Dossier: Cookies

Een cookie is niets meer dan een tekstbestandje dat op de computer van de internetter wordt geplaatst. Er zijn verschillende soorten cookies. Hoe zit het qua regelgeving omtrent cookies? U leest het op deze pagina!

Vraag informatie aan

Cookies uitgelegd door ICTRecht

‘De cookiewet’ bestaat eigenlijk niet. Juridisch gezien gaat het om een deel van de Telecommunicatiewet, artikel 11.7a om precies te zijn, dat bepaalt dat toestemming nodig is van de eindgebruiker voordat gegevens mogen worden uitgelezen of geplaatst bij diens randapparatuur (zoals computers, laptops, tablet of telefoons). Een cookie is een “gegeven”, maar de wet is veel breder dan dat – ook browser add-ons, browser fingerprinting, javascripts en spyware vallen er onder. Hoe zit het qua regelgeving omtrent cookies? Lees het hier.

Onderwerpen op deze pagina:

  1. Toestemming
  2. Soorten cookies
  3. Browser fingerprinting /canvastracking
  4. Cookie als persoonsgegeven
  5. Cookieverklaring
  6. Hoe zit het met internationale sites?

Lees ook meer in onze factsheet: 'Hoe om te gaan met nieuwe cookieregels?'

1. Toestemming

Toestemming krijgt u alleen als de gebruiker op akkoord klikt. Impliciete toestemming is niet geldig. Hoe de toestemmingsvraag voor het plaatsen van cookies er precies uit moet zien, volgt uit de AVG. Deze eist dat toestemming ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ gegeven wordt.

Pop-up met akkoord

De simpelste manier is een pop-up in beeld waar men om toestemming wordt gevraagd. Vergeet niet die toestemming te loggen. Zo’n pop-up is niet te missen, en drukken op de “Akkoord”-knop voldoet aan de vereisten voor geldige toestemming.

Vroeger kon u nog kiezen voor een mededeling dat de websitebezoeker door verder te surfen automatisch akkoord ging met de plaatsing van cookies. Dat mag niet meer, want hiermee geeft de bezoeker zijn toestemming niet op ‘ondubbelzinnige’ wijze.

Ook kunt u geen cookiewall meer gebruiken. Omdat deze pop-up het hele beeldscherm vult en de website alleen verder bezocht kan worden indien de bezoeker instemt met de plaatsing van cookies, geeft hij de toestemming niet ‘vrij’.

Niet akkoord

Om de toestemming ‘vrij’ te kunnen geven, moet er dus ook een mogelijkheid zijn voor de websitebezoeker om aan te geven dat hij niet akkoord is met de plaatsing van cookies. Dit kan door naast de “Akkoord”-knop een “Niet akkoord”-knop op te nemen, maar dat hoeft niet zo expliciet.

Je zou in plaats van een “Niet akkoord”-knop ook de knop “Instellingen”- kunnen opnemen, waar de websitebezoeker informatie over verschillende soorten cookies vindt die geplaatst (kunnen) worden op de website. Door alleen te kiezen voor de plaatsing van strikt noodzakelijke cookies laat hij weten niet akkoord te gaan met de plaatsing van overige soorten cookies.

De Autoriteit Persoonsgegevens heeft recent bepaald dat het gebruik van een voor-aangevinkt vakje bij het vragen van toestemming voor niet strikt noodzakelijke cookies niet is toegestaan, omdat ook dit niet zou gelden als ‘vrije’ toestemming onder de AVG.

Strikt noodzakelijke cookies

Voor het plaatsen van strikt noodzakelijke cookies is volgens de wet geen toestemming nodig. Onder noodzakelijke cookies vallen bijvoorbeeld het cookie om te onthouden dat een websitebezoeker al eerder toestemming heeft gegeven om cookies te plaatsen bij zijn bezoek, waardoor hij niet iedere keer opnieuw op de “Akkoord”-knop hoeft te drukken. Ook voor logincookies geldt dat zij noodzakelijk zijn, en is geen toestemming nodig.

