De nieuwe cookieregels: beslis wat u moet doen!

Sinds de cookiewet in juni 2012 in werking is getreden moet u in een groot aantal gevallen voorlichten over de cookies die uw website plaatst op zijn of haar computer, tablet of smartphone en daarvoor toestemming  vragen. 

In 2015 zijn de strenge Nederlandse regels iets versoepeld. Met deze cookie ‘beslisboom’ helpt Thuiswinkel.org u graag verder met het naleven van de cookiewet op een begrijpelijke, juridisch juiste en klantvriendelijke wijze.
Veel succes!

Cookies in alle soorten en maten

De wetgeving is van toepassing op cookies. Zoals u waarschijnlijk weet bestaan er cookies in alle soorten en maten. Daarnaast is dezelfde wet ook van toepassing op andere vormen van het plaatsen en uitlezen van informatie op de computer van de gebruiker. Denk hierbij aan device fingerprinting , java-scripts, webtaps, spionagesoftware, dialerprogramma’s, inbelprogrammas’s, etc. Als we het in deze beslisboom over cookies hebben, dan bedoelen we ook dat soort gegevens.

De cookiewet is van toepassing op het plaatsen van cookies, maar ook op het uitlezen  van gegevens. Daarmee wordt het plaatsen en uitlezen van cookies en gegevens op computers bedoeld, maar ook op allerlei andere (rand)apparatuur van de gebruiker die met internet is verbonden, zoals smartphones (apps), internet-TV’s, printers, camera’s en dergelijke.

Welke cookies gebruikt u?

Voordat u deze beslisboom invult, raden wij u aan om voor uzelf inzichtelijk te maken welke cookies of andere vormen van plaatsen of uitlezen van informatie uw website op dit moment gebruikt, en voor welke doeleinden.

 

Wat moet u doen?

Voordat u cookies plaatst en/of daarmee gegevens uitleest is het belangrijk dat u:

  1. de gebruiker van uw website informeert over de cookies die uw website plaatst op zijn of haar computer en/of daarvan uitleest; én

  2. van de gebruiker daarvoor toestemming  hebt verkregen: dus voordat u de cookies plaatst!

Hieronder wordt uitgebreid wat deze informatieplicht en toestemming inhouden.

Informatieplicht

U bent verplicht de gebruiker vooraf (!) te informeren over de cookies die uw website plaatst op zijn of haar computer en/of daarvan uitleest. De wet eist dat de informatie voldoet aan de eisen die de Wet Bescherming Persoonsgegevens daaraan stelt. Het is dus belangrijk dat de consument weet welke functie/doel de cookies hebben. De gebruiker moet kunnen begrijpen welke risico’s er aan het accepteren van cookies kunnen zijn verbonden. Ook dient u informatie te verschaffen over de periode dat de cookie actief blijft. Voorts is het zinvol om te melden welke cookies van uzelf zijn (first-party cookies) en welke via uw website eventueel door andere partijen worden geplaatst (third party cookies). De informatie moet goed vindbaar, duidelijk en begrijpelijk zijn. Een enkele link vanaf uw website naar een algemeen privacystatement is daarom onvoldoende.

Toestemming

Naast het geven van informatie over de cookies bent u verplicht om de gebruiker om toestemming  te vragen vóórdat u cookies plaatst op of uitleest van zijn of haar computer. Toestemming moet vrij zijn, specifiek en op informatie berusten. U hoeft niet voor iedere cookie afzonderlijk toestemming te vragen; dat kan in één keer gebeuren. Dit is echter ook een commerciële afweging. Soms kan het misschien juist wel verstandig zijn om afzonderlijke toestemming te vragen.

De wijze waarop (pop-up, browserinstelling, banner) u de toestemming verkrijgt is in principe vormvrij, maar de bewijslast dat u de toestemming verkregen heeft  ligt wel bij u. Dat betekent dat u de toestemming op een of andere wijze moet vastleggen. Momenteel wordt door het WorldWideWeb Consortium (W3C) gewerkt aan een uniforme standaard waarmee browsers dit kunnen doen, maar tot het zover is, ligt de verantwoordelijkheid dus bij u en dient u daarvoor een oplossing te vinden.

