Google Analytics valt ook onder nieuwe cookieregels

De nieuwe Nederlandse cookieregels zijn niet alleen alleen van toepassing op computers, maar ook op alle randapparatuur van gebruikers zoals smartphones, spelcomputers en tablets. Controversieel blijft de omgekeerde bewijslast bij zogenoemde tracking cookies die op 1 januari 2013 van kracht wordt. De sancties zijn niet mals. De wet geeft OPTA, die onder meer digitale rechercheurs zal inzetten, de bevoegdheid om bij overtreding van de cookieregels boetes tot maximaal 450.000 euro op te leggen. Dit blijkt uit een document van OPTA waarin de toezichthouder veelgestelde vragen over de nieuwe cookieregels beantwoordt.

Uit recent onderzoek van de initiatiefnemers van Cookiechecker.nl (test hier de tool) blijkt dat slechts weinig Nederlandse websites hun bezoekers toestemming vragen om cookies te mogen plaatsen. Meer dan de helft plaatst nog steeds ongevraagd cookies van derde partijen.

De cookieregels houden een informatieplicht en een toestemmingsvereiste in. Partijen die cookies plaatsen en lezen moeten duidelijke informatie geven over het feit dat zij cookies gebruiken en met welk doel. Daarnaast mogen de cookies, behoudens de in de wet opgenomen uitzonderingen, alleen geplaatst of gelezen worden indien de gebruiker daarvoor toestemming heeft gegeven. De partij die cookies plaatst en leest kan deze toestemming vragen door bijvoorbeeld een pop-up. Als de gebruiker desgevraagd toestemming geeft, kan deze toestemming worden opgeslagen in een cookie, zodat het niet nodig is om bij elk bezoek opnieuw om toestemming te vragen.

Volgens artikel 11.7a. lid 1 van de Telecommunicatiewet dient een ieder, onverminderd de Wet bescherming persoonsgegevens, die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker:

a. de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en

b. van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling.

Toestemming

Er dient voor het plaatsen en/of benaderen van gegevens dus niet alleen geïnformeerd te worden, maar tevens toestemming worden gegeven door de gebruiker. Een gebruiker hoeft niet bij elk herhaald bezoek van een website opnieuw toestemming te geven nadat hij reeds een keer toestemming heeft gegeven. De toestemming blijft geldig gedurende de levensduur van de cookie, tenzij een gebruiker zijn toestemming intrekt, bijvoorbeeld door het verwijderen van de cookie. Ook zal de toestemming niet meer geldig zijn indien de website-eigenaar de aard van de gegeven toestemming heeft veranderd, bijvoorbeeld door een aanpassing in zijn privacy- en/of cookiebeleid.

De nieuwe cookieregels zijn niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel:

a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of

b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.

Uitzonderingen

Op grond van artikel 11.7a, derde lid van de Telecommunicatiewet zijn er twee uitzonderingen. Deze uitzonderingen op het plaatsen en/of benaderen van gegevens zonder het vragen van toestemming en vooraf informeren van gebruikers gelden niet indien dit nodig is om communicatie uit te voeren. Tevens geldt dit niet indien het opslaan van gegevens of toegang verkrijgen tot gegevens strikt noodzakelijk is voor een door een gebruiker gevraagde dienst. Daarbij valt bijvoorbeeld te denken aan een cookie die nodig is om af te rekenen bij een webshop of ten behoeve van het inloggen bij internetbankieren. De regels zijn van toepassing op zowel first- als third-party cookies.

Google Analytics

De vraag dringt zich op of een cookie ten behoeve van het bijhouden van webstatistieken onder de uitzondering van artikel 11.7a, derde lid, Tw valt. Dat is volgens OPTA niet het geval. Slechts cookies die vallen onder de hiervoor genoemde uitzonderingen mogen geplaatst worden zonder toestemming. Een cookie dat gebruikt wordt om webstatistieken bij te houden, zoals bijvoorbeeld een Google Analytics cookie, is niet noodzakelijk voor het uitvoeren van communicatie of strikt noodzakelijk voor het leveren van een door een gebruiker gevraagde dienst.

