Gevolgen versoepeling cookiewet
Op 3 februari jl. heeft ook de Eerste Kamer het
wetsvoorstel aangenomen dat ziet op de wijziging van
artikel 11.7a van de Telecommunicatiewet. Dit artikel, beter bekend als de cookiewet, stelt onder andere eisen aan het plaatsen en uitlezen van cookies.
Normaal gesproken mogen de tekstbestandjes pas worden opgeslagen na voorafgaande volledige en duidelijke informatieverstrekking over de cookies en de doeleinden ervan. Uiteraard na de verkregen toestemming van de gebruiker voor het gebruik van deze cookies. Voor een nadere beschrijving van (de soorten) cookies en de wetswijziging, lees het artikel
'Versoepeling cookiewet'.
Toestemming door middel van doorklikken
In de
Memorie van Toelichting (hierna: MvT), behorende bij het aangenomen wetsvoorstel, wordt het toestemmingsvereiste nader uiteengezet. Volgens het opgestelde stuk verstaan we onder toestemming ‘elke wilsuiting’ waarmee de internetgebruiker aanvaardt dat de desbetreffende cookies worden geplaatst en uitgelezen. Hierbij wordt aangehaakt bij de
Opinie van de Artikel 29-werkgroep en zou toestemming ook kunnen worden afgeleid uit een handeling niet zijnde een klik op de button “ik geef toestemming”. Volgens de regering is het dan ook mogelijk de toestemming af te leiden uit het aanklikken van overige onderdelen van de website. Dit laat uiteraard het eerste vereiste van het artikel onverlet. Zo dient de gebruiker nog steeds voorafgaand te worden geïnformeerd. De informatie ziet in dat geval op het gebruik van de cookies, de doeleinden ervan, tevens met de vermelding dat het doorklikken op de website wordt aangemerkt als het geven van toestemming. Hierbij merkt de regering nog op dat het klikken op “meer informatie” naar aanleiding van de informatie over cookies uiteraard niet gezien kan worden als toestemming.
Verruiming van de uitzondering
Naast het feit dat de toestemming van de gebruiker minder expliciet hoeft te zijn dan voorheen, is het derde lid van het artikel in kwestie gewijzigd. Het lid leest als volgt:
“
3. Het bepaalde in het eerste lid is niet van toepassing indien het de opslag of toegang betreft:
a. met als uitsluitend doel de communicatie over een elektronisch communicatienetwerk uit te voeren,
b. die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren of – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.”
Uit de cumulatieve voorwaarden van het bovenstaande lid blijkt dat er meer ruimte is gecreëerd voor uitzonderingen. Zo gold deze uitzondering voorheen slechts (wanneer er geen privacy geschonden werd) voor het gebruik van technisch noodzakelijke cookies. Door aanpassing van lid 3 van artikel 11.7a van de Telecommunicatiewet geldt deze uitzondering nu ook onder meer voor analytische cookies. De voorwaarde blijft wel dat de privacy-impact van de gebruiker gering moet zijn.
Gevolgen voor het bedrijfsleven
Een websitehouder kan, wanneer hij analytische cookies plaatst voor eigen gebruik, een beroep doen op de komende uitzondering. Echter de uitzondering voor analytische cookies geldt zowel voor first party als voor third party cookies. Degene die de cookie plaatst moet voorkomen dat het plaatsen van deze cookies meer dan geringe gevolgen heeft voor de privacy van de gebruiker.
Dit geldt ook wanneer de websitehouder de gebruiksgegevens van de analytische cookies deelt met een derde. In dit geval plaats de websitehouder zelf de analytische cookies en levert deze gegevens door aan een derde partij. Naast het feit dat deze derde zelf ook aan de vereisten van artikel 11.7a lid 3 Telecommunicatiewet moet voldoen om onder de uitzondering te vallen, is het zaak dat de websitehouder waarborgen moet treffen om de privacy-impact zo veel mogelijk te beperken. In de praktijk kan dit door een bewerkersovereenkomst te sluiten met de derde partij. Hierin dient te worden vastgelegd dat de derde de informatie niet zal gebruiken op een manier die meer dan geringe gevolgen heeft voor de privacy van de desbetreffende gebruiker. Zo mogen de gegevens slechts zien op informatie over de kwaliteit of de effectiviteit van de website.
Wanneer een derde partij de analytische cookies zelf plaatst via de bezochte website, kan ook hij een beroep doen op de uitzondering in het genoemde artikel. Worden de gegevens toch gebruikt voor andere doeleinden die wel meer dan geringe gevolgen hebben voor de privacy, dan moet de derde hier vooraf toestemming voor krijgen van de gebruiker. De verplichting geldt dus voor degene die daadwerkelijk de cookies plaatst.
Conclusie
Kortom, voor het plaatsen van zuivere analytische cookies is na inwerkingtreding van de wetswijziging geen toestemming meer nodig. Zowel de websitehouder zelf als een derde partij kunnen zich beroepen op de nieuwe uitzondering. De geïnformeerde toestemmingsverplichting geldt namelijk voor degene die de cookies daadwerkelijk plaatst. Indien de websitehouder de gebruiksgegevens, verkregen via analytische cookies geplaatst door de websitehouder, verstrekt aan de derde partij, moet de websitehouder waarborgen dat de gegevens alleen zien op informatie over de kwaliteit of de effectiviteit van de website. Daarnaast moet het gebruik van de verkregen gegevens beperkt worden. Dit kan doormiddel van een bewerkersovereenkomst, met hierin de beperking dat de derde de gegevens niet voor eigen doeleinden gebruikt, of alleen voor afgebakende, in de overeenkomst opgenomen doeleinden. De doeleinden mogen geen of slechts geringe gevolgen hebben voor de persoonlijke levenssfeer van de gebruiker.
De datum van inwerkingtreding is vooralsnog onbekend, dus tot die tijd zal er ook voor analytische cookies gewoon toestemming gevraagd moeten worden.
Vragen over het gebruik van cookies of andere privacyvraagstukken?
Neem contact op met het
IT- en privacy team van Ploum.
_-_28de80_-_e62b36bcc68fa8dfe00f92cd1cf1f5742b2c7700.jpg)
