Eind mei 2012 is artikel 11.7a Telecommunicatiewet in werking getreden, ook wel de ‘cookiewet’ genoemd. In dit informatieblad wordt ingegaan op de toestemmingsplicht voor het gebruik (plaatsen /uitlezen) van cookies (en hiermee vergelijkbare technieken).

Toestemmingsplicht cookies

Voor cookies die noodzakelijk zijn voor het goed kunnen functioneren van de door de gebruiker bezochte website/aangeboden webdienst dan wel inherent zijn aan de toegepaste communicatietechniek (de zogenaamde functionele cookies), geldt geen toestemmingsvereiste op basis van de (gewijzigde)Telecommunicatiewet.

Cookies die door de uitgever van een website worden gebruikt maar die niet onder de categorie functionele cookies vallen (hierbij kan gedacht worden aan cookies die herkenning bij een volgend bezoek aan de website mogelijk maken of cookies die het mogelijk maken om gebruikers te tonen wat andere gebruikers hebben besteld) en cookies die door derden op de website worden geplaatst (zoals third party tracking cookies) zijn in meer of mindere mate aan toestemming onderhevig.

Er zijn twee soorten toestemming te onderscheiden:

(a) ‘gewone’ toestemming;

(b) Ondubbelzinnige toestemming.

Ad a. Onder gewone toestemming wordt verstaan: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat de hem betreffende persoonsgegevens worden verwerkt. De toestemming dient dus te geschieden uit vrije wil, te worden gegeven voor een specifiek doel en de betrokkene dient bovendien goed geïnformeerd te zijn. Hetgeen overigens niet betekent dat een webuitgever verplicht is zijn website zo te bouwen dat ondanks het onthouden van de toestemming, de website op alle onderdelen goed functioneert.

‘Normale’ toestemming kan blijken uit zowel schrift of gedrag en dient te zijn gegeven uit vrije wil en op zodanige informatie te berusten dat voor de gebruiker duidelijk is voor welk specifiek doel, voor hoe lang en wat de consequenties hiervan zijn.

Om te kunnen spreken van een goed geïnformeerde gebruiker, is het raadzaam de gebruiker te informeren over (a) de identiteit van de plaatser/lezer van de cookie(s); (b) over de doelen waarvoor de cookie wordt geplaatst/uitgelezen (zoals ‘het maken van een profiel om gerichte reclame te bieden’); (c) welke gegevens worden opgeslagen; (d) van welke websites informatie op deze wijze wordt verzameld; (e) gebruiksperiode; (f) met wie informatie wordt gedeeld.

Ad b. Onder ondubbelzinnige toestemming wordt verstaan: de vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat de hem betreffende persoonsgegevens worden verwerkt, waarbij iedere twijfel is uitgesloten dat de betrokkene zijn wil heeft geuit. Ondubbelzinnige toestemming is vereist als persoonsgegevens worden verwerkt en geen andere verwerkingsgrond van de Wet bescherming persoonsgegevens (artikel 8 Wbp) van toepassing is. In de WBP is een limitatieve opsomming opgenomen van mogelijke verwerkingsgronden.Naast ondubbelzinnige toestemming kent de WBP de volgende verwerkingsgronden: (a) noodzakelijk om te voldoen aan contractuele verplichtingen of voor het op verzoek nemen van (pre)contractuele maatregelen noodzakelijk voor het sluiten van de overeenkomst; (b) noodzakelijk om aan wettelijke verplichting te voldoen; (c) noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene/gebruiker; (d) noodzakelijk voor goede vervulling van een publiekrechtelijke taak; en (e) noodzakelijk ter behartiging van een gerechtvaardigd belang van de plaatser/uitlezer of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of fundamentele rechten en vrijheden van de betrokkene/gebruiker prevaleert.

Rechtsvermoeden persoonsgegevens

Wanneer een cookie wordt gebruikt om het surfgedrag op meerdere sites te volgen, wordt er vanuit gegaan (het zogenaamde rechtsvermoeden dat persoonsgegevens worden verwerkt) dat hierbij persoonsgegevens worden verwerkt en dient te worden voldaan aan de Wet bescherming persoonsgegevens (WBP), tenzij de cookie-plaatser/lezer aantoont dat er geen gebruik wordt gemaakt van persoonsgegevens. Dit kan inhouden dat ondubbelzinnige toestemming van de gebruiker nodig is. Het verkrijgen van ondubbelzinnige toestemming van de gebruiker geldt als vangnetbepaling waarop kan worden teruggevallen als geen van de andere genoemde gronden van toepassing zijn. De wetgever heeft aangegeven dat voor het gebruik van tracking cookies in het kader van behavourial advertising, ondubbelzinnige toestemming nodig is van de gebruiker (tenzij kan worden bewezen dat geen persoonsgegevens worden verwerkt in welk geval kan worden volstaan met ‘gewone’ geïnformeerde toestemming).