Andere technieken

De cookiebepalingen gaan verder dan het plaatsen van cookies; de regels hebben ook betrekking op andere technieken waarbij gegevens geplaatst worden op randapparatuur van gebruikers waaronder het gebruik van Javascripts, Flash cookies, HTML5-local storage en andere technieken waarbij gegevens worden geplaatst en/of uitgelezen. Slechts indien er in het geheel geen sprake is van het opslaan van gegevens, dan wel toegang verkrijgen tot gegevens op de randapparatuur van gebruikers, zal artikel 11.7a Tw niet van toepassing zijn.

Privacy

De cookiebepalingen zijn niet gericht tegen het tonen van advertenties, maar op het beschermen van de privacy van de gebruiker. Ook zonder toestemming tot het plaatsen van cookies mag een website zijn bezoekers te allen tijde advertenties tonen, mits bij deze advertenties geen toegang wordt verkregen tot dan wel gegevens worden opgeslagen op de randapparatuur van de gebruiker.

Buitenlandse websites

Elke site moet toestemming vragen, ook overheidsdiensten en buitenlandse sites. Dit betekent dat een ieder die gegevens plaatst of toegang wenst te verkrijgen tot gegevens dient te voldoen aan de regelgeving. Het verbod geldt derhalve voor zowel de eigenaren van Nederlandse websites als buitenlandse websites. De eigenaren van de websites zijn het aanspreekpunt voor welke informatie hun site biedt en welke gegevens de websites wensen op te slaan. Dat zij niet zelf de advertenties op hun website plaatsen, maar dit uitbesteden aan adverteerders al dan niet via advertentienetwerken doet daar niet aan af, immers de gebruiker bezoekt de website van de website-eigenaar en niet de website(s) van de adverteerder(s).

Elke site moet toestemming vragen, ook overheidsdiensten en buitenlandse sites.

Tracking cookies

Er is veel te doen geweest over een omgekeerde bewijslast bij tracking cookies. OPTA legt uit hoe dat precies zit. Bij zogenaamde tracking cookies, cookies waarmee het surfgedrag van een internetgebruiker in kaart kan worden gebracht, kan sprake zijn van verwerking van persoonsgegevens. In dat geval moet de plaatser en lezer van tracking cookies zich (ook nu al) houden aan de Wet bescherming persoonsgegevens. Het College Bescherming Persoonsgegevens (CBP) houdt toezicht op deze wet. Het rechtsvermoeden ten aanzien van tracking cookies, dat ook onderdeel uitmaakt van de nieuwe cookieregels van artikel 11.7a Tw treedt per 1 januari 2013 in werking. Door dit rechtsvermoeden mag het CBP er van uitgaan dat bij tracking cookies persoonsgegevens worden verwerkt en partijen zich dus moeten houden aan de Wet bescherming persoonsgegevens, tenzij degene die tracking cookies plaatst en leest aantoont dat hij géén persoonsgegevens verwerkt.

Helder

De informatieplicht en het toestemmingvereiste zijn onlosmakelijk verbonden met elkaar; zonder goede informatie is het niet mogelijk een rechtsgeldige toestemming te werven. Partijen mogen zelf bepalen op welke wijze de toestemming wordt geworven en informatie wordt verstrekt. Het werven van een toestemming zal echter net zoals in artikel 11.7 Tw niet kunnen geschieden door middel van een (vage) verwijzing naar bijvoorbeeld algemene voorwaarden, privacy en/of permission statements. Voor een gebruiker moet volstrekt helder zijn waarom en waarvoor hij toestemming geeft en tot hoever de door de gebruiker gegeven toestemming strekt. Voor het werven van een adequate toestemming en het voldoen aan de informatieplicht zal de informatie daarover derhalve gemakkelijk te vinden en tevens gemakkelijk te begrijpen moeten zijn. Dit kan afhankelijk zijn van de doelgroep die men tracht te bereiken.

