De cookiewet geldt voor alle cookies. Het maakt niet uit of ze door de webmaster zelf (first party) of door een derde zoals een advertentienetwerk (third party) gezet worden. Is het een cookie? Dan toestemming. Maar bij een third party cookie krijg je natuurlijk de vraag: wie moet die toestemming verkrijgen, de webmaster (de first party) of het netwerk (de third party) die het cookie stuurt?
De wet legt nergens vast wie verantwoordelijk is voor het verkrijgen van de toestemming. Voor de hand ligt om deze verantwoordelijkheid te leggen bij de partij die het cookie feitelijk opstuurt, de third party dus. Dat sluit aan bij de wetstekst dat “een ieder die gegevens wil opslaan” hiervoor toestemming moet hebben. De adverteerder wil opslaan, dus hij mag de toestemming gaan regelen.
Maar even goed verdedigbaar is dat de first party (de webmaster) de plicht heeft om voor de toestemming te zorgen. Hij is immers uiteindelijk verantwoordelijk voor het cookie: hij neemt code van de third party op die leidt tot de plaatsing. Zonder die opname was het cookie nooit gezet; het is dus de keuze van de first party geweest dat de third party het cookie mocht gaan zetten. En daarmee is hij eindverantwoordelijk.
Daar komt bij dat áls je als webmaster de cookiewet mag negeren door het via een Amerikaanse derde te laten lopen, het wel erg makkelijk wordt om de cookiewet te omzeilen. Het is immers expliciet de bedoeling om tracking cookies te reguleren, en vrijwel alle tracking cookies zijn third party. Beetje gekke wet dus als third party tracking cookies in de praktijk in 90% van de gevallen er buiten vallen.
Ik denk dat de meeste logische interpretatie is dat in eerste instantie de third party voor de toestemming moet zorgen. Maar als een webmaster willens en wetens cookies laat plaatsen door derden waarvan hij wéét dat die niet vragen om toestemming, dan zie ik hem zomaar zélf verantwoordelijk daarvoor worden.
En ja, dat betekent concreet dat als je met Google-diensten gaat werken die cookies zetten (allemaal dus) jij de toestemming moet vragen want Google doet dat uit principe niet.
Frustrerend is wel dat hier niet echt op voorhand duidelijkheid over te krijgen is. De OPTA houdt het in haar FAQ lekker kort en krachtig: men ziet het gebruik van widgets die cookies zetten als “uitbesteden van het plaatsen van cookies”. Je kiest er immers voor om die widgets of embedded content op te nemen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.