Advies 1 - Geen cookies

U plaatst geen bestanden/inhoud op de randapparatuur van consumenten en leest daarop ook geen gegevens uit. Voor u hebben de nieuwe cookieregels daarom geen gevolgen.

Mocht u plannen hebben om dit binnenkort wel te doen, dan  bevelen wij u aan om de regelgeving (link naar wetstekst) goed te lezen en deze beslisboom in te vullen voor het soort cookies dat u van plan bent te gaan gebruiken.

LET OP:

Wij willen benadrukken dat de cookieregels niet uitsluitend over cookies gaan, maar ook over het uitlezen van gegevens op de apparatuur van de consumenten. De regels hebben dus betrekking op  [informatie 15] fingerprinting, java-scripts, webtaps, spionagesoftware, dialerprogramma’s, inbelprogrammas’s, etc. Voorts gaat het niet alleen om computers, maar ook om andere apparatuur van de gebruiker, zoals smartphones (apps!), digitale camera’s, internet-TV’s, settop boxen, en andersoortige randapparatuur met de mogelijkheid tot opslag van informatie.

 

Advies 2 - Cookies voor afwikkeling overeenkomst

Uw website of elektronische dient plaatst op dit moment cookies of leest gegevens uit van gebruikers die strikt noodzakelijk zijn voor het aangaan of de afwikkeling van een overeenkomst met de klant.

Voorbeeld: een cookie die de inhoud van een winkelmandje bijhoudt of die nodig is voor de afwikkeling van de betaling.

Volgens de nieuwe cookieregels hoeft u voor het plaatsen van deze cookies geen toestemming te vragen en hoeft u hem hierover ook niet te informeren.

Wees alert!

Voor andere cookies moet u wellicht wel toestemming vragen en de gebruiker erover informeren. Als u (in de toekomst) dergelijke cookies wilt gaan gebruiken, vul dan (te zijner tijd) deze beslisboom nogmaals in, zodat u a) weet of het is toegestaan voor dit doel en b) weet hoe u dit moet aanpakken.

 

Advies 3 - Cookies noodzakelijk voor levering

Uw website of elektronische dienst plaatst cookies of leest gegevens uit ten behoeve van de levering van een door de gebruiker gevraagde dienst.

Voorbeelden: cookies die de door de gebruiker ingestelde voorkeuren met betrekking tot de inhoud van de website onthouden (bijv. het plaatselijke weerbericht), of cookies die de login gegevens van de gebruiker onthouden nadat de gebruiker dat heeft aangegeven.

Volgens de nieuwe cookieregels hoeft u voor het plaatsen van deze cookies geen toestemming te vragen en hoeft u hem hierover ook niet te informeren.

Wees alert!

Voor andere cookies moet u wellicht wel toestemming vragen en de gebruiker erover informeren. Als u (in de toekomst) dergelijke cookies wilt gaan gebruiken, vul dan (te zijner tijd) deze beslisboom nogmaals in, zodat u a) weet of het is toegestaan voor dit doel en b) weet hoe u dit moet aanpakken.

 

Advies 4 - Cookies voor elektronische communicatie

Uw website of elektronische dienst plaatst op dit moment cookies of leest gegevens uit van de klant met als doel communicatie over een elektronisch netwerk uit te voeren.

Voorbeeld: een cookie die onthoudt dat de gebruiker al is ingelogd.

Volgens de nieuwe cookieregels hoeft u voor het plaatsen van deze cookies geen toestemming te vragen en hoeft u hem hierover ook niet te informeren.

Wees alert!

Voor andere cookies moet u wellicht wel toestemming vragen en de gebruiker erover informeren. Als u (in de toekomst) dergelijke cookies wilt gaan gebruiken, vul dan (te zijner tijd) deze beslisboom nogmaals in, zodat u a) weet of het is toegestaan voor dit doel en b) weet hoe u dit moet aanpakken.

 

Advies 5 - Cookies zonder persoonsgegevens

Uw website of elektronische dienst plaatst op dit moment cookies of leest gegevens waarmee het gedrag van de consument uitsluitend op uw eigen website of elektronische dienst wordt gevolgd. Deze cookies bevatten echter geen persoonsgegevens  of hebben geen of geringe gevolgen voor de privacy van de klant.

