De cookiewet is er niet zonder slag of stoot gekomen. Vooral in de marketingbranche, die veel met zogenaamde tracking cookies werkt, is er sprake van veel verwarring. Mogen cookies nog, en zo ja, wanneer dan? Moet er voor elk cookie een venster getoond worden waarin toestemming gevraagd wordt, of kan worden volstaan met een algemene zin in de privacyverklaring?
Het korte antwoord: technisch noodzakelijke cookies blijven gewoon legaal, maar tracking cookies vallen onder de privacywet en vereisen expliciete en ondubbelzinnige toestemming voordat ze mogen worden geplaatst. En ja, dat wordt dus een probleem - toestemming in een popup vragen wil je écht niet, maar de opt-out van Youronlinechoices is niet genoeg. En voor het lange antwoord mag u doorklikken!
De strenge cookiewet (die overigens nog door de Eerste Kamer moet, maar dat lijkt een hamerstuk te worden) is aangenomen na een heftig debat, dat op het scherpst van de snede gevoerd werd: is er verschil tussen expliciet en ondubbelzinnig, impliceert “toestemming” dat deze vooraf gevraagd moet worden of kan het ook achteraf, en is de uiteindelijk gekozen formulering van “toestemming” met verwijzing naar de privacywet wel in overeenstemming met de Europese wet?
Om maar met dat laatste te beginnen: de Europese richtlijn waar dit allemaal uit voortkomt, eist “toestemming” zonder allerlei bijvoeglijke naamwoorden er voor of achter. Nederland ging in eerste instantie verder en eiste “ondubbelzinnige” toestemming. Met die formulering zou alleen nog een popup met “Hallo lieve bezoeker wilt u een cookie waarmee we uw surfgedrag tot in detail gaan volgen” legaal zijn. Niet verbazingwekkend dat de marketingbranche daar dus hard over is gaan gillen. De uiteindelijke formulering is identiek aan die uit de richtlijn - “toestemming” dus - maar verwijst wel naar de privacywet, waar stiekem toch wat meer staat: een “vrije, specifieke en op informatie berustende wilsuiting”. En die mond vol wordt opgevat als “vooraf en expliciet vragen”.
Oftewel: ja, je hebt een probleem als je tracking cookies wilt gebruiken en niet zo’n afschrikwekkende popup wilt inzetten.
Je zou natuurlijk kunnen zeggen dat het tracking cookie alleen gebruikt wordt voor geanonimiseerd volgen, zodat de privacywet niet geldt. Een leuk argument, alleen staat in deze nieuwe wet dat elk gebruik van tracking cookies wordt “vermoed” onder de privacywet te vallen. Oftewel, je moet dan een duidelijke toelichting publiceren waarom niets dat jij doet, te herleiden is tot de bezoeker. Het IP-adres van je bezoeker bewaren (of welk gegeven dan ook dat indirect tot hem te herleiden is) is echt al genoeg om toch onder de privacywet te vallen.
Wat wel kan, is tracking uit te zetten en alleen op verzoek van de bezoeker inschakelen. Maar waarom zou die dat doen? Hier had de site Youronlinechoices een goede dienst kunnen bewijzen. Immers, als je op één plaats je profiel kunt instellen en kunt zeggen wie wat mag bijhouden, zodat je alleen relevante advertenties ziet, zou dat zeker aantrekkelijk moeten zijn. Alleen, de site nodigt echt niet bepaald uit om hier actief gebruik van te maken moet ik zeggen. Ik zie vooral opt-out opties. De naam volg-me-niet register die het ding nu dan ook heeft gekregen, zal er voor zorgen dat hij alleen gebruikt wordt om snel even alle opties uit te vinken, vanuit de gedachte dat je dan gevrijwaard blijft van advertenties.
Wie gebruikers laat registreren, kan bij registratie de toestemming vragen voor het profileren en/of volgen van gebruikers. Dat vereist wel een expliciete vraag, deze toestemming verstoppen in de algemene voorwaarden of de privacyverklaring is absoluut onvoldoende. Wel moet de privacyverklaring een toelichting bevatten om wat voor profileren of volgen het gaat, hoe men inzage kan krijgen in zijn eigen profiel en welke opt-out mogelijkheden er zijn.
Wie alles nog eens in detail wil nalezen, kan onze factsheet over de cookiewet nalezen. En natuurlijk beantwoord ik jullie vragen hieronder graag!