Het is eventjes stil geweest rondom de cookiewet na het VAO maar er is nu eindelijk een wetsvoorstel ingediend ter aanpassing van de cookiewet waarmee het leven van webmaster een stukje aangenamer zou moeten worden. Deze aanpassing is het gevolg van eerdere constateringen, in onder meer brieven aan de Tweede Kamer van 20 december 2012 en
5 februari 2013, dat de cookiewet zijn doel een voorbij geschoten is.

Het probleem:
In de visie van de regering is het probleem dat de cookiewetgeving (vrijwel) onverkort van toepassing is op alle cookies. Daaronder moeten worden begrepen de analytische cookies welke worden gebruikt om gegevens over bezoek aan de site te analyseren. Dat betekent dat voor vrijwel alle cookies nu expliciet toestemming moet worden gevraagd.
‘functionele cookies’. Dit zijn cookies die (a) tot uitsluitend doel hebben de communicatie over het internet uit te voeren of (b) strikt noodzakelijk zijn om een door de internetgebruiker gevraagde (online)dienst te leveren.

Dit leidt tot gebruik van lay-overs en pop-ups welke vaak simpelweg vragen om toestemming voor het gebruik van alle cookies. Indien er geen toestemming wordt gegeven is de site vaak niet te bezoeken. Dit verschijnsel staat bekend als de zogenaamde cookie-wall.

Er worden in het nieuwe wetsvoorstel een aantal uitzonderingen gemaakt voor cookies welke het recht op privacy van de internetgebruiker niet in het geding brengen. Er is dus een nieuwe afweging gemaakt van het gerechtvaardigde belang bij het gebruik van bepaalde cookies (om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij) versus het belang van de internetgebruiker bij bescherming van diens privacy (het gebruik van deze cookies mag geen of slechts geringe gevolgen hebben voor de privacy van de internetgebruiker).

Het privacybelang van de internetter blijft echter wel voorop staan. Zo blijft naast de cookiebepaling in de Telecommunicatiewet de Wet bescherming persoonsgegevens onverminderd gelden in gevallen dat met cookies persoonsgegevens worden verwerkt.

Nieuwe cookiebepaling:
Na inwerkingtreding van het nieuwe wetsvoorstel wordt er een nieuwe uitzondering toegevoegd. Het gaat dan om de cookie: “die strikt noodzakelijk is […] – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit en effectiviteit van een geleverde dienst van de informatiemaatschappij.”

Dit is een nog vrij brede omschrijving maar in de meest recente brief aan de Tweede Kamer geeft de Minister een uiteenzetting over wat voor cookies wij hier precies onder kunnen scharen. Er kunnen drie categorieën worden onderscheiden:

  1. First en third party analytic cookies
  2. A/B testing cookies
  3. Affiliate cookies

Analytic cookies:
Analytic cookies vallen onder deze bepaling indien zij alleen worden gebruikt om het gebruik van de website in kaart te brengen en te analyseren, dan zijn de privacygevolgen gering. De minister maakt nog wel de nuancering dat de cookies en de daarmee gegenereerde gegevens niet mogen worden gebruikt om bijvoorbeeld een profiel van de internetgebruiker op te stellen. Dit geldt ongeacht of het verwerken van gegevens geschiedt door een first of third party.

Daarnaast moet de websitehouder die gebruikersgegevens uit de analytische cookie deelt met een derde een bewerkersovereenkomst sluiten met de derde om de privacy voldoende te waarborgen. In deze overeenkomst moet worden afgesproken dat de derde de (gebruikers)gegevens niet voor eigen doeleinden gebruikt, of alleen voor afgebakende doeleinden die geen of geringe gevolgen hebben voor de levenssfeer van de internetgebruiker. Doet de websitebeheerder dit niet, dan blijft voor het gebruik van deze cookies de informatieplicht en het toestemmingsvereiste gelden.

