Informatieblad ’toestemmingsplicht bij gebruik Cookies’

 in IT-recht

Eind mei 2012 is artikel 11.7a Telecommunicatiewet in werking getreden, ook wel de ‘cookiewet’ genoemd. In dit informatieblad wordt ingegaan op de toestemmingsplicht voor het gebruik (plaatsen /uitlezen) van cookies (en hiermee vergelijkbare technieken).

Toestemmingsplicht cookies

Voor cookies die noodzakelijk zijn voor het goed kunnen functioneren van de door de gebruiker bezochte website/aangeboden webdienst dan wel inherent zijn aan de toegepaste communicatietechniek (de zogenaamde functionele cookies), geldt geen toestemmingsvereiste op basis van de (gewijzigde)Telecommunicatiewet.

Cookies die door de uitgever van een website worden gebruikt maar die niet onder de categorie functionele cookies vallen (hierbij kan gedacht worden aan cookies die herkenning bij een volgend bezoek aan de website mogelijk maken of cookies die het mogelijk maken om gebruikers te tonen wat andere gebruikers hebben besteld) en cookies die door derden op de website worden geplaatst (zoals third party tracking cookies) zijn in meer of mindere mate aan toestemming onderhevig.

Er zijn twee soorten toestemming te onderscheiden:

(a) ‘gewone’ toestemming;

(b) Ondubbelzinnige toestemming.

Ad a. Onder gewone toestemming wordt verstaan: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat de hem betreffende persoonsgegevens worden verwerkt. De toestemming dient dus te geschieden uit vrije wil, te worden gegeven voor een specifiek doel en de betrokkene dient bovendien goed geïnformeerd te zijn. Hetgeen overigens niet betekent dat een webuitgever verplicht is zijn website zo te bouwen dat ondanks het onthouden van de toestemming, de website op alle onderdelen goed functioneert.

‘Normale’ toestemming kan blijken uit zowel schrift of gedrag en dient te zijn gegeven uit vrije wil en op zodanige informatie te berusten dat voor de gebruiker duidelijk is voor welk specifiek doel, voor hoe lang en wat de consequenties hiervan zijn.

Om te kunnen spreken van een goed geïnformeerde gebruiker, is het raadzaam de gebruiker te informeren over (a) de identiteit van de plaatser/lezer van de cookie(s); (b) over de doelen waarvoor de cookie wordt geplaatst/uitgelezen (zoals ‘het maken van een profiel om gerichte reclame te bieden’); (c) welke gegevens worden opgeslagen; (d) van welke websites informatie op deze wijze wordt verzameld; (e) gebruiksperiode; (f) met wie informatie wordt gedeeld.

Ad b. Onder ondubbelzinnige toestemming wordt verstaan: de vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat de hem betreffende persoonsgegevens worden verwerkt, waarbij iedere twijfel is uitgesloten dat de betrokkene zijn wil heeft geuit. Ondubbelzinnige toestemming is vereist als persoonsgegevens worden verwerkt en geen andere verwerkingsgrond van de Wet bescherming persoonsgegevens (artikel 8 Wbp) van toepassing is. In de WBP is een limitatieve opsomming opgenomen van mogelijke verwerkingsgronden.Naast ondubbelzinnige toestemming kent de WBP de volgende verwerkingsgronden: (a) noodzakelijk om te voldoen aan contractuele verplichtingen of voor het op verzoek nemen van (pre)contractuele maatregelen noodzakelijk voor het sluiten van de overeenkomst; (b) noodzakelijk om aan wettelijke verplichting te voldoen; (c) noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene/gebruiker; (d) noodzakelijk voor goede vervulling van een publiekrechtelijke taak; en (e) noodzakelijk ter behartiging van een gerechtvaardigd belang van de plaatser/uitlezer of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of fundamentele rechten en vrijheden van de betrokkene/gebruiker prevaleert.

Rechtsvermoeden persoonsgegevens

Wanneer een cookie wordt gebruikt om het surfgedrag op meerdere sites te volgen, wordt er vanuit gegaan (het zogenaamde rechtsvermoeden dat persoonsgegevens worden verwerkt) dat hierbij persoonsgegevens worden verwerkt en dient te worden voldaan aan de Wet bescherming persoonsgegevens (WBP), tenzij de cookie-plaatser/lezer aantoont dat er geen gebruik wordt gemaakt van persoonsgegevens. Dit kan inhouden dat ondubbelzinnige toestemming van de gebruiker nodig is. Het verkrijgen van ondubbelzinnige toestemming van de gebruiker geldt als vangnetbepaling waarop kan worden teruggevallen als geen van de andere genoemde gronden van toepassing zijn. De wetgever heeft aangegeven dat voor het gebruik van tracking cookies in het kader van behavourial advertising, ondubbelzinnige toestemming nodig is van de gebruiker (tenzij kan worden bewezen dat geen persoonsgegevens worden verwerkt in welk geval kan worden volstaan met ‘gewone’ geïnformeerde toestemming).

Cookies en kinderen

Als vuistregel geldt dat cookies die gericht zijn op kinderen (minderjarigen) in het kader van behavourial advertising zijn niet toegestaan vanwege het praktisch niet uitvoerbaar vereiste dat de wettelijke vertegenwoordiger (ouder) voorafgaande toestemming moet geven.

