Nieuw wetsvoorstel cookiewet schept (eindelijk) duidelijkheid

Een stap in de goede richting van een gebruiksvriendelijke naleving van de cookiewet

Nieuw wetsvoorstel cookiewet schept (eindelijk) duidelijkheid

Op een mooie pinksterdag (20 mei jl.), heeft minister Kamp (Economische Zaken) het wetsvoorstel gepresenteerd tot wijziging van artikel 11.7a Telecommunicatiewet of kortweg de cookiewet. Na het van kracht worden van dit voorstel wordt het mogelijk bijvoorbeeld analytics-cookies te gebruiken zonder dat de internetgebruiker daarover is geïnformeerd en daarin toestemt. Uit de toelichting bij het voorstel blijkt verder dat de minister voorstelt dat de impliciete toestemming een rechtsgeldige toestemming oplevert met het gebruik van cookies. Wij achten de voorstellen een stap in de goede richting om tot een gebruiksvriendelijke naleving van de cookiewet te komen. In dit artikel licht ik beide belangrijke voorstellen nader toe.

Waarom een wetsvoorstel tot wijziging van de cookiewet?

In februari van dit jaar meende de regering – samen met het bedrijfsleven en de Nederlandse consument – dat de cookiewet zijn doel voorbij was geschoten. De tot nu toe geldende cookiewet verplicht website-eigenaren om over het gebruik van vrijwel alle soorten cookies (uitgezonderd noodzakelijk en functionele cookies) informatie te verstrekken en de internetgebruiker om toestemming te vragen met dit gebruik. Deze verplichtingen leiden tot een wijdverspreid gebruik van lay-overs en pop-up screens. Een ongewenste situatie, aldus de regering.

Het probleem met de cookiewet is, aldus de regering, dat het onverkort van toepassing is op het gebruik van cookies, ook bij cookies waar vrijwel geen privacybelang mee gemoeid is. Denk bijvoorbeeld aan analytische cookie waarmee uitsluitend gebruiksstatistieken worden verzameld. Bij gebruik van dergelijke cookies is de impact op de privacy gering en het is voor de privacy van de internetgebruiker dan ook overbodig om toestemming te vragen voor het gebruik van analytische cookies. Met andere woorden, meer cookies moesten onder de uitzonderingen komen te vallen.

Nieuwe uitzonderingen: analytische cookies, affiliatecookies en a/b-testing cookies

Zoals bekend hoeft een website-eigenaar op dit moment geen toestemming te vragen of informatie te geven voor zogenaamde 'functionele cookies'. Dit zijn cookies die (a) tot uitsluitend doel hebben de communicatie over het internet uit te voeren of (b) strikt noodzakelijk zijn om een door de internetgebruiker gevraagde (online)dienst te leveren.

Na het van kracht worden van het nieuwe wetsvoorstel wordt het lijstje met uitzonderingen uitgebreid met een derde categorie: namelijk, de cookie “die strikt noodzakelijk is […] – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit en effectiviteit van een geleverde dienst van de informatiemaatschappij.”

Onder deze uitzondering vallen dan bijvoorbeeld de volgende cookies: first party en third party analytische cookies, affiliatecookies en a/b-testingcookies. De opsomming in het voorstel is niet uitputtend.

De uitbreiding van de uitzonderingen wordt gemotiveerd met de volgende gedachte: “het gebruik van cookies om informatie te verkrijgen over de kwaliteit en effectiviteit van de website is een gerechtvaardigd belang mits dit gebruik geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de internetgebruiker (naar analogie met artikel 8 onder f Wet bescherming persoonsgegevens)”. Een toestemming is dan niet vereist.

Ten aanzien van het gebruik van analytische cookies merkt de minister op dat om te voorkomen dat het gebruik van deze cookies meer dan geringe gevolgen heeft voor de privacy van de internetgebruiker dat:

  • de cookies en de daarmee gegenereerde gegevens niet mogen worden gebruikt om bijvoorbeeld een profiel van de internetgebruiker op te stellen, ook niet door een eventuele derde waarmee de websitehouder de gegevens van de cookie deelt;
  • de websitehouder die gebruikersgegevens uit de analytische cookie deelt met een derde aanvullende waarborgen moet treffen om de privacy-impact zo beperkt mogelijk te houden. De website-eigenaar moet daartoe een bewerkersovereenkomst sluiten met de derde. In deze overeenkomst moet worden afgesproken dat de derde de (gebruikers)gegevens niet voor eigen doeleinden gebruikt, of alleen voor afgebakende doeleinden die geen of geringe gevolgen hebben voor de levenssfeer van de internetgebruiker. Merkwaardig hierbij is dat de bewerkersovereenkomst een concept is uit de Wet bescherming persoonsgegevens en niet per se van toepassing op het gebruik van cookies. De minister lijkt te stellen dat het inschakelen van een third party voor het gebruik van analytische cookies zonder bewerkersovereenkomst onvoldoende waarborgen biedt en dat men in zo’n geval niet kan spreken van “geen of geringe gevolgen voor de persoonlijke levenssfeer”.