Cookies en kinderen

Als vuistregel geldt dat cookies die gericht zijn op kinderen (minderjarigen) in het kader van behavourial advertising zijn niet toegestaan vanwege het praktisch niet uitvoerbaar vereiste dat de wettelijke vertegenwoordiger (ouder) voorafgaande toestemming moet geven.

Niet alleen cookies

De cookie wetgeving geldt niet alleen voor cookies maar ook voor vergelijkbare technieken zoals java-scripts, webtaps of andersoortige code die gebruikt wordt om (al dan niet geanonimiseerde) gebruikersgegevens (al dan niet tijdelijk) op te slaan en uit te lezen.

Praktisch invullen van het toestemmingsvereiste

Zowel gewone als ondubbelzinnige toestemming dient per gebruiker op individuele basis te worden gegeven en dient zowel toe te zien op het plaatsen van de cookie als het uitlezen van de hierdoor verkregen informatie. Het is hierbij toegestaan dat de toestemming collectief door plaatsers/lezers voor meerdere sites tegelijk wordt gevraagd. Eveneens wordt de ruimte gelaten om de toestemming voor een langere (afgebakende) periode te laten geven als ook voor herhaalde toepassing. De toestemming moet wel van elke individuele gebruiker worden verkregen. Ook moet de gebruiker de mogelijkheid worden geboden om de gegeven toestemming in te trekken en dient hiernaar vervolgens te worden gehandeld. Met een derde partij (adverteerder, ad netwerk e.d.) kunnen afspraken worden gemaakt om de informatie gezamenlijk duidelijk zichtbaar op de website weer te geven en de toestemming te vragen. Indien toestemming is verkregen voor het plaatsen van een cookie, ziet deze toestemming niet toe op (nieuwe) doeleinden die na het verkrijgen van de toestemming pas zijn gecommuniceerd. Voor nieuwe doeleinden, dient nieuwe toestemming te worden verkregen. De uitgever van de website geldt als aanspreekpunt en dient zorg te dragen dat de gebruiker goed wordt geïnformeerd over op zijn site (al dan niet door derden) geplaatste cookies. Ondubbelzinnige toestemming kan door een muisklik worden gegeven. Te denken valt aan een banner of een icoontje op de website met een link naar verdere informatie, gecombineerd met vinkje (ja, ik accepteer/nee, ik accepteer niet) om aan toestemmingsvereiste te voldoen. Toestemming kan niet worden verkregen door alleen een zin in de algemene voorwaarden of privacy statement ‘te verstoppen’ waarin de gebruiker door gebruik te maken van de site haar toestemming geeft. De informatie over cookies moet ‘highly visible en easily accessible’ zijn. De huidige browserinstellingen waarbij default cookies worden geaccepteerd zijn eveneens niet toereikend. De verwachting is dat ergens dit jaar browsers op de markt zullen komen die tegemoet komen aan de vereisten van de cookiewet. Het is echter aan te raden hier niet op te wachten maar alvast andere (tussen)maatregelen te treffen.

Toezicht

De toezichthouders (OPTA en het CBP) hebben aangegeven aan te vangen met handhaven en niet te wachten tot januari 2013. De OPTA kan boetes opleggen tot € 450.000,– per overtreding, het CBP kan boetes opleggen tot 4500,– per overtreding. Naar verwachting zal de bevoegdheid van het CPB om boetes op te leggen worden uitgebreid. Naast boetes kunnen de toezichthouders een last onder dwangsom opleggen of volstaan met het geven van een waarschuwing. De toezichthouders kunnen zowel op basis van eigen onderzoek optreden als op basis van klachten uit de markt.

Voor meer informatie of een praktisch juridisch advies over dit onderwerp of andere privacy onderwerpen, kunt u contact opnemen met Irvette Tempelman per email: i.m.tempelman@cslaw.nl ; telefonisch: 023-534 01 00