A/B testing cookies en affiliate cookies:
A/B testing cookies is een set cookies welke worden geplaatst en uitgelezen om te kijken welke versie van een bepaalde reclame of website (versie A of B) het effectiefst is. Dit gebeurt meestal aan de hand van het aantal keer dat er op variant A of B wordt geklikt. Cookies als deze zijn het algemeen onschuldig omdat zij geen informatie verzamelen over de gebruiker maar uitsluitend naar de effectiviteit van advertenties kijken.

Affiliate cookies houden bij welke advertentie leidt tot een aankoop, zodat degene die deze advertentie heeft
getoond (de affiliate), hiervoor een beloning kan ontvangen. Het is dus eigenlijk een vorm van commissie maar dan op het internet. Dit type cookies kan worden geplaatst bij vertoning een advertentie. Gaat vervolgens een bezoeker van een site over tot aanschaf van het product via een webwinkel dan is de advertentie dus effectief is geweest en ontvangt de partij die de advertentie heeft vertoond een commissie van de verkoper van het product. Dergelijke cookies zijn in het algemeen voor de eindgebruiker (de klant) onschuldig. Het cookie verwijst meestal alleen naar de affiliate zelf, omdat men moet weten wie de beloning krijgt.

Toestemming, expliciet naar impliciet:
Waar een cookie gevolgen kan hebben voor de privacy van de gebruiker blijft altijd expliciete toestemming. Voor het overige lijkt de minister om te gaan naar impliciete toestemming. Met een verwijzing naar een voorbeeld van de Artikel-29 werkgroep kan volgens de minister toestemming voor het plaatsen en lezen van cookies worden afgeleid uit het aanklikken van overige onderdelen van de website, als bij aanvang van het bezoek aan de website duidelijk is aangegeven dat bijvoorbeeld het aanklikken van een link om gebruik te maken van overige delen van de website, wordt beschouwd als toestemming voor het gebruik van cookies. Van belang daarbij is wel dat gebruiker volledig en duidelijk geïnformeerd is.

Dit is een vrij duidelijke en forse afwijking van eerdere interpretatie van de ACM (voorheen OPTA) dat altijd expliciet toestemming gegeven moet zijn.

Conclusie:
Dit wetsvoorstel is zonder meer een stap in de goede richting maar het zal voor lang niet iedere webmaster veel veranderingen te weeg gaan brengen. Het meest interessant gaat wellicht zijn of de gebruiksovereenkomst voor Google Analytics volstaat als bewerkingsovereenkomst zoals door de minister bedoeld. Daarnaast zullen er cookies zijn welke bijvoorbeeld zowel een analytische als een tracking-functie hebben; deze blijven onverkort onder de hoofdregel vallen en daar zal altijd toestemming voor moeten worden gegeven.

Gelukkig lijkt het toestemmingsvereiste wel versoepeld, er is een verschuiving waarneembaar van expliciete toestemming naar impliciete toestemming. Hiervoor is echter nog wel vereist dat de gebruiker geïnformeerd is vóórdat de cookies geplaatst worden. Daar moet een website dan wel technisch voor ingericht zijn.

Dit betekent ook dat wie het helemaal op safe wil spelen nog steeds gewoon het beste een cookiemuur kan gebruiken. Dan heb je namelijk altijd expliciet toestemming voor het gebruik van cookies. Van cookies met een hybride functionaliteit kan het anders achteraf tot een discussie leiden over de vraag of ze al dan niet onder de uitzondering vallen.

De wijzigingen in het wetsvoorstel zijn een goede stap in de richting van een gebruiksvriendelijker cookiewet zowel voor de beheerder van een site als voor de gebruiker. Het wetsvoorstel staat momenteel op internetconsultatie zodat iedereen zijn zienswijze kan leveren. Daarna zal het nog eventueel aangepast worden waarna het naar de Tweede Kamer zal gaan voor behandeling. Een eventuele ingangsdatum voor de wet is derhalve nog niet bekend.

Bron:
Aanpassing artikel 11.7a Telecommunicatiewet (Cookiebepaling) via internetconsultatie.nl
Brief aan de Tweede Kamer – consultatie cookiebepaling en de beantwoording van een tweetal vragen via rijksoverheid.nl

Comments closed.