Aangepaste Cookie regeling vanaf 11 maart 2015: een aanslag op de Privacy?

expertise:

IT & Privacy

nieuwsbrief:

Wilt u meer weten over dit onderwerp, schrijf u in voor onze nieuwsbrief

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

19 maart 2015

Alvorens op de nieuw ingegane cookie regeling in te gaan, nog even een toelichting op het begrip “cookie”. Meestal gaat het om tekstbestandjes die in browser van de computer, tablet of smartphone van een websitebezoeker worden geplaatst door een websitehouder. Er zijn verschillende cookies met een verschillende werking, zoals functionele cookies, analytische cookies en third party cookies. Op 11 maart 2015 is de gewijzigde cookieregeling in artikel 11.7a van de Telecommunicatiewet in werking getreden. 

De cookieregeling is op 5 juni 2012 in artikel 11.7a van de Telecommunicatiewet opgenomen gebaseerd op de Europese E-Privacy Richtlijn. De regeling bleek geen lang leven beschoren. Op 11 maart 2015 trad reeds een wezenlijke wijzing van deze bepaling in werking. De cookieregeling is, zowel in de oude als in de nieuwe formulering, techniek onafhankelijk. Deze is weliswaar vooral gericht op communicatie via websites, maar geldt ook voor apps en “smart devices”. Het doel is om de verwerking van persoonsgegevens te waarborgen bij gebruik van elektronische communicatiediensten. De regeling in de Telecommunicatiewet is dus gerelateerd aan de Wet bescherming persoonsgegevens (Wbp). De Wbp blijft dus naast de cookieregeling van toepassing bij gebruik van cookies. 

In Nederland moest vóór het plaatsen van niet uitsluitend functionele cookies toestemming worden gegeven door de websitegebruiker. Daarnaast moest de gebruiker goed worden geïnformeerd over het gebruik van de cookies op een website. Deze vereisten golden ongeacht de vraag of de cookies de privacy van de websitebezoeker raakten. Zie ook ons eerdere artikel met uitleg over deze cookieregels. 

De wijziging: minder vaak toestemming vereist 

De wetswijziging per 11 maart 2015 houdt een verruiming in van het gebruik van cookies zonder toestemming van de internetgebruiker. Voor cookies die worden gebruikt om informatie te krijgen over de kwaliteit of effectiviteit van de website is geen toestemming meer vereist indien deze cookies geen of geringe gevolgen hebben voor de privacy van de websitebezoeker. Het gaat daarbij voornamelijk om zgn. “first party analytische cookies”. Dat zijn cookies die uitsluitend gegevens over het gebruik van de eigen website verzamelen om de werking daarvan te verbeteren.
Iedere handeling van de websitehouder die de met de toegestane analytische cookies verkregen informatie verzamelt om het surfgedrag van de internetgebruiker te analyseren of te combineren zodat de websitehouder hem andere aanbiedingen kan doen valt niet onder de verruiming. Bij een dergelijk gebruik is toestemming nog steeds vereist, omdat daarbij wordt vermoed dat dit gebruik meer dan een gering gevolg heeft op de privacy van de websitebezoeker.

Informatieplicht blijft

Daarnaast blijft als uitgangspunt gehandhaafd dat de websitegebruiker volledig en duidelijk geïnformeerd moet worden over het doel van het gebruik van cookies. Aan de gebruiker moet op een duidelijk zichtbare plek op de website informatie worden versterkt over wat een cookie is, welke soort(en) cookies kunnen worden geplaatst, welke gegevens worden verzameld, wie de cookies wil plaatsen, hoe cookies door de gebruiker kunnen worden uitgeschakeld en voor welk doel de cookies worden gebruikt.

Handhaving

De Autoriteit Consument en Markt (ACM) is de instantie die belast is met de handhaving van de Telecommunicatiewet en dus ook van deze regeling. De ACM heeft direct na inwerkingtreding van de gewijzigde wet aangekondigd een actief handhavingsbeleid te zullen volgen. ACM kan boetes opleggen tot 450.000 euro per overtreding. Daarnaast kan het College Bescherming Persoonsgegevens optreden indien met het gebruik van cookies persoonsgegevens worden verwerkt in strijd met de Wbp.

Tot slot

De gewijzigde cookieregeling lijkt vanuit privacy gezichtspunt een aanvaardbare regeling. Echter er zijn voorbeelden die laten zien dat de grens vaag is tussen het wel of geen (geringe) gevolgen hebben voor de privacy. Zo kunnen onder de uitzondering ook zgn. A/B testing cookies en affiliate cookies vallen. Deze verzamelen middels het surfgedrag van de gebruiker informatie over derden (affiliates), bijvoorbeeld over advertenties om na te gaan welke advertenties het beste werkt of het meeste effect hebben gehad. Of de aldus verkregen informatie beperkt blijft tot het doel om de effectiviteit van de advertentie te beoordelen, is de vraag en voor de gebruiker oncontroleerbaar.
De regeling is wel gebruiksvriendelijker, maar of de privacy nu beter wordt gewaarborgd is maar de vraag.