Ook het analytische cookie “Google Analytics” kan zo worden ingesteld dat geen toestemming nodig is om deze te kunnen plaatsen. Door het stappenplan van de Autoriteit Persoonsgegevens te volgen kan het Google Analytics cookie zo worden ingesteld dat deze slechts een zeer geringe inbreuk vormt op de privacy van de bezoeker.

Categorieën van cookies

U kunt de toestemming voor álle cookies ineens vragen. Dit zal wel een complex overzicht worden, want u moet toch per categorie cookie toelichten wat u doet. Plus, mensen kunnen dan alleen ja of nee tegen álle cookies zeggen. Als men dan één cookie bezwaarlijk vindt, is er geen mogelijkheid om alleen daar bezwaar tegen maken. Men zal dan waarschijnlijk toch maar alles afkeuren, waardoor ook uw eigenlijk wel gewenste cookies geen kans meer krijgen.

Je kunt de categorieën bijvoorbeeld ook opdelen in “Basis ervaring”, “Beperkte ervaring” en “Complete ervaring”. Door het gebruik van dergelijke positieve taal kun je ervoor zorgen dat meer mensen alle cookies op je website accepteren. Let echter wel op, zoals boven al vermeld, dat niet de categorieën waarvoor toestemming vereist is al van tevoren zijn aangevinkt.

Toestemming via plugins

Het designbureau CIVIC heeft een gratis plugin ontwikkeld voor WordPress, Drupal 7 en Magento waarmee toestemming kan worden gevraagd. Deze laat dan links- of rechtsonder een uitklapvenster zien, met mooi positief taalgebruik. En je kunt zelfs je Analytics-account koppelen aan de plugin, zodat pas ná toestemming de Analytics-cookies worden gezet.

Bewijzen van toestemming

De cookiewet bepaalt dat het plaatsen van cookies alleen nog mag met toestemming (behalve bij enkele functionele cookies). Mocht daar discussie over komen, dan moet de site bewijzen dat die toestemming is gegeven. De ACM (voorheen OPTA) - die de cookiewet handhaaft - hoeft alleen maar te bewijzen dat het cookie is gezet.

De website moet bewijzen dat de websitebezoeker toestemming heeft gegeven voordat het cookie op zijn browser werd geplaatst. Om dit bewijs te kunnen leveren, kan de website loggen vanaf welk IP-adres en op welk moment er toestemming is gegeven, inclusief de inhoud van het cookie dat wordt geplaatst. Ook raden we aan screenshots of een screencast (filmpje) te maken van de procedure: welke tekst heeft de toestemmingsvraag, en wat gebeurt er na een ja of nee.

In theorie kan al dat bewijs achteraf worden vervalst, maar met een duidelijk vastgelegde procedure én een database-entry mét de cookietekst zou men in de praktijk een heel eind moeten komen.

Het bewijs van die toestemming moet u ook bewaren nadat het cookie is gewist. Men kan immers ook later nog bij u komen met een claim over een vermeend illegaal geplaatst cookie. Dit bewijs moet vijf jaar bewaard moet worden, omdat dat de termijn is waarna de ACM geen boete meer mag opleggen. Voor de juristen: artikel 5:45 Awb.

Toestemming via browser?

Toestemming vragen in een internetomgeving is buitengewoon moeilijk. Popups, overlays, subtiele teksten bij registratieformulieren: echt gelukkig word je er niet van.

Veel handiger zou zijn dat je in je browser een instelling kon maken over cookie-acceptatie, waar de site automatisch naar zou moeten luisteren. Helaas is deze technisch haalbare optie juridisch niet genoeg, omdat de browserinstellingen op dit moment niet fijnmazig genoeg zijn.

De cookiewet eist dat mensen een specifieke en geïnformeerde keuze maken. En “specifiek” moet verder gaan dan “ik wil geen cookies”: je moet zo ongeveer per site kunnen instellen welke cookies wel en niet. Het is dus afwachten tot de browsermakers dit hebben doorgevoerd, bijvoorbeeld in het “Do not track” systeem dat nu in ontwikkeling is. En dan nog zal men altijd rekening moeten houden met oude browsers.

Wie moet toestemming vragen?