Op dit soort cookies is een uitzondering van de Telecommunicatiewet van toepassing. Dit houdt in dat u:

  • de gebruiker niet hoeft te informeren over het plaatsen van de cookies of het lezen van de gegevens moet informeren, en
  • vóóraf geen toestemming  van de gebruiker nodig heeft.

U doet er voorts verstandig aan om voor de zekerheid na te gaan of u mogelijk toch persoonsgegevens verwerkt en of dus de Wet Bescherming Persoonsgegevens (WBP) van toepassing is. U moet de gebruiker altijd informeren over het verwerken van persoonsgegevens. Daarnaast moet u hem ook om zijn toestemming vragen wanneer het verwerken van deze persoonsgegevens niet valt onder één van de andere gerechtvaardigde gronden in de WBP. Kunt u echter (eenvoudig) vaststellen dat het hier niet om een verwerking van persoonsgegevens gaat, dan is de WBP ook niet van toepassing. Dat laat echter onverlet dat het College Bescherming Persoonsgegevens (CBP) of de gebruiker bewijs kan leveren van het tegendeel.

Advies 6 - Cookies op meerdere websites

U heeft meerdere websites of elektronische diensten die dezelfde cookies gebruiken of informatie uitlezen waarmee u het gedrag van de gebruiker over die websites of diensten kan volgen of u plaatst cookies via websites of elektronische diensten van derden ten einde het gedrag van de gebruiker te kunnen volgen (bijvoorbeeld door het plaatsen van een advertentie anders dan via een ad-network). Deze cookies bevatten echter geen persoonsgegevens en leiden ook anderszins niet tot een verwerking van persoonsgegevens.

Op dit soort cookies is de Telecommunicatiewet van toepassing. Dit houdt in dat u:

  • de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en
  • vóóraf toestemming moet hebben van de gebruiker.

Daarnaast is het wettelijk vermoeden van de Telecommunicatiewet dat u persoonsgegevens verwerkt van toepassing. U moet daarom ook aan de Wet Bescherming Persoonsgegevens voldoen, tenzij u kunt aantonen dat het hier niet om persoonsgegevens gaat.

Eisen Telecommunicatiewet

U moet:

  • de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en
  • vóóraf toestemming hebben van de gebruiker.

Informeren

De inhoud van de informatie moet voldoen aan de eisen van de Wet Bescherming Persoonsgegevens. Dit betekent dat de gebruiker moet kunnen begrijpen welke risico’s er aan het accepteren van cookies kunnen zijn verbonden. U moet de gebruiker daarom ten minste informeren over:

  • De identiteit van de organisatie die verantwoordelijk is voor het plaatsen en/of uitlezen van de cookies (uw bedrijf dus);
  • De functie van cookies, oftewel: waarom u de cookie wenst te plaatsen of uit te lezen (art. 11.7a lid 1 sub a Telecommunicatiewet);
  • Overige informatie waaruit blijkt dat u zorgvuldig omgaat met de cookies en de verkregen informatie, zoals bijvoorbeeld de periode gedurende welke de cookie actief blijft en de eventuele categorieën van personen/organisaties die toegang hebben tot die informatie of aan wie die informatie wordt verstrekt (bijvoorbeeld een webanalytics service).
  • Ten slotte is het zinvol om te melden welke cookies van u zelf zijn (first-party cookies) en welke via uw website eventueel door andere partijen worden geplaatst (third party cookies).

De informatie moet makkelijk vindbaar, duidelijk en begrijpelijk zijn. Een enkele link vanaf uw website naar een algemeen privacy statement is waarschijnlijk onvoldoende.

Toestemming vragen

Naast het geven van informatie over de cookies bent u verplicht om de gebruiker om diens toestemming te vragen alvorens u cookies plaatst op of uitleest van zijn of haar computer. Toestemming moet een vrije wilsuiting zijn en gebaseerd zijn op volledige informatie. Bovendien moet deze toestemming specifiek zijn, dat wil zeggen: het moet duidelijk zijn waarvoor de klant toestemming geeft en aan wie (met naam en toenaam).