Doel

Om te voldoen aan de informatieplicht van artikel 11.7a, eerste lid, onder a, Tw dient de gebruiker geïnformeerd te worden omtrent de doeleinden waarvoor de website gegevens wenst op te slaan en/of toegang tot gegevens wil. Het is belangrijk dat de gebruiker geïnformeerd wordt waarom de website een cookie plaatst en met welk doel dit gebeurt en de gebruiker zodoende weet waarvoor hij toestemming geeft. Deze informatie moet altijd op een direct zichtbare plek op de website getoond worden en geschreven in een bij de doelgroep van de website aansluitend taalgebruik. Informeren door middel van een globale verwijzing naar algemene voorwaarden, privacy en/of permission statements is onvoldoende. OPTA beveelt aan om in de informatie alle cookies en/of andere technieken te benoemen en toe te lichten. Daarbij kunnen zowel de cookies waarvoor toestemming gevraagd dient te worden als de cookies die vallen onder de technische uitzondering van artikel 11.7, derde lid, Tw benoemd worden. De gebruiker zal zo optimaal geïnformeerd worden en sneller een beslissing kunnen nemen over het geven van toestemming. Let op: website-eigenaren mogen dus na het enkel informeren nog geen cookie plaatsen, daarvoor is toestemming van de gebruiker nodig.

Informeren door middel van een globale verwijzing naar algemene voorwaarden, privacy en/of permission statements is onvoldoende.

Pop up of floating box?

Interessant is de vraag of een eigenaar van een website de toegang tot zijn website kan ontzeggen aan mensen die geen toestemming voor cookies geven. Als een gebruiker geen toestemming geeft voor het plaatsen van een cookie is het mogelijk dat een website niet goed werkt. Het is voor een website niet verplicht een gebruiker toegang te geven en die toegang kan volgens OPTA inderdaad afhankelijk worden gemaakt van het accepteren van een cookie. In de praktijk kiezen veel websites ervoor om hun gebruikers te informeren en om toestemming te vragen middels bijvoorbeeld een pop-up, een floating box, een infobalk of een overlay. Het staat de eigenaar van een website daarmee vrij om te kiezen voor een methode die aansluit bij het concept van de website en de gebruikers daarvan.

Implied consent

Belangrijk is dat er bij de gebruiker die toestemming geeft sprake is van een vrije, specifieke en op informatie berustende wilsuiting zoals bedoeld in artikel 1, onder i van de Wet bescherming persoonsgegevens. De wilsuiting vereist dat de gebruiker een handeling verricht tot het geven van toestemming. Indien een gebruiker de keuze heeft tot het geven van toestemming, maar geen keuze heeft gemaakt, kan daaruit niet worden afgeleid dat de gebruiker toestemming heeft gegeven (de zogenaamde implied consent). Inmiddels zijn er verschillende plugins voor websites beschikbaar die gebruikers attenderen op de regelgeving en op een correcte wijze toestemming kunnen vragen.

Bewaarplicht

Een eigenaar van een website dient in ieder geval de toestemming van de gebruiker, de wijze waarop de toestemming is verkregen, hoe de gebruiker daarbij geïnformeerd werd én het tijdstip van verkrijging van de toestemming te registreren. Uit de wet volgt dat het college van OPTA bevoegd is om een onderzoek te starten en eventueel handhavend op te treden tot maximaal vijf jaar nadat een mogelijke overtreding heeft plaatsgevonden. Gedurende deze periode dient men de voornoemde gegevens te bewaren en desgevraagd aan OPTA te kunnen verstrekken.

Cookiegegevens dienen vijf jaar te worden bewaard.