De wet legt nergens vast wie verantwoordelijk is voor het verkrijgen van de toestemming. Voor de hand ligt om deze verantwoordelijkheid te leggen bij de partij die het cookie feitelijk opstuurt, de third party dus. Dat sluit aan bij de wetstekst dat “een ieder die gegevens wil opslaan” hiervoor toestemming moet hebben. De adverteerder wil opslaan, dus hij mag de toestemming gaan regelen.

Maar even goed verdedigbaar is dat de first party (de webmaster) de plicht heeft om voor de toestemming te zorgen. Hij is immers uiteindelijk verantwoordelijk voor het cookie: hij neemt code van de third party op die leidt tot de plaatsing. Zonder die opname was het cookie nooit gezet; het is dus de keuze van de first party geweest dat de third party het cookie mocht gaan zetten. En daarmee is hij eindverantwoordelijk.

Daar komt bij dat áls je als webmaster de cookiewet mag negeren door het via een Amerikaanse derde te laten lopen, het wel erg makkelijk wordt om de cookiewet te omzeilen. Het is immers expliciet de bedoeling om tracking cookies te reguleren, en vrijwel alle tracking cookies zijn third party. Beetje gekke wet dus als third party tracking cookies in de praktijk in 90% van de gevallen erbuiten vallen. Terwijl het doel was om met náme die enge third party tracking cookies aan te pakken.

Wij denken dan ook dat de meeste logische interpretatie is dat in eerste instantie de third party voor de toestemming moet zorgen. Maar als een webmaster willens en wetens cookies laat plaatsen door derden waarvan hij wéét dat die niet vragen om toestemming, dan zien wij hem zomaar zélf verantwoordelijk daarvoor worden.

Lees meerLees minder

2. Soorten cookies

De cookiewet is er met name gekomen vanwege de gedachte dat het tracken van gebruikers eng is, omdat een interesseprofiel hun privacy kan schenden. Dergelijk tracken gebeurt meestal met third-party cookies (bijvoorbeeld via een advertentiebanner van een netwerk). Hierdoor is het misverstand ontstaan dat de cookiewet specifiek gericht is op dergelijke cookies, en dat ‘eigen’ cookies nog wel zouden mogen. Dat is fout.

Noodzakelijk of niet?

De cookiewet maakt nergens onderscheid tussen first-party en third-party cookies. Het enige onderscheid dat er is, is tussen noodzakelijke (functionele) en niet-noodzakelijke cookies. Een cookie dat technisch noodzakelijk is vereist geen toestemming, alle andere wel.

First party, third party, privacyschendend, puur registrerend: het maakt allemaal niet uit. Is het een cookie? Dan is toestemming nodig, tenzij u kunt motiveren waarom het cookie technisch noodzakelijk is.

Functionele cookies

Zogeheten functionele cookies vallen buiten de cookiewet. Hiervoor hoeft geen toestemming te worden gevraagd, en eigenlijk hoeven deze ook niet te worden beschreven in de cookieverklaring (hoewel wij dat toch wel een goed idee vinden).

Het idee achter de uitzondering is om een beperkte escape te genereren voor het geval dat er eigenlijk gewoon geen reden zou kunnen zijn om het cookie te weigeren. Dit is geformuleerd met de woorden “strikt noodzakelijk voor de dienst”, en die bewoordingen moet je beperkt interpreteren maar ook weer niet zó beperkt dat alleen technisch volstrekt onvermijdelijke cookies er onder vallen. En tevens moeten de cookies niet privacyschendend zijn, want een privacyschending is per definitie niet noodzakelijk voor de dienst. Wij spreken dan ook van “functionele cookies” om aan te geven dat het cookie een functionele rol binnen een site of dienst moet spelen. Een winkelwagentje, een login onthouden of vastleggen dat een ander cookie wel of niet mag worden gezet.

Analytische cookies

Hierbij kan het gaan om cookies die geplaatst worden voor analyse van het gebruik van de website. In principe is hiervoor toestemming nodig. Slechts wanneer de plaatsing en het uitlezen van deze cookies geringe gevolgen voor de privacy heeft, hoeft de bezoeker hierover niet geïnformeerd te worden en geen toestemming voor te geven. Let op: voor het gebruik van Google Analytics is slechts in uitzonderlijke gevallen geen toestemming vereist. Om geen toestemming te hoeven vragen dient het Google Analytics stappenplan van de Autoriteit Persoonsgegevens precies te worden opgevolgd.

