Tweede Kamer stemt in met versoepeling van de Cookiewet

Deze week is de Tweede Kamer unaniem akkoord gegaan met een versoepeling van de ‘cookiewet’. Als deze wetswijziging ook wordt goedgekeurd door de Eerste Kamer dan hoeft er geen toestemming meer worden gevraagd voor cookies die nauwelijks privacygevoelig zijn. Het gaat hierbij niet om cookies die louter functioneel zijn (zoals cookies die onthouden dat iemand is ingelogd of iets in zijn of haar winkelwagentje heeft geplaatst, dat was namelijk al eerder toegestaan zonder toestemming), maar om cookies die de werking van een site verbeteren zoals bijvoorbeeld analytische cookies. Met deze wijziging hoopt men onder meer de hinder te beperken die burgers ervaren door de vele cookies pop-ups. Ook hopen ze het hiermee voor de internetgebruiker gemakkelijker te maken om onderscheid te kunnen maken tussen enerzijds privacygevoelige cookies en anderzijds cookies die nauwelijks gevolgen hebben voor de persoonlijke levenssfeer van de bezoeker (p. 5 Memorie van toelichting). Daarnaast is in deze wijziging opgenomen dat overheidswebsites bezoekers die geen toestemming geven voor cookies niet langer mogen weren.

Uitzondering voor cookies met geringe privacygevolgen
Veel sites en personen (inclusief mijzelf in dit blogbericht) spreken over de cookiewet, hoewel het eigenlijk gaat over slechts één artikel uit de Telecommunicatiewet (artikel 11.7a). De belangrijkste verandering in het voorstel tot wijziging is zoals al eerder gezegd dat er geen toestemming meer hoeft worden gevraagd voor cookies die nauwelijks privacygevoelig zijn en de werking van een site verbeteren.

Dit zie je terug in lid 3 van artikel 11.7a (vetgedrukte is door mijzelf aangebracht):

3. Het bepaalde in het eerste lid is niet van toepassing indien het de opslag of toegang betreft:
a. met als uitsluitend doel de communicatie over een elektronisch communicatienetwerk uit te voeren,
b. die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren of – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.

De aanhef van het derde lid verwijst naar de twee genoemde vereisten in het eerste lid: de informatieplicht en toestemming voor het plaatsen van de cookie. Als deze wetswijziging van kracht wordt, dan hoef je als website-eigenaar je gebruikers dus niet meer te informeren over cookies die geen of geringe gevolgen hebben voor de privacy van je bezoeker indien het gaat om een cookie waarmee je informatie verkrijgt over de kwaliteit of effectiviteit van jouw site. Met andere woorden: voor bijvoorbeeld analytische cookies hoef je niet langer toestemming te vragen of informatie te verstrekken (tenzij het op een andere grond is vereist op grond van de Wet bescherming persoonsgegevens). Voor cookies die het surfgedrag van gebruikers volgt (tracking cookies) verandert er echter niets aangezien dat niet geringe gevolgen heeft voor de privacy van de gebruiker.

First en third party analytic cookies
Deze nieuwe uitzonderingsgrond is ook verder toegelicht in de memorie van toelichting. Naast analytische cookies (analytic cookies) worden ook affiliate cookies en a/b-testing genoemd. Zowel first party analytic cookies, als third party analytic cookies kunnen onder de uitzondering vallen zolang het gebruik en eventueel verder gebruik van deze cookies geen of slechts geringe gevolgen hebben voor de privacy van de bezoeker. De gegenereerde gegevens mogen bijvoorbeeld niet gebruikt worden om profielen van bezoekers op te stellen, ook niet door eventuele derde. Dat kan dus in de praktijk een probleem vormen voor sites die statistiekprogramma’s van derden gebruiken. Veel sites waaronder hobbybloggers gebruiken bijvoorbeeld Google analytics. Ze plaatsen daarmee een third party cookie op hun website, maar ze hebben geen goed zicht op wat Google vervolgens met die informatie doet. De website-eigenaar kan met de gegevens van Google analytics geen interesseprofielen van unieke gebruikers opstellen zodat het vanuit hun oogpunt om een ‘zuiver’ analytische cookie gaat. Om onder de uitzondering te kunnen vallen moet ook het gebruik door een eventuele derde zoals Google in dit geval geen of slechts geringe gevolgen hebben voor de privacy van de bezoeker. De memorie van toelichting noemt niet expliciet Google analytics maar stelt dat als gegevens worden gedeeld met een derde, dat dan met deze derde moet worden afgesproken dat ook hij de gegevens niet voor dergelijke doeleinden gebruikt. Daarbij kan het ook handig zijn om IP-adressen te laten anonimiseren in Google analytics, maar of dat voldoende is is lastig te zeggen.

Verder noemt de memorie van toelichting een voorbeeld van de situatie dat de website-eigenaar een derde inschakelt om het gebruik van zijn website in kaart te brengen. Ook dan geldt er geen informatieplicht of toestemmingsvereiste, tenzij de gegevens worden gebruikt voor andere, privacygevoelige doeleinden. Indien aan dat laatste niet wordt voldaan, is de plaatser van de cookies in overtreding.

Voorbeeld: De houder van een website schakelt de diensten van een statistiekenleverancier in om het gebruik van zijn website in kaart te kunnen brengen. De statistiekenleverancier plaatst daartoe analytic cookies bij de bezoeker van deze website. Dit zijn zogeheten third party cookies als deze worden geplaatst vanuit een ander domein dan dat van de door de internetgebruiker bezochte website. Als de statistiekenleverancier de gegevens uit deze analytic cookies niet voor andere doeleinden gebruikt dan het in kaart brengen van het gebruik van deze website zijn er geen of geringe gevolgen voor de persoonlijke levenssfeer en geldt hiervoor geen informatieplicht of toestemmingsvereiste.

Als de statistiekenleverancier de gegevens uit deze analytic cookies echter ook voor andere, privacygevoelige doeleinden gebruikt (zoals het combineren met andere gebruiksgegevens en daarmee opstellen van profielen ten behoeve van gerichte reclame), dan zijn de gevolgen voor de privacy van de internetgebruiker meer dan gering en valt dit niet onder de uitzondering op de cookiebepaling. Dan moet de bezoeker hierover duidelijk en volledig worden geïnformeerd worden en is voor het plaatsen en lezen van deze cookies toestemming van de bezoeker vereist. De informatieplicht en het toestemmingsvereiste zijn gericht tot degene die de cookies daadwerkelijk plaatst en leest, in dit geval de statistiekenleverancier. Indien de statistiekenleverancier zich niet aan deze verplichtingen houdt is hij in overtreding.

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *