Cookie-wet: wat zijn de ontwikkelingen en hoe kan je voldoen aan de wet?

Cookies en de ‘cookiebepaling’ zijn al jaren onderwerp van verhitte discussies. Dit vereiste uit de Telecomwet voor het plaatsen en uitlezen van cookies is de Nederlandse vertaling van de e-Privacy Richtlijn. Sinds 5 juni 2012 moeten websitebezoekers worden geïnformeerd over en toestemming geven voor cookies en vergelijkbare technologieën. Uitgezonderd hiervan zijn cookies met geen of geringe gevolgen voor de privacy. Die zorgen er bijvoorbeeld voor dat websites naar behoren werken. Die uitzondering geldt sinds 2015 ook –onder bepaalde voorwaarden- voor cookies die de effectiviteit van websites analyseren door te kijken hoe bezoekers er mee omgaan. In deze blogpost ga ik kijken waar we heen gaan met de cookie-wetgeving en hoe je daar als organisatie aan kunt voldoen.

Het vereiste van ‘geïnformeerde toestemming’ geldt met name voor die technologieën die je kan scharen onder de noemer tracking cookies. Deze slaan het IP-adres op, maar bijvoorbeeld ook informatie over het apparaat en de browser, zoektermen, eerder bezochte websites e.d. Deze cookies worden tijdens een bezoek aan website A geplaatst, maar kunnen ook op websites B, C en D uitgelezen worden. Het registeren van surfgedrag over verschillende websites heen, geeft inzicht in voorkeuren van websitebezoekers en maakt het dus mogelijk hen passende, gepersonaliseerde advertenties te tonen. De wet meldt dan ook dat met tracking cookies doorgaans persoonsgegevens worden verwerkt. Vanwege dit rechtsvermoeden, geldt naast de Telecomwet ook de Wet bescherming persoonsgegevens.

De grootste uitdagingen

Het is lastige regelgeving om aan te voldoen. De belangrijkste reden hiervoor is enerzijds de complexiteit van de advertentiemarkt en anderzijds de trend van het geautomatiseerd en realtime verhandelen van advertentieruimte via veilingen. De website-eigenaar plaatst de cookiemelding. In vele gevallen worden er echter door andere partijen advertentie- of social media cookies geplaatst. Voor de juiste informatievoorziening is de website eigenaar dus afhankelijk van anderen. Dat wordt bemoeilijkt doordat een aanzienlijk –en groeiend deel- van de advertenties via veilingen wordt verkocht. Er wordt daarbij geboden op cookie-ID’s. Het profiel dat gekoppeld is aan het cookie-ID bepaalt de waarde van de zogenaamde impressie. De hoogste bieder mag zijn advertentie tonen. Deze open veiling speelt zich af in het korte tijdsbestek dat de websitebezoeker een pagina aanklikt. Dit maakt het lastig om de websitebezoeker van te voren te informeren over alle partijen, waarvan het rechtsvermoeden bestaat dat zij toegang krijgen tot persoonsgegevens.

In de toekomst: een Europese oplossing?

Gezien het internationale karakter van de advertentiemarkt is het niet realistisch te denken dat er een werkbare oplossing voor Nederland bedacht kan worden. Daarom wordt met veel interesse gekeken naar Europa: naar de Algemene Verordening Persoonsgegevens, maar met name naar de herziening van de e-Privacy Richtlijn. De Europese Commissie heeft dit jaar een conceptversie gepresenteerd en stelt voor om deze de status van een verordening te geven. Dit biedt mogelijkheden voor een Europese oplossing voor het cookie-probleem. Zo hebben de ontwikkelingen rondom de ‘Do Not Track’ standaard niet stil gestaan, ondanks het mislukken van eerdere pogingen om toestemming afdoende te regelen via de browserinstellingen. De conceptversie geeft dan ook aan dat de verordening deze mogelijkheid zou moeten ondersteunen. Het is dan wel noodzakelijk dat Google, Microsoft en de andere browserleveranciers hieraan meewerken.

Wat kan je in de tussentijd doen om in overeenstemming met de wet te handelen?

In afwachting van een meer uniforme uitleg van Europese regelgeving en/of slimmere technische oplossingen, moeten Nederlandse website-eigenaren nog steeds voldoen aan de huidige cookiebepaling. Dat wil zeggen dat websitebezoekers vóór dat cookies geplaatst worden in begrijpelijke taal geïnformeerd moeten worden:

  1. Wie de website-eigenaar is;
  2. Dat cookies en vergelijkbare technologieën gebruikt worden;
  3. Dat deze technologieën een meer dan geringe privacy-impact hebben, en dit invoelbaar te maken door bijvoorbeeld aan te geven dat er aan profielopbouw gedaan wordt, dat er social media cookies actief zijn of dat ook andere (onbekende) partijen cookies plaatsen en uitlezen;

Daarnaast moet de melding goed leesbaar en direct zichtbaar zijn bij het openen van de website. Vervolgens moet er een linkje opgenomen worden naar meer informatie over de cookies, type persoonsgegevens die verwerkt worden en de type partijen die cookies plaatsen (zoals advertentienetwerken). Tenslotte moet de bezoeker met een actieve handeling toestemming geven.

Een goede cookiemelding maken is zeker niet makkelijk en het vereist in ieder geval goede afstemming met de partijen in de advertentiemarkt om de juiste informatie aangeleverd te krijgen. Maar met deze handvatten kom je in ieder geval een eind in de richting van cookie-compliance.

Momenteel loopt er een publiek-privaat initiatief onder leiding van ECP, Platform voor de Informatiesamenleving, om te komen tot een cookieprotocol: een eenduidige uitleg van de wet met praktische handvatten. Zodra dat openbaar is zullen we ernaar verwijzen.

Author image
Maartje Breeman
Adviseur bij Privacy Company