Tracking cookies

Tracking cookies worden soms door website-eigenaren zelf maar vaker door adverteerders (third parties) via hun advertentie op de computer van de internetter geplaatst. Wanneer de internetter verder surft, kunnen sommige websites (indien ze een bepaalde code hebben ingebouwd) het cookie herkennen en dan gepersonaliseerde advertenties tonen. Daarnaast kunnen deze cookies het surfgedrag van de internetter bijhouden waardoor een zeer specifiek profiel van de internetter wordt opgebouwd. Dit is erg handig voor marketeers: zij weten precies welke aanbiedingen ze het beste aan iemand kunnen doen. Dit profiel is meestal echter zo gedetailleerd dat er sprake is van ‘gegevens die herleidbaar zijn tot een identificeerbare natuurlijke persoon’, met andere woorden persoonsgegevens. 

Lees meerLees minder

3. Browser fingerprinting / canvastracking

Wie een cookie zet, moet daar toestemming voor hebben van de eindgebruiker. Die toestemming verkrijgen is nogal gedoe, dus niet iedereen heeft daar zin in. Een gedachte is dan om met nieuwe technieken te gaan werken, zoals browser fingerprinting of canvastracking, om de gebruiker te herkennen zónder cookie. Of te werken met sessie-codes in de URL, zodat je ook op die manier kunt bijhouden welke bezoeken bij elkaar horen. Maar ook dat gaat niet zomaar onder de cookiewet.

De naam ‘cookiewet is eigenlijk lichtelijk misleidend. Hoewel alle heisa over cookies gaat, is de wet formeel niet beperkt tot cookies. De wet spreekt van “eenieder die gegevens wenst uit te lezen uit of op te slaan in randapparatuur”. Onder gegevens vallen cookies, maar ook Flash cookies, plugins, toolbars, offline content en zelfs gewoon de HTML, CSS en Javascript waar iedere website uit bestaat. Voor al die gegevens is dus toestemming nodig.

De uitzondering voor strikt noodzakelijk zijn, geldt bij HTML, CSS en dergelijke al snel. Zonder stylesheet ziet de website er niet uit, dus die is noodzakelijk. Maar wie de wet héél formeel leest, zal vast elementen van een website kunnen aanwijzen die eigenlijk niet noodzakelijk zijn en dus eigenlijk toestemming vereisen.

Browser fingerprinting valt óók onder de cookiewet. Daarbij wordt weliswaar niets opgeslagen op de computer van de eindgebruiker maar wel uitgelezen en ook dat triggert al de toestemmingseis (tenzij noodzakelijk). Uitlezen van informatie over de browser (welke fonts, welk besturingssysteem, welke schermresolutie enzovoorts) is óók uitlezen van gegevens immers. En de minister heeft expliciet gezegd:

Het lezen van de combinatie van instellingen en kenmerken van het apparaat met als uitsluitend doel de met dat apparaat opgevraagde dienst te leveren (bijvoorbeeld om de bezochte website goed te kunnen weergeven) valt onder de uitzondering in het derde lid. Het lezen van deze informatie om het surfgedrag van de gebruiker van het apparaat te volgen valt niet onder de uitzondering. Hiervoor is dan ook geïnformeerde toestemming van de gebruiker vereist.

Het maakt dus wél uit met welk doel de gegevens worden uitgelezen. Wie de browserversie uitleest om een Chrome-specifieke site (of een voor tablets geschikte versie) terug te kunnen sturen, hoeft daar geen toestemming voor te vragen. En wie het besturingssysteem en taalinstellingen achterhaalt om zo de meest passende downloadlink te kunnen tonen (de Nederlandstalige 64-bits Windowsversie of de Linux ARM versie) hoeft ook geen toestemming te vragen. Maar browser fingerprinting voor herkenning, al is het maar in geaggregeerde vorm, vereist dus net zo goed toestemming.

