie dat wordt geplaatst. Ook zou ik als het even kan screenshots of een screencast (filmpje) maken van de procedure: welke tekst krijg je voor de toestemmingsvraag, en wat gebeurt er na een ja of nee.
In theorie kan al dat bewijs achteraf worden vervalst, maar met een duidelijk vastgelegde procedure én een database-entry mét de cookietekst zelf denk ik dat je in de praktijk een heel eind moet komen.
En dat bewijs van die toestemming moet u ook bewaren nadat het cookie is gewist! Men kan immers ook later nog bij u komen met een claim over een vermeend illegaal geplaatst cookie. Dit bewijs moet vijf jaar bewaard moet worden, omdat dat de termijn is waarna de OPTA geen boete meer mag opleggen. Voor de juristen: artikel 5:45 Awb.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.