U hoeft niet voor iedere cookie afzonderlijk toestemming te vragen; dat kan in één keer gebeuren. Ook hoeft u de toestemming niet elke keer te vragen als de gebruiker uw website bezoekt; één keer is genoeg. U kunt echter niet voor meerdere websites of diensten tegelijk toestemming vragen.

De wijze waarop u de toestemming verkrijgt is in beginsel vormvrij. Technisch gezien kunt u dit op verschillende manieren vormgeven. Zo kunt u bij het openen van de pagina een pop-up tonen waarmee om toestemming wordt gevraagd. Maar de bewijslast dat de toestemming bestaat, ligt bij u. Dat betekent dat u de toestemming op een of andere wijze moet vastleggen, bijvoorbeeld in uw database met gebruikersprofielen. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd!

Toestemming kan te allen tijde door de gebruiker worden ingetrokken. Dit is bijvoorbeeld het geval als een gebruiker de cookies handmatig of met een cookieverwijderaar van zijn computer verwijdert. In dat geval moet dus weer opnieuw toestemming worden verkregen alvorens de cookie op de computer terug te plaatsen.

Het wettelijk vermoeden: verwerking van persoonsgegevens

Omdat er in uw situatie volgens de Telecommunicatiewet een wettelijk vermoeden is dat er sprake is van een verwerking van persoonsgegevens, doet u er verstandig aan bewijs vast te leggen dat u geen persoonsgegevens verwerkt (bijvoorbeeld een advies ter zake van een advocaat). Als u namelijk niet kunt aantonen dat u door middel van de cookies geen persoonsgegevens verwerkt, heeft dat als consequentie dat OPTA en/of het College Bescherming Persoonsgegevens (CBP) er van zal uitgaan dat de Wet Bescherming Persoonsgegevens (WBP) van toepassing was op uw cookiebeleid, dus ook op het verkrijgen van toestemming voor het plaatsen en uitlezen van cookies.

Uiteraard bestaat er altijd de kans dat OPTA en/of het CBP uw bewijs niet accepteert en dat het wettelijk vermoeden dus in stand blijft. De WBP eist in dat geval dat de hierboven genoemde toestemming “ondubbelzinnig” moet zijn verkregen; dat wil zeggen dat de toestemming op een “robuuste wijze” tot stand moet komen, bijvoorbeeld door het aanklikken van een tickbox of op een andere wijze waaruit de toestemming van de gebruiker kan worden afgeleid. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd!

Voorts zou u in dat geval aan alle overige verplichtingen van de WBP moeten voldoen. Zo mag u onder meer de informatie niet langer bewaren dan noodzakelijk, u moet passende beschermingsmaatregelen treffen tegen verlies of onrechtmatige verwerking van de informatie en eventueel een melding doen bij het CBP. Voorts moet u in dat geval de toestemming van de ouder of voogd verkrijgen als u cookies zou willen plaatsen of uitlezen van een computer of smartphone van een kind jonger dan 16 jaar.

Let op: 

Als u het wettelijk vermoeden van de Telecommunicatiewet niet kunt weerleggen, overtreedt u zeer waarschijnlijk in dat geval ook de WBP omdat u in uw bedrijfsvoering waarschijnlijk geen maatregelen voor naleving van de WBP hebt getroffen. Dit kan leiden tot een last onder dwangsom van het CBP. Voorts zult u naar alle waarschijnlijkheid ook geen melding van een verwerking van persoonsgegevens bij het CBP hebben gedaan. In dat geval pleegde u tevens een strafbaar feit dat thans met maximaal 19.000 euro boete kan worden bestraft. Het is dus belangrijk dat u bewijs vastlegt dat het wettelijk vermoeden niet van toepassing is op uw situatie (bijvoorbeeld een advies ter zake van een advocaat).