Toestemming kan te allen tijde door de gebruiker worden ingetrokken. Dit is bijvoorbeeld het geval als een gebruiker de cookies handmatig of met een cookieverwijderaar van zijn computer verwijdert. In dat geval moet u dus opnieuw toestemming vragen als u de cookies wilt terugplaatsen.

Uitzonderingen

  1. U hoeft de gebruiker niet te informeren of om toestemming te vragen als de cookies strikt noodzakelijk zijn voor de uitvoering van de overeenkomst (dienst of product) of nodig is voor de elektronische communicatie van een door de gebruiker gevraagde dienst.

  2. Ook geldt de toestemmings- en informatieplicht niet wanneer u cookies plaatst of uitleest om informatie te verkrijgen over de kwaliteit en effectiviteit van een geleverde dienst, mits dit geen of geringe gevolgen heeft voor de privacy van de betrokkene.

Profilering = ondubbelzinnige toestemming

Het is zeer essentieel om te weten of u door het plaatsen of uitlezen van cookies  het gedrag van de klant over meerdere websites volgt of in kaart brengt (profilering). In dat geval wordt aangenomen dat u door middel van het plaatsen en/of uitlezen van cookies ook persoonsgegevens verwerkt  (het wettelijk vermoeden). Naast de Telecomwet is dan ook de Wet Bescherming  Persoonsgegevens (WBP) van toepassing. De WBP eist, en dat is het het nadrukkelijke verschil met cookies waarbij persoonsgegevens geen rol spelen, dat de toestemming ‘ondubbelzinnig’  is verkregen; dat wil zeggen dat de toestemming op een ‘robuuste wijze’ tot stand moet komen. Denk daarbij aan expliciete  toestemming (bijv. door het aanklikken van een tickbox) of op een andere wijze waaruit de toestemming van de gebruiker kan worden afgeleid.

Verwerken van persoonsgegevens

In alle gevallen is de WBP zelfstandig naast de bepalingen van de Telecomwet van toepassing. U moet dus steeds nagaan of u door middel van het plaatsen of uitlezen van cookies  ook persoonsgegevens verwerkt, dat wil zeggen: gegevens die tot een geïdentificeerde of identificeerbare persoon herleidbaar zijn.

In een bepaald geval (wanneer u gebruik maakt van cookies die de internetgebruiker kunnen volgen over verschillende websites en deze gegevens analyseert of combineert) is er een wettelijk vermoeden van het verwerken van persoonsgegevens. Dit wettelijk vermoeden draait de bewijslast om. Dit betekent dat het in dit geval aan u is om te bewijzen dat u geen persoonsgegevens verwerkt wanneer het CBP u hierop aanspreekt. Is het wettelijk vermoeden niet van toepassing, dan ligt de bewijslast dat u wel persoonsgegevens verwerkt, bij de klant en het College Bescherming Persoonsgegevens (CBP).  Los van de vraag of het wettelijk vermoeden van toepassing is op uw cookiebeleid, moet u nagaan of u ook persoonsgegevens verwerkt en dus aan de WBP moet voldoen.

‘Best practices’

Wij zijn op zoek naar goede voorbeelden, ‘best practices’ om elkaar te inspireren. Een van de doelen van Thuiswinkel.org is om het vertrouwen in kopen op afstand te bevorderen. U kunt hieraan meehelpen door uw branchegenoten van kennis te voorzien. Zo maken we onze branche sterker!

Denk daarbij aan oplossingen voor de volgende vragen:
- Hoe kan ik mijn klanten op een zo goed mogelijke manier informeren?
- Hoe kan ik op een goede manier mijn klanten om toestemming vragen om cookies te plaatsen of persoonsgegevens te gebruiken?

Graag ontvangen wij uw 'best practices', u kunt deze naar elaineoldhoff@thuiswinkel.org sturen. Alvast bedankt!

* Aan het door ons gegeven advies kunt u geen rechten ontlenen. U blijft als eigenaar van een website te allen tijde zelf verantwoordelijk voor het naleven van de wet. Door middel van dit advies proberen wij u slechts zo goed mogelijk te informeren over de nieuwe cookiewet. Vraag bij twijfel advies aan een specialist op dit gebied. U kunt gebruik maken van de service 'cookiecare' die Thuiswinkel.org aanbiedt in samenwerking met ICTRecht. Geef u op voor cookiecare!