Do not track

Momenteel kun je als plaatser/lezer van cookies er nog niet van uitgaan dat als de browser cookies accepteert de gebruiker daar dan wel toestemming voor zal hebben gegeven. Veel browsers staan ingesteld op alle cookies accepteren, en uit het feit dat de gebruiker dit niet heeft aangepast kan je geen toestemming voor het gebruik van cookies afleiden. OPTA juicht een gebruiksvriendelijke oplossing toe waarbij het geven van toestemming wél via de browserinstellingen kan worden geregeld. Hierover wordt op Europees niveau gesproken. De do not track-systemen van de huidige browsers zijn nog onvoldoende. Verder staat de do not track-techniek bij de grote browserfabrikanten, uitgezonderd Microsoft Internet Explorer 10, standaard uit. Het is echter niet toegestaan te wachten met de implementatie van de cookieregels in afwachting van de ontwikkelingen op dit vlak, zo benadrukt OPTA.

Veel browsers staan ingesteld op alle cookies accepteren, en uit het feit dat de gebruiker dit niet heeft aangepast kan je geen toestemming voor het gebruik van cookies afleiden.

No-follow cookie

Ingewikkeld zijn de zogenoemde no-follow cookie. OPTA oordeelt dat het plaatsen van een zogenaamde no-follow cookie om te registreren dat iemand geen cookies wil, gezien kan worden als een door een gebruiker gevraagde dienst waarbij het plaatsen van gegevens strikt noodzakelijk is. Dit lijkt tegenstrijdig nu de gebruiker immers kenbaar heeft gemaakt geen gegevens te willen laten plaatsen. OPTA oordeelt dat in dit specifieke geval een no-follow cookie als strikt noodzakelijk gezien mag worden indien de website voldoet aan de volgende voorwaarden:

  • De gebruiker moet een keuze gehad hebben tussen het toestaan en weigeren van cookies én gekozen hebben om cookies te weigeren. Indien de gebruiker geen keuze maakt tussen de voornoemde keuzes zal de toestemmingsvraag logischerwijs op de website getoond dienen te blijven.
  • De website dient de gebruiker vervolgens te informeren dat een no-follow cookie geplaatst zal worden met als enig doel de registratie van de keuze.
  • De website mag een no-follow cookie slechts plaatsen met dat specifieke doel. De no-follow cookie mag slechts een daarvoor strikt noodzakelijke inhoud (bijvoorbeeld no follow=1) kennen en geen unieke identifier(s). Het is logischerwijs niet toegestaan om de gebruiker met een no-follow cookie door middel van die cookie (al dan niet in combinatie met andere technieken) alsnog op enige andere wijze (tijdelijk) te volgen en/of dit op enig moment te koppelen aan andere over deze gebruiker beschikbare gegevens.

Handhaving

OPTA zal niet alleen toezien op het naleven van de informatieplicht, maar tevens op de verplichting dat er sprake moet zijn van toestemming. OPTA zal handhaven op basis van eigen onderzoek en op basis van signalen uit de markt. OPTA heeft de beschikking over digitale rechercheurs die onderdeel uitmaken van het Team Internetveiligheid. Tips ten aanzien van mogelijke misstanden rondom de wet kunnen gebruikers indienen via ConsuWijzer.

Privacy is terecht een groot goed in Nederland en in Europa. Desondanks verdienen de huidige Nederlandse cookieregels geen schoonheidsprijs. Het wachten is eigenlijk op Europese wetgeving op dit terrein. Ook OPTA realiseert zich dat. OPTA juicht een gebruiksvriendelijke oplossing toe waarbij het geven van toestemming via de browserinstellingen kan worden geregeld. Over deze zogenoemde do not track-systemen wordt op Europees niveau gesproken. Tot het zo ver is, zal een ieder zich aan de Nederlandse cookiewetgeving dienen te houden en zal OPTA handhavend optreden.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

  • Geen evenementen
  • Magazine

    BTG in Business - Voorjaar 2022
    Lees de laatste editie

    Meld je aan voor onze nieuwsbrief!

    Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
    • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.