Niet alleen cookies

De cookie wetgeving geldt niet alleen voor cookies maar ook voor vergelijkbare technieken zoals java-scripts, webtaps of andersoortige code die gebruikt wordt om (al dan niet geanonimiseerde) gebruikersgegevens (al dan niet tijdelijk) op te slaan en uit te lezen.

Praktisch invullen van het toestemmingsvereiste

Zowel gewone als ondubbelzinnige toestemming dient per gebruiker op individuele basis te worden gegeven en dient zowel toe te zien op het plaatsen van de cookie als het uitlezen van de hierdoor verkregen informatie. Het is hierbij toegestaan dat de toestemming collectief door plaatsers/lezers voor meerdere sites tegelijk wordt gevraagd. Eveneens wordt de ruimte gelaten om de toestemming voor een langere (afgebakende) periode te laten geven als ook voor herhaalde toepassing. De toestemming moet wel van elke individuele gebruiker worden verkregen. Ook moet de gebruiker de mogelijkheid worden geboden om de gegeven toestemming in te trekken en dient hiernaar vervolgens te worden gehandeld. Met een derde partij (adverteerder, ad netwerk e.d.) kunnen afspraken worden gemaakt om de informatie gezamenlijk duidelijk zichtbaar op de website weer te geven en de toestemming te vragen. Indien toestemming is verkregen voor het plaatsen van een cookie, ziet deze toestemming niet toe op (nieuwe) doeleinden die na het verkrijgen van de toestemming pas zijn gecommuniceerd. Voor nieuwe doeleinden, dient nieuwe toestemming te worden verkregen. De uitgever van de website geldt als aanspreekpunt en dient zorg te dragen dat de gebruiker goed wordt geïnformeerd over op zijn site (al dan niet door derden) geplaatste cookies. Ondubbelzinnige toestemming kan door een muisklik worden gegeven. Te denken valt aan een banner of een icoontje op de website met een link naar verdere informatie, gecombineerd met vinkje (ja, ik accepteer/nee, ik accepteer niet) om aan toestemmingsvereiste te voldoen. Toestemming kan niet worden verkregen door alleen een zin in de algemene voorwaarden of privacy statement ‘te verstoppen’ waarin de gebruiker door gebruik te maken van de site haar toestemming geeft. De informatie over cookies moet ‘highly visible en easily accessible’ zijn. De huidige browserinstellingen waarbij default cookies worden geaccepteerd zijn eveneens niet toereikend. De verwachting is dat ergens dit jaar browsers op de markt zullen komen die tegemoet komen aan de vereisten van de cookiewet. Het is echter aan te raden hier niet op te wachten maar alvast andere (tussen)maatregelen te treffen.

Toezicht

De toezichthouders (OPTA en het CBP) hebben aangegeven aan te vangen met handhaven en niet te wachten tot januari 2013. De OPTA kan boetes opleggen tot € 450.000,– per overtreding, het CBP kan boetes opleggen tot 4500,– per overtreding. Naar verwachting zal de bevoegdheid van het CPB om boetes op te leggen worden uitgebreid. Naast boetes kunnen de toezichthouders een last onder dwangsom opleggen of volstaan met het geven van een waarschuwing. De toezichthouders kunnen zowel op basis van eigen onderzoek optreden als op basis van klachten uit de markt.

Voor meer informatie of een praktisch juridisch advies over dit onderwerp of andere privacy onderwerpen, kunt u contact opnemen met Irvette Tempelman per email: i.m.tempelman@cslaw.nl ; telefonisch: 023-534 01 00

Recente berichten
  • 16 mei 2022

    AP voert cumulatieve boetebevoegdheid maximaal door

    Sil Kingma
    Het is voor het eerst de geschiedenis dat de Autoriteit Persoonsgegevens in een besluit een zestal overtredingen van de AVG constateert. Alle overtredingen hebben betrekking op het gebruik en de beveiliging door de Belastingdienst van haar applicatie Fraude Signalering Voorziening (FSV). FSV was een applicatie waarin signalen werden opgenomen over vastgestelde fraude en signalen die konden wijzen
    Lees verder
  • 15 maart 2022

    (IT) detacheerders wees scherp op het relatie- en concurrentiebeding!

    Marion Hagenaars
    Werknemers die uit dienst treden om aansluitend (dezelfde) werkzaamheden te gaan verrichten voor de opdrachtgever waar ze eerder gedetacheerd waren. Een ongewenst scenario dat vaak voorkomt. Door het belemmeringsverbod kan de werkgever geen beroep doen op een concurrentie- en relatiebeding. Als deze bedingen ook nog eens niet juist zijn opgesteld – omdat ze geen rekening
    Lees verder
  • 1 februari 2022

    Ongewenst gedrag op de werkvloer – regels en consequent beleid

    Marion Hagenaars
    Door The Voice moest ik weer even terugdenken aan de voorbeelden in mijn eigen praktijk. De afgelopen jaren heb ik van alles voorbij zien komen: van seksueel getinte en discriminerende “grappen” in App-groepen tot porno kijkende collega’s een bureau verder en aanvankelijk gewenste relaties op het werk die volledig escaleren. De impact is vaak groot
    Lees verder

Plaats een reactie

Top