Cookies
Artikel 11.7a van de Telecommunicatiewet vormt de implementatie van artikel 5 lid 3 van de e-Privacy richtlijn. Bedrijven slaan gegevens op randapparatuur op en halen (andere) gegevens ervan af. Dit betreft het gebruik van ‘cookies’.
Maar ja, cookies zijn natuurlijk vooral onder de aandacht gekomen vanwege andere doeleinden waarvoor ze worden gebruikt, denk aan ‘tracking cookies’ of ‘analytic cookies’ (beiden om surfgedrag te monitoren). Daarbij wordt ook nog onderscheiden tussen cookies die door de exploitant van een website zelf worden geplaatst (‘first party cookies’) en cookies die door adverteerders op die website worden geplaatst (‘third party cookies’).
Artikel 11.7a Telecommunicatiewet verbiedt het plaatsen van cookies (het gaat echter ook om java-scripts, dialersoftware, device fingerprinting, etc.) op randapparatuur zonder toestemming van de gebruiker. Naast toestemming is duidelijke en volledige vermelding van de doelstellingen waarvoor de informatie wordt gebruikt noodzakelijk. Dit laatste levert bij de toepassing van zogenaamde ‘banners’ direct al een probleem op omdat de ruimte op de website die aan een banner wordt geboden veel te beperkt is. Omdat hier tevens de AVG van toepassing is (bij het gebruik van tracking cookies wordt namelijk vermoed dat dit verwerking van persoonsgegevens betreft) gelden de uitgebreide verplichtingen van de artikelen 12, 13 en 14 AVG (informatieplicht).
Vanwege bovenstaand geduid probleem is het daarom verstandig dat de exploitant van een website die banners of andere advertenties van derden op zijn website toestaat in zijn privacyverklaring helder aangeeft wie de adverteerders zijn en met welk doel zij verwerkingen laten plaatsvinden.
Het geven van toestemming dient in de vorm van een ‘vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens aanvaardt’. (zie artikel 4, onder 11 AVG). Stilzwijgend accepteren is daarmee niet aan de orde (bijvoorbeeld onjuist: ‘als u alle cookies accepteert behoeft u niets te doen’).
Er behoeft niet voor iedere afzonderlijke cookie toestemming te worden gevraagd. De toestemming kan worden afgegeven voor een bepaalde periode voor een website. Ditzelfde kan een exploitant derhalve ook in een keer vragen voor alle adverteerders op zijn website. Ook kan toestemming voor meerdere sites in een keer worden gevraagd.
Een gebruiker kan vaak ook via zijn gebruikte browser zelf aangeven of bepaalde cookies moeten worden geaccepteerd of niet. Hier geldt echter wel de waarschuwing dat veel browsers als standaardinstelling cookies accepteren en dat het gebruik van ‘flashbrowsers’ de instellingen kan omzeilen.
Van belang is nog op te merken dat de Autoriteit Persoonsgegevens de zogenaamde cookiemuren verbiedt: het is volgens de AP verboden om geen toegang op de website te verlenen als de gebruiker geen toestemming geeft voor het plaatsen van tracking cookies. Deze stellingname van AP wordt echter in de literatuur betwist.
De toestemmingsvereiste geldt evenzeer als een gebruiker software van een leverancier op zijn device installeert, waarmee de leverancier toegang krijgt tot opgeslagen gegevens of gegevens kan plaatsen. De toestemming moet bij aankoop en bij installatie worden gevraagd.
Uitzonderingen
Technische en functionele cookies, kwaliteits- of effectiviteitscookies zijn uitgezonderd van de toestemmingsvereiste. Ook ‘analytics’, affiliate cookies, performance cookies, a/b-test cookies vallen onder de uitzondering omdat deze nauwelijks nadelige gevolgen hebben voor de privacy van de gebruiker. Ze zijn technisch niet noodzakelijk maar wel nuttig voor een optimaal gebruik van de websites.
Toezicht
In het kader van artikel 11.7a Telecommunicatiewet is de ACM toezichthouder, ook al kan de AVG en UAVG van toepassing zijn (cookies leveren een bewijsvermoeden voor het verwerken van persoonsgegevens op).
Meer informatie?
Wilt u meer weten over cookies? Of heeft u vragen over de dienstverlening van Emtio? Neem vrijblijvend contact op met Joop Schuilenburg:
- bel 06 532 666 99
- mail naar joop.schuilenburg@emtio.nl
Aandachtsgebieden
-
- Gegevensbescherming ‘As A Service’
- Wanneer moet u een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren?
- Bent u verplicht om een functionaris voor gegevensbescherming aan te stellen?
- Taken van de functionaris voor gegevensbescherming
- Ongevraagd toezenden van nieuwsbrieven, mag dat?
- Uitbesteden IT-beheertaken, aankoop van bedrijfsvoeringsapplicaties en privacy