Lees meerLees minder

4. Cookie als persoonsgegeven

Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Het bekendste voorbeeld is iemands naam of adres. Maar aan een foto is iemand ook te herkennen. Een foto is dus net zo goed een persoonsgegeven. En het houdt niet op bij zulke feitelijke gegevens: gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld een beoordeling van diens manager, kan ook een persoonsgegeven zijn.

Een IP-adres wordt over het algemeen als persoonsgegeven gezien, omdat het meestal in gebruik is bij één persoon (op een gegeven tijdstip). Deze is te identificeren via zijn internetprovider. Hoewel dat in de praktijk een heel gedoe is, is deze mogelijkheid voor de AVG genoeg. Natuurlijk zijn er ook IP-adressen die niet aan één persoon te koppelen zijn (bijvoorbeeld het IP-adres van een thuisnetwerk, bedrijfsproxy of webserver), maar als vuistregel is het aan te bevelen alle IP-adressen te behandelen alsof het persoonsgegevens zijn.

Een cookie is meestal niet meer dan een getal (naam en waarde). Dat is op zichzelf zelden tot nooit een persoonsgegeven, tenzij die naam en waarde zelf dat zijn natuurlijk. Denk aan het onthouden van een IP-adres of iemands naam of e-mailadres of iets dergelijks.

Wanneer een cookie een identificatienummer oplevert voor een profiel in een databank, is dat cookie een persoonsgegeven. Daarmee geldt de AVG  op dit cookie (en op het profiel zelf natuurlijk).

Grijze gebieden te over: een cookie dat een gebruiker uniek identificeert maar weinig meer doet dan dat, is waarschijnlijk wel een persoonsgegeven (want het identificeert een gebruiker) maar welke verwerking vindt er plaats?

Lees meerLees minder

5. Cookieverklaring

Een cookieverklaring is verplicht als u met cookies werkt, net als uw privacyverklaring verplicht is.

Klik hier voor meer informatie.

Lees meerLees minder

6. Hoe zit het met internationale sites?

De cookiewet is een Nederlandse wet. Toch kan deze ook gelden voor buitenlandse partijen, hoewel het nog maar de vraag is of dit ook daadwerkelijk gehandhaafd zal worden.

Allereerst geldt de Nederlandse wet voor alle bedrijven en diensten die zich “op Nederland” richten, zoals blijkt uit de algemene rechtspraak over bevoegdheid van de Nederlandse rechter. Het gaat dus niet om bijvoorbeeld welke extensie de domeinnaam van de site heeft, of waar het bedrijf formeel gevestigd is. Je moet alle omstandigheden bij elkaar optellen en dan de conclusie trekken “ja, dit is gewoon een Nederlandse site”.

Zo komt Bol.com écht niet weg met “we hebben een .com domeinnaam en onze servers staan in Duitsland”. Ze zijn een Nederlandse boekhandel. Amazon.com daarentegen is niet op Nederland gericht, want dat blijkt uit niets. Nou ja, ze sturen je boeken desgevraagd naar Nederland, maar dat is het wel zo’n beetje. En die ene factor is niet genoeg.

De cookiewet kan ook om een andere reden voor buitenlandse bedrijven gelden. Wanneer een Amerikaans bedrijf op een Nederlandse computer een cookie plaatst, is volgens de privacytoezichthouder de Nederlandse privacywet van toepassing. Dat Amerikaans bedrijf gebruikt namelijk een Nederlands systeem voor privacygevoelige handelingen. Wel moet het dan gaan om een cookie dat persoonsgegevens verwerkt.

Natuurlijk is het wel lastig om een Amerikaans bedrijf daadwerkelijk te dwingen deze wet na te leven, maar als zo’n bedrijf een vestiging in Europa heeft dan wordt dat een stuk eenvoudiger. Google is bijvoorbeeld al diverse malen in Europa aangesproken door privacytoezichthouders wegens schendingen van de privacy van Europese burgers.

Formeel kan dus een partij als Google of Facebook aan de Nederlandse wet gehouden worden. Maar of het ACM ook zal handhaven naar deze partijen toe is zeer de vraag.

Lees meerLees minder

Meer informatie ontvangen?

Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan contact met u op.

Wanneer u een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij u op locatie.

Laat uw gegevens achter