Sinds juni 2012 is de controversiële cookiewet van kracht. Deze bepaalt dat je alleen cookies mag plaatsen met expliciete toestemming, nadat je mensen hebt uitgelegd wat voor cookies ze gaan krijgen en wat je daarmee gaat doen. Lang is gedacht dat deze wet een dode letter was, maar recentelijk zijn zowel de privacytoezichthouder als de ACM (voorheen opta) daadwerkelijk in actie gekomen. Dus ja, je moet iets met de cookiewet.
Het geven van uitleg is voor veel sites nog wel te doen. Je hebt al een privacyverklaring, dus een cookieverklaring kan er ook nog wel bij. Toestemming vragen is lastiger, zeker omdat je geen cookies mag plaatsen totdat de toestemming is gegeven. Je kunt werken met een cookiepopup of cookiemuur, maar gebruiksvriendelijk is anders.
Die bekende grijze of zwarte balk met “Wij gebruiken cookies, lees hier meer en je gaat akkoord door verder te gaan” is waarschijnlijk wel rechtsgeldig. Maar let op: alléén als je pas cookies plaatst na de eerstvolgende klik of andere expliciete actie van de gebruiker. Zo’n balk tonen en meteen cookies plaatsen kan juridisch eigenlijk niet. Heel misschien als je er een knop “klik hier om de cookies weg te halen” bij zet. Oh, en de balk moet bovenaan staan.
Eigenlijk gaat de cookiewet verder dan alleen cookies. Ieder plaatsen of lezen van informatie op randapparatuur van eindgebruikers vereist toestemming. Naast cookies geldt dit dus ook voor bijvoorbeeld HTML5 offline content, in-app downloads, Javascripts, toolbars en ander spul dat gezellig geïnstalleerd wordt wanneer je iets heel anders aan het downloaden bent.
De enige uitzondering is die van functionele cookies: als dat plaatsen of lezen nodig is om een gevraagde of bestelde dienst te leveren, dan mag het zonder toestemming. Een winkelwagentje- of logincookie is dus toegestaan, en als mensen expliciet content aankopen dan mag je die download starten zonder aparte toestemming. Maar een tracking cookie dat meekomt bij een bestelproces is niet nodig voor dat proces, en valt dus niet onder de uitzondering. Een toolbar die meekomt bij de installatie van een stuk software mag ook niet zomaar. Ook niet als in de EULA staat van wel: cookietoestemming moet immers expliciet zijn.
Er wordt gewerkt aan een uitzondering voor websitestatistieken oftewel analytics maar deze zal nog wel even op zich laten wachten. Het is de vraag of er ook werkelijk gehandhaafd zal worden tegen simpele zelf gemaakte webstatistieken of zelfs maar Google Analytics – mits je deze maar goed instelt. Maar met invasieve tracking, zeker over meerdere sites heen, werk je jezelf in het voetlicht bij de toezichthouders.
Wat zijn belangrijke juridische aandachtspunten voor starters?
Je leest het in onze factsheet – Het recht voor startups!
Juridisch warenhuis JuriDox
