Het rechtmatig plaatsen van cookies blijkt nog een uitdaging voor veel organisaties. Uit een controle van de Autoriteit Persoonsgegevens (AP) is naar voren gekomen dat circa 175 websites van onder meer webshops en gemeenten niet voldoen aan de eisen die aan het plaatsen van tracking cookies worden gesteld. Zo voldoen nagenoeg alle gecontroleerde webshops niet aan de toestemmingsvereisten. De organisaties achter deze websites hebben inmiddels van de AP een brief ontvangen waarin zij worden opgeroepen hun werkwijze – indien nodig – aan te passen. Waarom blijkt het in de praktijk zo moeilijk en hoe moet het wel? In deze blog worden de belangrijkste regels met betrekking tot toestemming bij het plaatsen van cookies samengevat.
Een cookie is een klein tekstbestand dat tijdens een bezoek aan een website of app in de randapparatuur wordt geplaatst of uitgelezen, bijvoorbeeld in de browser van een computer of smartphone. Via dit tekstbestand worden gegevens, waaronder in bepaalde gevallen ook persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG), opgeslagen of geraadpleegd. Aan de hand van deze (persoons)gegevens kan een bezoeker bij een later bezoek worden herkend. JavaScripts en web beacons zijn voorbeelden van soortgelijke technieken, die samen met cookies zorgen dat een systeem informatie kan verzamelen (JavaScripts), deze in kleine, eenvoudige tekstbestandjes kan opslaan (cookies) en vervolgens kan versturen (web beacons).
Cookies kunnen onderscheiden worden in de doeleinden waarvoor zij gebruikt worden, namelijk functionele, statistische en trackingcookies. Functionele cookies zijn nodig voor het functioneren van een website. Analytische cookies geven de websitehouder inzicht in het bezoek en/of gebruik van de website. Tracking cookies worden gebruikt om het gedrag van bezoekers te monitoren. Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Daarmee kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte advertenties tonen. Tracking cookies maken het mogelijk om profielen van mensen op te stellen (profiling) en hen anders te behandelen. Met tracking cookies worden doorgaans persoonsgegevens verwerkt.
Functionele en analytische cookies maken geen of weinig inbreuk op de privacy van de bezoekers en daarom is er voor dit soort cookies geen expliciete toestemming vereist. Voor het gebruik van tracking cookies is dit wel het geval en is er altijd toestemming vereist. In de praktijk weet men in veel gevallen niet wat bepaalde cookies doen en wat men daarmee over de bezoeker te weten komt.
Voor het gebruik van cookies gelden wettelijke regels. Op cookies zijn 2 wetten van toepassing:
Volgens de cookiebepaling in de Telecommunicatiewet moet de website haar bezoekers informeren en toestemming krijgen voor het gebruik van cookies. Op tracking cookies (in combinatie met overige gegevens die over het websitebezoek worden verzameld) is ook de AVG van toepassing.
Toestemming is volgens de AVG pas rechtsgeldig wanneer deze aan de volgende voorwaarden voldoet (artikel 4 lid 11 AVG):
Op 1 oktober 2019 heeft het Hof van Justitie van de Europese Unie (hierna: HvJ) een belangrijke uitspraak gedaan waarin zij de eisen aan het vragen van toestemming voor het plaatsen en gebruik van cookies heeft aangescherpt. De Duitse onderneming Planet49 maakte op haar website gebruik van vooraf aangevinkte vakjes. Op deze manier vroeg de onderneming om toestemming voor het plaatsen van cookies. Duitse consumentenorganisaties waren het niet eens met deze handelswijze en stapten naar de rechter, die vervolgens vragen stelde aan het HvJ over de regels rondom toestemming voor cookies. Uit de uitspraak van het HvJ dienen de navolgende conclusies met betrekking tot toestemming te worden getrokken:
Uit de uitspraak van het Hof volgen een aantal belangrijke conclusies met betrekking tot de informatieplicht van een websitebeheerder. De websitebezoeker dient zijn toestemming op de volgende informatie te baseren:
Volgens het Hof is deze informatie noodzakelijk voor websitebezoekers om een keuze te maken om al dan niet toestemming te geven.