 

Advies 7 - Cookies van derden

Uw website of elektronische dienst plaatst cookies van derden of derden kunnen informatie uitlezen van de gebruiker van uw website, waardoor (vermoedelijk) het gedrag van de consument over meerdere websites (niet alleen die van uzelf) kan worden gevolgd.

Uw website of dienst verwerkt zogeheten “third party cookies”. Op deze cookies is het wettelijk vermoeden van de Telecommunicatiewet dat persoonsgegevens worden verwerkt van toepassing. U hebt echter formeel met betrekking tot deze cookies geen verplichtingen; de informatieplicht en het toestemmingsvereiste rusten op de aanbieders/gebruikers van de cookies (de derden dus). Het is echter wel verstandig om in uw cookiebeleid hierover een informatieve passage op te nemen, bijvoorbeeld wie de partijen zijn die die cookies plaatsen en hoe de gebruiker die kan bereiken.

Advies 8 - Cookies via een dienst

Uw website of elektronische dienst plaatst cookies of leest gegevens uit waarmee het gedrag van de consument wordt gevolgd. De cookies worden geplaatst via uw eigen website of elektronische dienst dan wel – anders dan via een ad-network – via een website of elektronische dienst van derden (bijvoorbeeld via een advertentie). Deze cookies bevatten persoonsgegevens dan wel het plaatsen of uitlezen daarvan leidt anderszins tot verwerking van persoonsgegevens.

Op dit soort cookies is de Telecommunicatiewet van toepassing. Dit houdt in dat u:

  • de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en
  • vóóraf toestemming moet hebben van de gebruiker.

Voorts moet u aan alle eisen van de Wet Bescherming Persoonsgegevens voldoen.

Eisen Telecommunicatiewet

U moet:

  • de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en
  • vóóraf toestemming hebben van de gebruiker.

Informeren

De inhoud van de informatie moet voldoen aan de eisen van de Wet Bescherming Persoonsgegevens. Dit betekent dat de gebruiker moet kunnen begrijpen welke risico’s er aan het accepteren van cookies kunnen zijn verbonden. U moet de gebruiker daarom ten minste informeren over:

  • De identiteit van de organisatie die verantwoordelijk is voor het plaatsen en/of uitlezen van de cookies (uw bedrijf dus);
  • De functie van cookies, oftewel: waarom u de cookie wenst te plaatsen of uit te lezen (art. 11.7a lid 1 sub a Telecommunicatiewet);
  • Overige informatie waaruit blijkt dat u zorgvuldig omgaat met de cookies en de verkregen informatie, zoals bijvoorbeeld de periode gedurende welke de cookie actief blijft en de eventuele categorieën van personen/organisaties die toegang hebben tot die informatie of aan wie die informatie wordt verstrekt (bijvoorbeeld een webanalytics service).
  • Ten slotte is het zinvol om te melden welke cookies van u zelf zijn (first-party cookies) en welke via uw website eventueel door andere partijen worden geplaatst (third party cookies).

De informatie moet makkelijk vindbaar, duidelijk en begrijpelijk zijn. Een enkele link vanaf uw website naar een algemeen privacy statement is waarschijnlijk onvoldoende.

Toestemming vragen

Naast het geven van informatie over de cookies bent u verplicht om de gebruiker om diens toestemming te vragen alvorens u cookies plaatst op of uitleest van zijn of haar computer. Toestemming moet een vrije wilsuiting zijn en gebaseerd zijn op volledige informatie. Bovendien moet deze toestemming specifiek zijn, dat wil zeggen: het moet duidelijk zijn waarvoor de klant toestemming geeft en aan wie (met naam en toenaam).

U hoeft niet voor iedere cookie afzonderlijk toestemming te vragen; dat kan in één keer gebeuren. Ook hoeft u de toestemming niet elke keer te vragen als de gebruiker uw website bezoekt; één keer is genoeg. U kunt echter niet voor meerdere websites of diensten tegelijk toestemming vragen.