Impliciete toestemming

Waar het plaatsen en gebruik van cookies belangrijke gevolgen kan hebben voor de persoonlijke levenssfeer van de internetgebruiker (bijvoorbeeld bij tracking cookies), gelden de eisen van cookiewet onverkort: duidelijk en volledig informeren én toestemming vragen.

In de toelichting bij het wetvoorstel staat de minister uitvoering stil bij de interpretatie van het begrip ‘toestemming’. Deze toelichting telt vijf pagina’s van de zestien van het wetsvoorstel. Dit is opvallend omdat hetzelfde begrip toestemming al jaren bestaat, namelijk in de Wet bescherming persoonsgegevens en de spamregelgeving. Nog opvallender is het betoog van de minister waarin hij pleit voor de rechtsgeldigheid van de impliciete toestemming. Met een verwijzing naar een opinie van de artikel 29 Werkgroep (het adviesorganen waarin alle Europese Toezichthouders op het gebied van gegevensbescherming verzameld zijn), stelt de minister dat een rechtsgeldige toestemming ook afgeleid kan worden uit het gedrag van de bezoeker van een website. Dit is bijvoorbeeld het geval indien een websitebezoeker geconfronteerd wordt met de mededeling op een website dat er cookies geplaatst zullen worden en hij desondanks gewoon verder surft op deze website. Waar de ACM (voorheen OPTA) meende dat een dergelijke impliciete toestemming geen rechtsgeldige toestemming opleverde, meent de minister van wel. Een verwachte maar desalniettemin verrassende wending...

Consequenties voor de praktijk

Het voorstel heeft oog voor de praktijk. Veel meer cookies (o.a. analytische, affiliate- en a/b-testingcookies) zullen bij het van kracht worden van het voorstel onder de uitzonderingen vallen. Voor vele websites betekent dit dat niet langer een informatiebalk moet worden getoond en een toestemmingvraag moet worden gesteld. Het gevolg daarvan is dat vele websites, ten minste de toestemmingsvraag en/of informatiebalk, en in het bijzonder het cookiestatement kunnen aanpassen.

Let op bij het gebruik van Google Analytics! Ondernemingen die Google Analytics gebruiken moeten eerst nog eens goed naar de gebruiksvoorwaarden kijken om zich ervan te verzekeren dat het kan gelden als een “bewerkersovereenkomst” in zin die de minister bedoelde.

Maar voor de cookies die niet onder de uitzonderingen vallen, kan vanaf het van kracht worden van het voorstel een impliciete toestemming volstaan. Zo ligt het dan voor de hand om een pop-up te vervangen door een duidelijke informatiebalk met de mededeling dat verder gebruik van de website wordt beschouwd als toestemming met het gebruik van cookies. Let wel: de cookies mogen pas op dat moment worden geplaatst en niet al direct bij het eerste bezoek.

Al met al is het voorstel een stap in de richting van een gebruiksvriendelijke naleving van de cookiewet. Met deze oplossing doet de regering recht aan de privacybelangen van internetgebruikers enerzijds en de noodzaak van een werkbare regeling voor het bedrijfsleven anderzijds.

Wanneer wordt het voorstel van kracht?

Tot 1 juli staat het wijzigingsvoorstel op internetconsultatie.nl. Tot die datum kan iedereen reageren op de beoogde wijzigingen. De minister moet de Raad van State om advies vragen. Dit adviestraject zou parallel aan de internetconsultatie kunnen plaatsvinden. Verder zou de minister ook nog het College bescherming persoonsgegevens om advies moeten vragen, aangezien de wijziging betrekking heeft op de verwerking van persoonsgegevens. Echter, dit zou een formeel adviestraject kunnen zijn omdat het college bij de totstandkoming van het wetsvoorstel is betrokken.

Op basis van de reacties uitgebracht tijdens de consultatie en de adviezen, kan de minister dan besluiten om het voorstel (of de toelichting) aan te passen - of niet. Pas daarna zal het wetsvoorstel ingediend worden bij de Tweede Kamer. De parlementaire behandeling kan in principe binnen enkele maanden voltooid zijn, maar zou net zo goed nog een jaar in beslag kunnen nemen. Voorlopig gaan we er echter van uit dat het zo lang niet zal duren.

