Een belangrijke vraag die je jezelf moet stellen wanneer je cookies plaatst of uitleest, is of deze cookies persoonsgegevens bevatten. In dat geval is namelijk ook de Wet bescherming persoonsgegevens van toepassing. Persoonsgegevens zijn gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon. Dat betreft niet alleen iemands naam of e-mail adres, maar ook een IP-adres wordt in de meeste gevallen al als een persoonsgegeven aangemerkt.
Ten aanzien van cookies is bovendien van belang dat per 1 januari 2013 zal worden verondersteld dat cookies persoonsgegevens verwerken, wanneer ze gebruikers online volgen over tijd en verschillende sites. In dat geval is de Wet bescherming persoonsgegevens ook van toepassing. Pas als je het tegendeel bewijst is de Wet bescherming persoonsgegevens niet van toepassing.
De Wet bescherming persoonsgegevens vergt, onder meer, dat de persoonsgegevens op passende wijze worden beschermd. In dat licht is het verboden om persoonsgegevens door te geven (ter kennis te brengen) aan (personen of bedrijven in) landen buiten de Europese Unie of Europese Economische Ruimte. Dit verbod wordt enkel doorbroken indien dat land een passend beschermingsniveau waarborgt. Op de website van het College bescherming persoonsgegevens wordt informatie gegeven over de oordelen van de Europese Commissie over het beschermingsniveau van een aantal landen. Zo zijn bijvoorbeeld Zwitserland, Isle of Man, Argentinië, Guernsey en Canada positief beoordeeld.
Veel cookies worden geplaatst door partijen die in de VS zijn gevestigd. Voor de VS heeft de Europese Commissie een speciale beslissing genomen: enkel voor organisaties die zichzelf verplicht hebben gesteld de Safe Harbor Principles na te leven geldt dat er sprake is van een passend beschermingsniveau. Op www.export.gov/safeharbor is te vinden welke Amerikaanse organisaties dat zijn.
Is er geen safe harbor en geen besluit over het beschermingsniveau van het betreffende land, dan zal je zelf moeten beoordelen of een passend beschermingsniveau wordt geboden. Je zal dan moeten letten op een flink aantal aspecten, waaronder de aard van de gegevens, het doeleinde voor de verwerking en de duur van de voorgenomen verwerking. Ook van belang zijn het land van herkomst en het land van eindbestemming, de algemene en ‘sectoriële’ rechtregels die in het betrokken derde land gelden, en de regels van het beroepsleven en de veiligheidsmaatregelen die in die landen worden nageleefd.
Is er geen passend beschermingsniveau, dan is het niet toegestaan de persoonsgegevens door te geven naar het betreffende land. Het plaatsen van cookies is in dat geval dus ook niet toegestaan.
In de praktijk zal het echter niet werkbaar zijn om voor iedere cookie te achterhalen of er een passend beschermingsniveau is. Gelukkig heeft de Wet bescherming persoonsgegevens daar ook aan gedacht, en biedt het nog een aantal escapes. De meest voor de hand liggende escape in dit geval is dat de ondubbelzinnige toestemming van de betrokkene moet zijn verkregen voor de betreffende doorgifte. Deze toestemming kan gecombineerd worden met de toestemming die je toch al moest vragen voor het plaatsen van het cookie. De betrokkene moet daarbij wel op de hoogte worden gebracht van het niveau van gegevensbescherming in het land van bestemming van de persoonsgegevens en dat de toestemming ziet op doorgifte van zijn gegevens.