De wijze waarop u de toestemming verkrijgt is in beginsel vormvrij. Technisch gezien kunt u dit op verschillende manieren vormgeven. Zo kunt u bij het openen van de pagina een pop-up tonen waarmee om toestemming wordt gevraagd. Maar de bewijslast dat de toestemming bestaat, ligt bij u. Dat betekent dat u de toestemming op een of andere wijze moet vastleggen, bijvoorbeeld in uw database met gebruikersprofielen. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd!

Toestemming kan te allen tijde door de gebruiker worden ingetrokken. Dit is bijvoorbeeld het geval als een gebruiker de cookies handmatig of met een cookieverwijderaar van zijn computer verwijdert. In dat geval moet dus weer opnieuw toestemming worden verkregen alvorens de cookie op de computer terug te plaatsen.

Wet bescherming persoonsgegevens

U heeft vastgesteld dat u door het plaatsen van cookies of het uitlezen van informatie tevens persoonsgegevens verwerkt. Dat betekent dat ook de Wet Bescherming Persoonsgegevens (WBP) van toepassing is op uw situatie.

De WBP eist dat de hierboven genoemde toestemming “ondubbelzinnig” is verkregen; dat wil zeggen dat de toestemming op een “robuuste wijze” tot stand moet komen, bijvoorbeeld door het aanklikken van een tickbox of op een andere wijze waaruit de toestemming van de gebruiker kan worden afgeleid. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd!

Voorts moet u aan alle overige verplichtingen van de WBP voldoen. Zo mag u onder meer de informatie niet langer bewaren dan noodzakelijk, u moet passende beschermingsmaatregelen treffen tegen verlies of onrechtmatige verwerking van de informatie en eventueel een melding doen bij het College Bescherming Persoonsgegevens (CBP).

Let op: 

Als u in uw situatie artikel 11.7a van de Telecommunicatiewet niet naleeft, kan dit in theorie voor uw onderneming vérstrekkende gevolgen hebben. Niet alleen riskeert u een bestuurlijke boete van maximaal 450.000 euro van de OPTA, ook overtreedt u in dat geval de Wet Bescherming Persoonsgegevens. Dit kan leiden tot een last onder dwangsom van het CBP. Als u daarnaast ook geen melding van een verwerking van persoonsgegevens bij het CBP heeft gedaan, pleegt u tevens een strafbaar feit dat thans met maximaal 19.000 euro boete kan worden bestraft.

 

Advies 9 -  Cookies voor andere doeleinden zonder persoonsgegevens

Uw website of elektronische dienst plaatst cookies of leest gegevens uit voor andere dan de hiervoor doeleinden (dus niet het volgen van het gedrag van de klant, het aangaan of sluiten van een overeenkomst, het leveren van een door de consument gevraagde dienst of het mogelijk maken van de communicatie over het netwerk). Deze cookies bevatten echter geen persoonsgegevens en leiden ook niet anderszins tot de verwerking van persoonsgegevens.

Op dit soort cookies is de Telecommunicatiewet van toepassing. Dit houdt in dat u:

  • de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en
  • vóóraf toestemming moet hebben van de gebruiker.

Informeren

De inhoud van de informatie moet voldoen aan de eisen van de Wet Bescherming Persoonsgegevens. Dit betekent dat de gebruiker moet kunnen begrijpen welke risico’s er aan het accepteren van cookies kunnen zijn verbonden. U moet de gebruiker daarom ten minste informeren over:

  • De identiteit van de organisatie die verantwoordelijk is voor het plaatsen en/of uitlezen van de cookies (uw bedrijf dus);
  • De functie van cookies, oftewel: waarom u de cookie wenst te plaatsen of uit te lezen (art. 11.7a lid 1 sub a Telecommunicatiewet);
  • Overige informatie waaruit blijkt dat u zorgvuldig omgaat met de cookies en de verkregen informatie, zoals bijvoorbeeld de periode gedurende welke de cookie actief blijft en de eventuele categorieën van personen/organisaties die toegang hebben tot die informatie of aan wie die informatie wordt verstrekt (bijvoorbeeld een webanalytics service).
  • Ten slotte is het zinvol om te melden welke cookies van u zelf zijn (first-party cookies) en welke via uw website eventueel door andere partijen worden geplaatst (third party cookies).