Credits afbeelding: Rego Korosi (CC)


Delen

0
1


Er zijn 20 reacties op dit artikel

  • Ik heb momenteel een plugin die automatisch cookies accepteert. Met de het versoepelen van de wetgeving kan ik deze plugin weer uitschakelen (hoop ik). Vind het erg storend al die meldingen.

    Daarbij heeft de cookiewetgeving veel weg van het rookverbod. Het blijft moeilijk te controleren en de kleine websites/kroegen houden er weinig tot geen rekening mee.

    geplaatst op
  • Hoi Nicole, dank voor je uitleg! Vraagje: het kan nog een jaar duren voordat de wetgeving van kracht wordt, schrijf je. Maar de intentie is duidelijk. Is het nu dan toch al geoorloofd om de cookiemuren te slopen en de nieuwe situatie te implementeren? Wat denk jij?

    geplaatst op
  • Hoi Bram, dat is een goede vraag. De visie van de minister is duidelijk uiteengezet in het wetsvoorstel. De vraag rijst alleen: wordt dit ook wet? Of zal de uiteindelijke wet toch strenger luiden...en in dat geval moet er weer een aanpassing komen. Als advocaat luidt mijn antwoord dan ook: wacht nog tot de wet echt van kracht wordt.

    geplaatst op
  • Mooi artikel en goede samenvatting van de brief van Minister Kamp.
    Overal waar gesproken wordt over plaatsen van cookies wordt ook bedoeld "het uitlezen van cookies".
    Voor tracking/retargeting cookies betekent dit dat bijv. retargeting banners nooit meer tijdens de 1e pageview getoond mogen worden, tenzij de bezoeker in het verleden al impliciete toestemming heeft gegeven (tijdens een eerder bezoek heeft doorgesurft).

    geplaatst op
  • @Nicole: I was afraid you'd say that... :) Stiekem denk ik dat we in ieder geval wel wegkomen met het slopen van de cookiemuur, dus hebben we de voorbereidingen al voor getroffen.

    geplaatst op
  • "Let op bij het gebruik van Google Analytics! Ondernemingen die Google Analytics gebruiken moeten eerst nog eens goed naar de gebruiksvoorwaarden kijken om zich ervan te verzekeren dat het kan gelden als een “bewerkersovereenkomst” in zin die de minister bedoelde."

    Wat betekent dit nu concreet?
    Is Google Analytics in dit nu voorstel nu wel of niet toegestaan?

    geplaatst op
  • Google Analytics valt volgens de minister onder de uitzonderingen als de door Google Analytics verkregen gebruikersinformatie enkel ter beschikking wordt gesteld aan de houder van de website X die Google Analytics gebruikt en als deze informatie niet voor andere doeleinden wordt gebruikt dan het analyseren van website X in opdracht van de websitehouder. Dan wordt veronderstelt dat Google Analytics weinig impact heeft op de privacy. Dus afhankelijk van het gebruik van de gebruikersinformatie door Google (zoals afgesproken met een website houden) zal Google Analytics onder de uitzonderingen vallen.

    geplaatst op
  • Dank voor je duidelijke antwoord

    geplaatst op
  • Begrijp ik dat door het plaatsen van een notification bar en het doorklikken van de bezoeker er ook geen expliciete toestemming gevraagd hoeft te worden voor embedded youtube content of share buttons?

    geplaatst op
  • Je kunt in Google Analytics ook gewoon de ip-adressen anonimiseren. Dat lijkt mij ook voldoende om geen expliciete toestemming te vragen aan de bezoekers.

    Zie deze link voor een heldere uitleg : https://support.google.com/analytics/answer/2763052?hl=nl

    geplaatst op
  • De cookiewet en ook de herziene cookiewet is er uitsluitend om de adverteerder te beschermen. Er wordt immers niet gekozen voor een betrouwbare oplossing voor tracking 3rd party cookies die allang bestaat, namelijk via een instelling in je browser. Nederland zou browserlevernciers kunnen verplichten deze instelling standaard aan te zetten voor Nederlandse releases. Deze technische oplossing is waterdicht, in tegenstelling tot een cookiemelding, die even betrouwbaar is als de blauwe ogen van de website-eigenaar. De werking van Google Analytics voor onschuldige statistiekmeting blijft gegarandeerd omdat die is gebaseerd op 1st party cookies.

    geplaatst op
  • @Michael: technisch gezien heb je gelijk, denk ik. En ik weet dat er vanuit Europa (incl. Nederland) flinke gesprekken en onderhandelingen zijn geweest met de 'browserbouwers' over die oplossing.

    Het lullige is dat al die browsers uit de VS komen, alwaar ze een 'ietwat' andere opvatting over privacy hanteren. Voor zover ik heb begrepen, zien zij het dan ook als een Europees probleem. Sterker nog, er zijn zat Amerikaanse partijen (adverteerders, maar mss ook de overheid?) die er totaal geen baat bij hebben als 'Europa' op deze manier de boel regelt, omdat dezelfde technische instellingen dan ook gelden voor VS-websites.

