CBP waarschuwt voor het eerst een overtreder van de cookieregelgeving

donderdag, 15 mei 2014

Voordat cookies mogen worden geplaatst op de computer, tablet of smartphone moet de gebruiker hiervoor toestemming geven. De gebruiker moet bovendien duidelijk en volledig geïnformeerd worden over welk soort cookies kunnen worden geplaatst en welke gegevens worden verzameld en gebruikt voor welk doel. Lang niet alle Nederlandse websites voldoen aan de huidige cookieregelgeving. Op 13 mei 2014 publiceerde het College Bescherming Persoonsgegevens (CBP) zijn eerste rapport over schending van de Nederlandse cookieregelgeving.

Op 13 mei 2014 publiceerde het CBP zijn eerste rapport over het schenden van de cookieregelgeving in Nederland. Het bedrijf YD Display Advertising Benelux B.V. (YD) werd door het CBP op haar vingers getikt voor het zonder toestemming van de gebruiker plaatsen van tracking cookies. De informatie die YD door middel van de tracking cookies verzamelt wordt gebruikt om gebruikers gericht te kunnen benaderen met gepersonaliseerde advertenties op basis van hun surfgedrag. YD schendt hiermee volgens het CBP niet alleen de het toestemmingsvereiste uit de Telecommunicatiewet, maar ook de bepalingen uit de Wet Bescherming Persoonsgegevens nu YD met behulp van deze cookies persoonsgegevens verzamelt. Daarnaast constateert het CBP dat YD eveneens de informatieplicht schendt door de gebruikers onvoldoende te informeren over de geplaatste cookies. Het CBP acht de maatregelen die door YD zijn getroffen naar aanleiding van de bevindingen van het CBP onvoldoende om de geconstateerde schending te beëindigen. De maatregelen zagen onder meer op wijzigingen ten aanzien van bewaartermijnen van persoonsgegevens en het aanpassen van de informatie over cookies op de website van YD. Het CBP zal na een hoorzitting beoordelen of het handhavende maatregelen zal inzetten.

De verwachting is dat het niet lang zal duren voor het volgende bedrijf op haar vingers wordt getikt voor een schending van de cookiewetgeving. Dit kan door het CBP worden gedaan, maar ook door de Autoriteit Consument & Markt (ACM). De ACM heeft reeds vastgesteld dat Nederlandse bedrijven op grote schaal niet voldoen aan de cookiewetgeving en is een onderzoek gestart naar bedrijven die in strijd handelen met de cookie-bepalingen. De ACM heeft de bevoegdheid boetes op te leggen tot maximaal 450.000 euro.

Naleving van de cookieregelgeving is dus aan te raden. Hieronder zetten we uiteen wat die regelgeving inhoudt.

Voorafgaande toestemming

Op grond van de Telecommunicatiewet dient voorafgaand aan het plaatsen van cookies toestemming van de gebruiker te worden verkregen. Dit vereiste geldt voor alle cookies met uitzondering van functionele cookies. Functionele cookies zijn technisch noodzakelijk voor het goed functioneren van een website en het kunnen aanbieden van diensten op websites. Hierbij kan gedacht worden aan cookies die het mogelijk maken een bestelling te plaatsen in een webshop. Indien uitsluitend functionele cookies worden geplaatst op de computer, tablet of smartphone van de gebruiker hoeft geen toestemming te worden verkregen om deze te plaatsen.

Worden ook niet functionele cookies geplaatst op het apparaat van de gebruiker dan dient voor de plaatsing daarvan toestemming te worden verkregen van de gebruiker. Niet-functionele cookies zijn onder meer first party cookies (geplaatst door de eigenaar van de website), third party cookies (geplaatst door een derde die de gebruiker van een website wil volgen) en tracking cookies. Third party cookies zijn bijvoorbeeld de analytische cookies van Google analytics. Tracking cookies maken het volgen van gebruikers mogelijk, waardoor onder meer gepersonaliseerde advertenties aan de gebruiker kunnen worden getoond.

De verkregen toestemming voor het plaatsen van niet functionele cookies moet ondubbelzinnig en actief zijn. Er mogen dus pas dergelijke cookies worden geplaatst indien de gebruiker daar actief, bijvoorbeeld door het aanklikken van een button of het aanvinken van een ‘tickbox’ toestemming voor heeft gegeven. Er mag dus niet vanuit worden gegaan dat een gebruiker die een website raadpleegt daarmee ook toestemming geeft voor het gebruik van cookies. Indien een gebruiker weigert cookies te accepteren mag hem in principe de toegang tot de website worden ontzegd, maar dat lijkt redelijk drastisch. Een andere mogelijkheid kan zijn om de gebruiker te laten kiezen welke cookies hij wel en niet wil en daar de cookie-instellingen op aan te (laten) passen.

Informatieplicht

De gebruiker moet bovendien volledig en duidelijk worden geïnformeerd over de te plaatsen cookies. Aan de gebruiker moet op een duidelijk zichtbare plek op de website informatie worden versterkt over wat een cookie is, welke soort(en) cookies kunnen worden geplaatst, welke gegevens worden verzameld, wie de cookies wil plaatsen, hoe cookies door de gebruiker kunnen worden uitgeschakeld en voor welk doel de cookies worden gebruikt. Bovendien moet aan de websitegebruiker worden meegedeeld dat hij het recht heeft op inzage, correctie en verwijdering van zijn persoonsgegevens die door middel van de cookies worden verzameld. Daarnaast moet de internetgebruiker worden gewezen op bronnen waar meer informatie kan worden gevonden over cookies (bijvoorbeeld op de website van de Consumentenbond). Deze informatie kan worden opgenomen in een overzicht met pictogrammen met weergave van de cookies en een toelichting erbij of in een cookieverklaring die op een duidelijke plek op de website wordt geplaatst.

Indien uitsluitend functionele cookies worden gebruikt geldt de informatieplicht niet, maar het is desondanks aan te raden deze informatie wel te verstrekken om ieder misverstand te voorkomen.

Wetswijziging: versoepeling van de cookiewetgeving

Op 28 maart 2014 is een wetsvoorstel ingediend bij de Tweede Kamer dat de cookiewetgeving moet versoepelen. Het wetsvoorstel houdt in dat het toestemmingsvereiste en de informatieplicht niet langer zullen gelden voor niet-functionele cookies die tot doel hebben informatie te verkrijgen over de kwaliteit en effectiviteit van een door de website geleverde dienst (analytische cookies). Voorwaarde is dan wel dat het plaatsen van de cookies geen of slechts geringe gevolgen heeft voor de persoonlijke levenssfeer van de gebruiker. Volgens de Memorie van Toelichting bij het wetsvoorstel kunnen zowel first party analytische cookies als third party analytische cookies onder de uitzondering voor het toestemmingsvereiste vallen. Ook third party analytische cookies kunnen geen of een gering effect hebben op de privacy van internetgebruikers als de geanalyseerde gegevens volledig worden geanonimiseerd.

Let wel, ook indien deze wetswijziging in werking treedt - de bedoeling is dat dit nog dit jaar gebeurd - mogen er nog steeds geen analytische cookies die wel gevolgen hebben voor de privacy van de gebruiker of geen tracking cookies worden geplaatst zonder de toestemming van de gebruiker. Noch mogen er met de door de cookies verzamelde gegevens profielen worden opgesteld van de gebruiker zonder zijn ondubbelzinnige toestemming.

Denise Verdoold en Monique Hennekens