De informatie moet makkelijk vindbaar, duidelijk en begrijpelijk zijn. Een enkele link vanaf uw n algemeen privacy statement is waarschijnlijk onvoldoende.

Toestemming vragen

Naast het geven van informatie over de cookies bent u verplicht om de gebruiker om diens toestemming te vragen alvorens u cookies plaatst op of uitleest van zijn of haar computer. Toestemming moet een vrije wilsuiting zijn en gebaseerd zijn op volledige informatie. Bovendien moet deze toestemming specifiek zijn, dat wil zeggen: het moet duidelijk zijn waarvoor de klant toestemming geeft en aan wie (met naam en toenaam).

U hoeft niet voor iedere cookie afzonderlijk toestemming te vragen; dat kan in één keer gebeuren. Ook hoeft u de toestemming niet elke keer te vragen als de gebruiker uw website bezoekt; één keer is genoeg. U kunt echter niet voor meerdere websites of diensten tegelijk toestemming vragen.

De wijze waarop u de toestemming verkrijgt is in beginsel vormvrij. Technisch gezien kunt u dit op verschillende manieren vormgeven. Zo kunt u bij het openen van de pagina een pop-up tonen waarmee om toestemming wordt gevraagd. Maar de bewijslast dat de toestemming bestaat, ligt bij u. Dat betekent dat u de toestemming op een of andere wijze moet vastleggen, bijvoorbeeld in uw database met gebruikersprofielen. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd!

Toestemming kan te allen tijde door de gebruiker worden ingetrokken. Dit is bijvoorbeeld het geval als een gebruiker de cookies handmatig of met een cookieverwijderaar van zijn computer verwijdert. In dat geval moet dus weer opnieuw toestemming worden verkregen alvorens de cookie op de computer terug te plaatsen.

U doet er voorts verstandig aan om voor de zekerheid na te gaan of u mogelijk toch persoonsgegevens [informatie 5] verwerkt en of dus de Wet Bescherming Persoonsgegevens (WBP) van toepassing is. Kunt u echter (eenvoudig) vaststellen dat het hier niet om een verwerking van persoonsgegevens gaat, dan is de WBP ook niet van toepassing. Dat laat onverlet dat het CBP of de gebruiker bewijs kan leveren van het tegendeel.

Advies 10 - Cookies met verwerking van persoonsgegevens

Uw website of elektronische dienst plaatst cookies of leest gegevens uit voor andere dan de hiervoor doeleinden (dus niet het volgen van het gedrag van de klant, het aangaan of sluiten van een overeenkomst, het leveren van een door de consument gevraagde dienst of het mogelijk maken van de communicatie over het netwerk). Deze cookies bevatten persoonsgegevens dan wel het plaatsen of uitlezen van deze cookies leidt anderszins tot de verwerking van persoonsgegevens.

Op dit soort cookies is de Telecommunicatiewet van toepassing. Dit houdt in dat u:

  • de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en
  • vóóraf toestemming moet hebben van de gebruiker.

Informeren

De inhoud van de informatie moet voldoen aan de eisen van de Wet Bescherming Persoonsgegevens. Dit betekent dat de gebruiker moet kunnen begrijpen welke risico’s er aan het accepteren van cookies kunnen zijn verbonden. U moet de gebruiker daarom ten minste informeren over:

  • De identiteit van de organisatie die verantwoordelijk is voor het plaatsen en/of uitlezen van de cookies (uw bedrijf dus);
  • De functie van cookies, oftewel: waarom u de cookie wenst te plaatsen of uit te lezen (art. 11.7a lid 1 sub a Telecommunicatiewet);
  • Overige informatie waaruit blijkt dat u zorgvuldig omgaat met de cookies en de verkregen informatie, zoals bijvoorbeeld de periode gedurende welke de cookie actief blijft en de eventuele categorieën van personen/organisaties die toegang hebben tot die informatie of aan wie die informatie wordt verstrekt (bijvoorbeeld een webanalytics service).
  • Ten slotte is het zinvol om te melden welke cookies van u zelf zijn (first-party cookies) en welke via uw website eventueel door andere partijen worden geplaatst (third party cookies).

