Cookies op website: hoe vraag je toestemming?

18 december 2019

Het rechtmatig plaatsen van cookies blijkt nog een uitdaging voor veel organisaties. Uit een controle van de Autoriteit Persoonsgegevens (AP) is naar voren gekomen dat circa 175 websites van onder meer webshops en gemeenten niet voldoen aan de eisen die aan het plaatsen van tracking cookies worden gesteld. Zo voldoen nagenoeg alle gecontroleerde webshops niet aan de toestemmingsvereisten. De organisaties achter deze websites hebben inmiddels van de AP een brief ontvangen waarin zij worden opgeroepen hun werkwijze – indien nodig – aan te passen. Waarom blijkt het in de praktijk zo moeilijk en hoe moet het wel? In deze blog worden de belangrijkste regels met betrekking tot toestemming bij het plaatsen van cookies samengevat.

Wat zijn cookies?

Een cookie is een klein tekstbestand dat tijdens een bezoek aan een website of app in de randapparatuur wordt geplaatst of uitgelezen, bijvoorbeeld in de browser van een computer of smartphone. Via dit tekstbestand worden gegevens, waaronder in bepaalde gevallen ook persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG), opgeslagen of geraadpleegd. Aan de hand van deze (persoons)gegevens kan een bezoeker bij een later bezoek worden herkend. JavaScripts en web beacons zijn voorbeelden van soortgelijke technieken, die samen met cookies zorgen dat een systeem informatie kan verzamelen (JavaScripts), deze in kleine, eenvoudige tekstbestandjes kan opslaan (cookies) en vervolgens kan versturen (web beacons).

Soorten cookies

Cookies kunnen onderscheiden worden in de doeleinden waarvoor zij gebruikt worden, namelijk functionele, statistische en trackingcookies. Functionele cookies zijn nodig voor het functioneren van een website. Analytische cookies geven de websitehouder inzicht in het bezoek en/of gebruik van de website. Tracking cookies worden gebruikt om het gedrag van bezoekers te monitoren. Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Daarmee kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte advertenties tonen. Tracking cookies maken het mogelijk om profielen van mensen op te stellen (profiling) en hen anders te behandelen. Met tracking cookies worden doorgaans persoonsgegevens verwerkt.

Functionele en analytische cookies maken geen of weinig inbreuk op de privacy van de bezoekers en daarom is er voor dit soort cookies geen expliciete toestemming vereist. Voor het gebruik van tracking cookies is dit wel het geval en is er altijd toestemming vereist. In de praktijk weet men in veel gevallen niet wat bepaalde cookies doen en wat men daarmee over de bezoeker te weten komt.

Wettelijke regels voor cookies

Voor het gebruik van cookies gelden wettelijke regels. Op cookies zijn 2 wetten van toepassing:

  • De cookiebepaling uit de Telecommunicatiewet (ook wel de ‘cookiewet’ genoemd): deze wet is gebaseerd op de EU ePrivacy Richtlijn 2002/58/EC. Die richtlijn – ePrivacy Directive genoemd – is in elk betrokken EU-land omgezet in nationale wetgeving. In Nederland betreft dit een wijziging van de Telecommunicatiewet (artikel 11.7a)
  • De AVG

Volgens de cookiebepaling in de Telecommunicatiewet moet de website haar bezoekers informeren en toestemming krijgen voor het gebruik van cookies. Op tracking cookies (in combinatie met overige gegevens die over het websitebezoek worden verzameld) is ook de AVG van toepassing.

Toestemming

Toestemming is volgens de AVG pas rechtsgeldig wanneer deze aan de volgende voorwaarden voldoet (artikel 4 lid 11 AVG):

  • De toestemming moet vrij zijn: de betrokkene moet een keuze hebben en mag geen nadelige gevolgen ondervinden als hij toestemming weigert of intrekt;
  • De toestemming moet specifiek zijn: de toestemming moet gaan over een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen;
  • De toestemming moet op informatie berusten: de betrokkene moet voorafgaand aan het verlenen van toestemming weten waar hij toestemming voor geeft en aan wie, welke persoonsgegevens er verwerkt worden voor welk doel en voor hoe lang;
  • De toestemming moet ondubbelzinnig zijn: elke twijfel moet zijn uitgesloten over de vraag of de betrokkene zijn toestemming heeft gegeven en voor welke specifieke verwerking deze toestemming is gegeven. Toestemming moet daarom worden gegeven door een actieve handeling of verklaring waaruit de toestemming duidelijk blijkt.

Uitspraak Hof van Justitie over toestemming bij cookies

Op 1 oktober 2019 heeft het Hof van Justitie van de Europese Unie (hierna: HvJ) een belangrijke uitspraak gedaan waarin zij de eisen aan het vragen van toestemming voor het plaatsen en gebruik van cookies heeft aangescherpt. De Duitse onderneming Planet49 maakte op haar website gebruik van vooraf aangevinkte vakjes. Op deze manier vroeg de onderneming om toestemming voor het plaatsen van cookies. Duitse consumentenorganisaties waren het niet eens met deze handelswijze en stapten naar de rechter, die vervolgens vragen stelde aan het HvJ over de regels rondom toestemming voor cookies. Uit de uitspraak van het HvJ dienen de navolgende conclusies met betrekking tot toestemming te worden getrokken:

  • Toestemming is niet rechtsgeldig verleend wanneer dit wordt verzocht door middel van een standaard aangevinkt selectievakje, dat een gebruiker moet uitvinken in geval hij weigert zijn toestemming te verlenen. Dit is een opt-out, geen opt-in.
  • Toestemming moet een ondubbelzinnige wilsuiting zijn die wordt afgeleid uit een actieve handeling van de gebruiker van een website. Dit kan dus niet volgen uit een vooraf aangevinkt hokje oftewel passief gedrag.
  • Toestemming moet specifiek zijn en toestemming moet expliciet worden verleend voor het uitdrukkelijk geformuleerde doel.

Conclusie

Uit de uitspraak van het Hof volgen een aantal belangrijke conclusies met betrekking tot de informatieplicht van een websitebeheerder. De websitebezoeker dient zijn toestemming op de volgende informatie te baseren:

  • De identiteit van de verantwoordelijke in de zin van de AVG;
  • De doeleinden van de verwerking waarvoor de gegevens zijn bestemd;
  • De periode waarin de cookies acties blijven of de criteria ter bepaling van die periode;
  • De eventuele toegang van derde partijen of categorieën derden tot de cookiedata.

Volgens het Hof is deze informatie noodzakelijk voor websitebezoekers om een keuze te maken om al dan niet toestemming te geven.