Lex Bruinhof, 6 juni 2012

Cookie aanbieden? Eerst netjes vragen!

Gisteren zijn enkele nieuwe bepalingen in de Telecommunicatiewet in werking getreden die betrekking hebben op cookies, de kleine tekstbestanden die op een computer kunnen worden achtergelaten als een website wordt bezocht. Tot nu toe ging dat vrijwel ongemerkt, maar als gevolg van de nieuwe regels zal daar voortaan expliciet toestemming voor moeten worden gevraagd. Niet alleen voor cookies, trouwens. Ook Java-script applicaties en andere bestanden die worden geplaatst vallen onder de regels. Iedereen die een website exploiteert doet er daarom verstandig aan toch even van de nieuwe regels kennis te nemen.

Voor de juridische leek is dat nog niet zo eenvoudig. De regels zijn vervat in het nieuwe artikel 11.7a van de Telecommunicatiewet en dat artikel leest niet zo lekker weg. Dat komt vooral door het gebruik van termen die zijn overgenomen uit de geïmplementeerde ePrivacy richtlijn (waarover ik in 2009 al blogde). Dat zijn termen als “randapparatuur van de gebruiker” (meestal gewoon de computer of mobiele telefoon) en “diensten van de informatiemaatschappij” (meestal: het aanbieden van een website c.a.). Als die hobbels eenmaal zijn genomen wordt de tekst echter al duidelijker.

De op dit moment belangrijkste verplichtingen uit de nieuwe regels zijn het informatie- en toestemmingsvereiste. Wie cookies aanbiedt moet vanaf gisteren vertellen wie hij is, dat hij cookies plaatst en uitleest en waarom hij dat doet. Vervolgens moet hij de bezoeker vragen of deze dat goed vindt. Pas na de aldus verkregen toestemming mag een cookie worden geplaatst. Eenmaal gegeven toestemming blijft wel van kracht; de vraag hoeft bij herhaald bezoek niet opnieuw gesteld te worden, tenzij het cookie een andere functie heeft gekregen.

Eén categorie cookies is van deze regels uitgezonderd. Dat zijn de cookies die noodzakelijk zijn om de communicatie tot stand te brengen of de betreffende dienst te verrichten. Die noodzaak wordt beoordeeld vanuit de bezoeker, niet vanuit de aanbieder van het cookie. Bij deze categorie moet gedacht worden aan cookies ten behoeve van taalkeuze, voor het onthouden van in een winkelmandje geplaatste producten of het “ik-wil-ingelogd-blijven”-cookie. Cookies met een technische functie, derhalve.

Een manier om aan de wet te voldoen is het doen verschijnen van een pop-up venster of overlay over de homepagina, waarin de verplichte informatie wordt gegeven en de toestemming wordt gevraagd. Dat laatste kan in de vorm van een aanvink-boxje, waarvan het resultaat (indien positief) in een cookie wordt bewaard. Nadat de keuze is gemaakt wordt de bezoeker naar de normale website geleid en krijgt daar volgens zijn keuze wél of geen cookies. Komt een gebruiker die geen cookies wilde terug op de site, dan krijgt hij eerst weer het keuzescherm in beeld. Overigens moet ook altijd de mogelijkheid geboden worden de keuze weer te veranderen. De manier waarop kan bijvoorbeeld in de privacy-statement worden weergegeven.

Kan dat nou niet makkelijker? Ja. De wetgever had er ook voor kunnen kiezen de in de webbrowser opgenomen keuze voor cookie-acceptatie leidend te laten zijn. Onze wetgever wenste echter Roomser te zijn dan de paus (of beter: Brusselser dan de EU-voorzitter) en heeft een expliciet toestemmingsvereiste per site in de wet opgenomen. Dat hoefde vermoedelijk helemaal niet van Europa, maar men heeft het toch gedaan. De gedachte daarbij was dat cookie-acceptatie in browsers standaard op “ja” staat, zodat de meeste gebruikers geen bewuste eigen keuze maken. Daar zit iets in.

Volgend jaar worden de regels nog wat zwaarder. Op 1 januari zal het amendement Van Bommel in werking treden, dat vooral gericht is op zogenaamde tracking cookies. Dat zijn cookies die gegevens over het surfgedrag van de ontvanger verzamelen “voor commerciële, charitatieve, of ideële doelstellingen”. Dat wordt vanaf die datum expliciet beschouwd als “verwerking van persoonsgegevens” in de zin van de WBP, met alle gevolgen van dien. Rond de inwerkingtreding van die regel komen we daar uiteraard nog op terug.

En het toezicht? Dat is in handen van de OPTA, de vaste toezichthouder in het kader van de Telecoomunicatiewet. De OPTA heeft aangegeven onmiddellijk met handhaving te zullen beginnen, maar wel met focus op sites waar de consumentenbelangen het meest in het geding zijn. Er zal worden opgetreden als informatie wordt geplaatst, waarbij op geen enkele wijze om voorafgaande toestemming is gevraagd. Tot op heden lijkt de markt zich daar echter niet erg druk om te maken.

Toch worden cookies meer gebruikt dan u denkt. Denk niet te snel dat uw site buiten de regels valt. Misschien plaatst u zelf niets, maar gebruikt u bijvoorbeeld Google Analytics om het sitebezoek te monitoren. Ook in dat geval zijn de regels formeel al van toepassing; de wet maakt namelijk geen onderscheid tussen “first party“en “third party” cookies. Ik verwacht overigens niet dat analytisch gebruik op korte termijn een speerpunt voor de OPTA zal vormen. Omdat het bij Google Analytics ook om tracking cookies gaat kan dat na 1 januari echter anders worden. Ook komt het CBP dan in het vizier.

Wij houden de vinger aan de pols.

Vragen?