De cookiewet is er gekomen vanwege zorgen over de privacy van gebruikers. Met cookies is het mogelijk mensen te volgen (zeker bij third-party cookies) en zo uitgebreide informatie over hun interessen op te bouwen. Dergelijke profielen kunnen persoonlijke zaken onthullen, en dat botst tegen de privacywet aan. De cookiewet is echter strenger: élk cookie vereist toestemming, ongeacht of het cookie leidt tot een privacygevoelig profiel.
De cookiewet is in feite een tweetrapsraket. Elk cookie vereist toestemming (nou ja, bijna elk), en daarna moet je apart nog eens kijken of het cookie leidt tot een “verwerking van persoonsgegevens”, zeg maar even een privacyschending.
Een cookie dat onthoudt of iemand mee wil doen aan een enquête vereist dus toestemming, want het is een cookie. Gelukkig kun je die toestemming eenvoudig krijgen: zet bij de ja/nee keuze de tekst “en onthoud dit met een cookie” en dan is het drukken op ja of nee tevens toestemming voor het cookie.
Als het cookie ook maar iets doet op het gebied van gegevensvastlegging over het gebruik van verschillende diensten (bv. analyse van bezoek van diverse websites) door de gebruiker, dan bepaalt de Nederlandse wet dat dit “vermoed wordt” onder de privacywet te vallen. Vermoed, dus de bewijslast ligt bij de webmaster dat hier géén sprake van is.
Zou dat enquêtecookie bijvoorbeeld cross-site worden ingezet (zodat je bij site B niet nog een keer de vraag krijgt nadat je bij site A “nee” hebt gezegd), dan is sprake van gegevensvastlegging over verschillende diensten heen en dus treedt het vermoeden in werking. De webmaster van A en B moet nu bewijzen dat hij niets vastlegt over de gebruiker in combinatie met het cookie. Dat moet lukken hier, want het cookie bevat niet meer dan “enquete=nee” of iets dergelijks.
Bevat het cookie een uniek nummer dat aan een of andere database wordt gekoppeld, dan wordt het moeilijker want dat riekt toch wel naar tracking of vastlegging van profielinformatie. De webmaster moet dan bewijzen dat dat nummer en de daaraan gekoppelde gegevens níet tot een individu herleidbaar zijn, maar bv. alleen geaggregeerde informatie betreffen.
Dit rechtsvermoeden is overigens niet in de Europese wet opgenomen maar een toevoeging van Nederland zelf. Of dit zo mag, is een open vraag waar ongetwijfeld over geprocedeerd gaat worden.