    Kortom, er is genoeg druk vanuit de thuismarkt om niet tegemoet te komen aan de wensen van Europa. En voor zover dat verplichten daadwerkelijk kán, ligt het denk ik ook wat gevoelig, politiek gezien. Dus denk niet dat dat snel zal gebeuren...

    geplaatst op
  • @Bram Waar vind ik documentatie over die gesprekken met browserbouwers?
    De default setting zou alleen in Nederlandse / Europese releases van browsers gezet kunnen worden. Deze optie wordt ook besproken in een editorial in New York Times, zonder referentie aan gaande gesprekken. Uit blog van medeoprichter van Mozilla blijkt een positieve grondhouding voor deze default te bestaan en dat een beta-versie hiermee aantaande is.
    Mocht dit eerste prioriteit voor Nederlandse overheid zijn en de bestaande cookiewet een compromis, dan vraag ik me af waarom er geen voorlichting gegeven wordt over deze mogelijkheid.
    Ik blijf een vermoeden houden dat de overheid deze mogelijkheid simpelweg over het hoofd heeft gezien of aan belangen van adverteerders tegemoet wil komen. Dat laatste zou echt belachelijk zijn omdat cookiewet als bescherming van consument wordt gepresenteerd.

    geplaatst op
  • @Michael: ik heb geen verslag gezien van die gesprekken. Ik weet dat van vrijwel alle browserbouwers vertegenwoordigers een paar dagen overleg hebben gevoerd in Amsterdam, ergens in Q3 van vorig jaar. Dat leidde toen niet tot een oplossing in de vorm van een (default) browserinstelling waarin tegemoet gekomen wordt aan de Europese richtlijnen, laat staan de (strengere - in ieder geval de huidige) Nederlandse.

    geplaatst op


  • "Waar het plaatsen en gebruik van cookies belangrijke gevolgen kan hebben voor de persoonlijke levenssfeer van de internetgebruiker (bijvoorbeeld bij tracking cookies), gelden de eisen van cookiewet onverkort: duidelijk en volledig informeren én toestemming vragen.

    Dus voor Adwords campagnes gaat er niets veranderen? Google zegt nl zelf dat ze voor het doormeten een tracking cookie gebruiken.

    https://support.google.com/adwords/answer/2407785?hl=en-GB

    geplaatst op
  • "Wanneer wordt het voorstel van kracht?

    Tot 1 juli staat het wijzigingsvoorstel op internetconsultatie.nl. Tot die datum kan iedereen reageren op de beoogde wijzigingen."

    @Nicole: 1 juli ligt inmiddels achter ons. Valt er al iets meer te zeggen over hoe de cookiewet op dit moment toegepast moet/mag worden?

    Bram Koster vroeg al of het geoorloofd is om de cookiemuren te slopen. Wij staan nu voor de keuze om bij nieuwe projecten een toepassing te implementeren, dus we hebben feitelijk niets te slopen, maar willen graag voorkomen dat we straks 'te hoge muren' hebben opgeworpen. Wat raad je ons aan?

    geplaatst op
  • Beste Nicole,

    Maar het wetsvoorstel van Minister Kamps schijnt nog niet goedgekeurd en zou pas op z'n vroegst in 2014 worden goedgekeurd. Tot die tijd is de huidige cookiewet van toepassing en is hetgeen dat in het voorstel staat dus niet geldig. Toch zie ik dat vele websites al werken met het voorstel van de minister.

    Kan je mij vertellen hoe het nu eigenlijk in elkaar zit.

    Alvast bedankt,

    Ton

    geplaatst op
  • Ha Nicole,

    Ik ben ook wel benieuwd naar het antwoord op de vraag van Ton!

    Vr groet Wout

    geplaatst op
  • Beste Ton, ik zie nu pas je vraag. In het kort: vele websites hebben nu al gekozen voor een vorm van impliciete toestemming. Dat klopt. Dat komt omdat de minister in de toelichting bij het amendement heeft aangegeven dat impliciete toestemming voldoende is (mits het aan bepaalde voorwaarden voldoet). Ook het CBP heeft dit bevestigd...
    Wat je minder ziet is dat websites al de uitzondering voor affiliate of analytics cookies toepassen. Daarmee lijkt te worden gewacht tot het amendment van kracht wordt.

    geplaatst op
  • Nog even een update over het amendement: dat hing bij de Raad van State voor advies. Vorige week werd bekend dat het advies is vastgesteld maar het is nog niet gepubliceerd. Zodra het er is, hou ik jullie op de hoogte!

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.