De informatie moet makkelijk vindbaar, duidelijk en begrijpelijk zijn. Een enkele link vanaf uw website naar een algemeen privacy statement is waarschijnlijk onvoldoende.

Toestemming vragen

Naast het geven van informatie over de cookies bent u verplicht om de gebruiker om diens toestemming te vragen alvorens u cookies plaatst op of uitleest van zijn of haar computer. Toestemming moet een vrije wilsuiting zijn en gebaseerd zijn op volledige informatie. Bovendien moet deze toestemming specifiek zijn, dat wil zeggen: het moet duidelijk zijn waarvoor de klant toestemming geeft en aan wie (met naam en toenaam).

U hoeft niet voor iedere cookie afzonderlijk toestemming te vragen; dat kan in één keer gebeuren. Ook hoeft u de toestemming niet elke keer te vragen als de gebruiker uw website bezoekt; één keer is genoeg. U kunt echter niet voor meerdere websites of diensten tegelijk toestemming vragen.

De wijze waarop u de toestemming verkrijgt is in beginsel vormvrij. Technisch gezien kunt u dit op verschillende manieren vormgeven. Zo kunt u bij het openen van de pagina een pop-up tonen waarmee om toestemming wordt gevraagd. Maar de bewijslast dat de toestemming bestaat, ligt bij u. Dat betekent dat u de toestemming op een of andere wijze moet vastleggen, bijvoorbeeld in uw database met gebruikersprofielen. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd!

Toestemming kan te allen tijde door de gebruiker worden ingetrokken. Dit is bijvoorbeeld het geval als een gebruiker de cookies handmatig of met een cookieverwijderaar van zijn computer verwijdert. In dat geval moet dus weer opnieuw toestemming worden verkregen alvorens de cookie op de computer terug te plaatsen.

Wet Bescherming Persoonsgegevens

U heeft vastgesteld dat de u door middel van het plaatsen van cookies of het uitlezen van informatie van de computer van de gebruiker tevens persoonsgegevens verwerkt. Dat betekent dat ook de Wet Bescherming Persoonsgegevens (WBP) van toepassing is op uw situatie.

De WBP eist dat de hierboven genoemde toestemming “ondubbelzinnig” is verkregen; dat wil zeggen dat de toestemming op een “robuuste wijze” tot stand moet komen, bijvoorbeeld door het aanklikken van een tickbox of op een andere wijze waaruit de toestemming van de gebruiker kan worden afgeleid. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd!

Voorts moet u aan alle overige verplichtingen van de WBP voldoen. Zo mag u onder meer de informatie niet langer bewaren dan noodzakelijk, u moet passende beschermingsmaatregelen treffen tegen verlies of onrechtmatige verwerking van de informatie en eventueel een melding doen bij het College Bescherming Persoonsgegevens (CBP). Voorts moet u in dat geval de toestemming van de ouder of voogd verkrijgen als u cookies zou willen plaatsen of uitlezen van een computer of smartphone van een kind jonger dan 16 jaar.

Let op: 

Als u in uw situatie artikel 11.7a van de Telecommunicatiewet niet naleeft, kan dit in theorie voor uw onderneming vérstrekkende gevolgen hebben. Niet alleen riskeert u een bestuurlijke boete van maximaal 450.000 euro van de OPTA, ook overtreedt u in dat geval de Wet Bescherming Persoonsgegevens. Dit kan leiden tot een last onder dwangsom van het CBP. Als u daarnaast ook geen melding van een verwerking van persoonsgegevens bij het CBP heeft gedaan, pleegt u tevens een strafbaar feit dat thans met maximaal 19.000 euro boete kan worden bestraft.

 

* Aan het door ons gegeven advies kunt u geen rechten ontlenen. U blijft als eigenaar van een website te allen tijde zelf verantwoordelijk voor het naleven van de wet. Door middel van dit advies proberen wij u slechts zo goed mogelijk te informeren over de nieuwe cookiewet. Vraag bij twijfel advies aan een specialist op dit gebied.