SlideShare a Scribd company logo

the valley whitepaper cookieverbod

The Valley
The Valley

Vanaf 5 juni dient iedere website die bezoekersgedrag meet en gegevens daarover vastlegt in bijvoorbeeld cookies (en dat zijn vrijwel alle websites) zich te houden aan de nieuwe cookiewetgeving. Omdat er bij veel mensen onduidelijkheid is wat de wet nu precies inhoudt en hoe je er als bedrijf mee om moet gaan, hebben wij voor onze klanten en geinteresseerden een whitepaper geschreven waarin we de regeles, de context en de mogelijkheden om je te prepareren eenvoudig zijn uitgelegd door onze legal counsel. Voor specifieke vragen staan wij natuurlijk klaar om te helpen, vanzelfsprekend! Vragen? Mail: mariella@thevalley.nl

1 of 10
Download to read offline
Cookieverbod Wat betekent de nieuwe cookiewetgeving voor jou?
Inleiding Onlangs heeft de Eerste Kamer de nieuwe Telecommunicatiewet aangenomen. Deze is al regelmatig in het nieuws geweest omtrent de ‘netneutraliteit’ die erin vastgelegd is. Een ander ingrijpend onderdeel van de nieuwe wet is daardoor wat ondergesneeuwd, maar niet minder belangrijk: er zijn strikte regels voor het gebruik en plaatsen van ‘cookies’. De nieuwe wet zou op 1 juli 2012 in werking treden, uitgezonderd het gedeelte over tracking cookies (zie verderop). Dat zou pas per 1 januari 2013 in werking treden. Omdat Nederland echter te laat was met de invoering van de nieuwe wet, dreigde de Europese Commissie met een boete, als gevolg waarvan de wet vervroegd per 5 juni 2012 in werking is getreden. Het gedeelte over tracking cookies zal nog steeds per 1 januari 2013 in werking treden. Omdat de nieuwe regels voor cookies op vrijwel alle (commerciële) websites van toepassing zijn, worden hier de belangrijkste punten onder elkaar gezet. Deze whitepaper is mede tot stand gekomen dankzij ABC legal. Minke Feenstra legal counsel the valley, juni 2012
Achtergrond van de nieuwe wet De nieuwe Telecommunicatiewet (‘de wet’) is het gevolg van Europese regelgeving en had eigenlijk vorig jaar al ingevoerd moeten zijn. Doelstelling van de wet is met name bescherming van de online eindgebruiker (privacy en veiligheid). De regeling omtrent cookies is vastgelegd in het nieuwe artikel 11.7a van de wet. Juridisch-technisch valt er een en ander af te dingen op de wet, maar die discussie wordt hier achterwege gelaten. Het woord ‘cookie(s)’ komt in de wet zelf niet voor, daar wordt gesproken van ‘gegevens die zijn opgeslagen in randapparatuur van de gebruiker1. Strikt genomen strekt de wet zich dus verder uit dan alleen tot cookies, maar voor het gemak wordt die term hier verder aangehouden. Voor wie is de wetswijziging relevant? De nieuwe wet is van invloed op alle websites die gebruik maken van cookies. Verder kan de nieuwe wet van invloed zijn op alle (online) adverteerders, publishers, affiliatenetwerken (en dus ook affiliates), mediabureaus, advertentietussenpersonen, websitebouwers, designers en niet te vergeten de bezoekers van websites. De nieuwe hoofdregels voor cookies Vanaf 5 juni 2012 moeten bezoekers van websites vooraf hun toestemming geven voor: 1. het plaatsen van elke cookie; en/of 2. het uitlezen van cookies (door websites). Bij de verkrijging van die toestemming moet de bezoeker van de website: 1. duidelijk en volledig zijn geïnformeerd over de doeleinden waarvoor de website toegang wil verkrijgen tot reeds bestaande cookies; en/of 2. duidelijk en volledig zijn geïnformeerd over de doeleinden waarvoor de website cookies wil plaatsen. Bovenstaande kan dus worden samengevat in twee woorden: informatieplicht en toestemmingsplicht. De websitebezoeker kan zijn toestemming op elk moment ook weer intrekken. 1 Daaronder vallen volgens de Memorie van Toelichting bijvoorbeeld ook jpeg- en javascriptbestanden, flashcookies, webtaps, spionagesoftware en dialerprogramma’s.
Inhoud van de informatieplicht2 Indien het gaat om ‘persoonsgegevens’ (dit begrip wordt hieronder uitgelegd) moet een websitebezoeker onder meer geïnformeerd worden over de identiteit van de verantwoordelijke (ook dit begrip wordt hieronder uitgelegd) en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd. Daarnaast moet de verantwoordelijke nadere informatie verstrekken voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover betrokkenen een behoorlijke en zorgvuldige verwerking te waarborgen (artikel 33 Wet bescherming persoonsgegevens, de ‘Wbp’). Indien het gaat om andere gegevens dan persoonsgegevens dan moet in ieder geval informatie verstrekt worden omtrent de doeleinden waarvoor de gegevens worden verstrekt. Denk daarbij onder andere aan: wat is een cookie, wat wordt ermee gedaan, wat kan een cookie, wat staat er in een cookie, hoe lang blijft de cookie actief, welke gegevens over de gebruiker kan een cookie prijsgeven? Bovendien moet gemeld worden dat een toestemming ook altijd weer ingetrokken kan worden (en op welke wijze). Extra strenge regels Voor cookies die persoonsgegevens verwerken, gelden strengere regels. Op deze cookies is namelijk (naast de nieuwe Telecommunicatiewet) ook de Wbp van toepassing3. Alle gegevens waarmee iemand geïdentificeerd kan worden zijn persoonsgegevens, denk bijvoorbeeld aan namen, adressen, foto’s, e-mailadressen en IP-adressen (hoewel over die laatste twee discussie bestaat). Onder ‘verwerken’ van persoonsgegevens wordt volgens de Wbp onder meer verstaan: verzamelen, vastleggen, bewaren, bijwerken, opvragen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De Wbp eist bij cookies die persoonsgegevens verwerken dat er vooraf ‘ondubbelzinnige toestemming’ voor de verwerking gevraagd en verleend is. Om het nog ingewikkelder te maken: de Wbp kent naast deze ondubbelzinnige toestemming nog vijf andere grondslagen voor de verwerking van persoonsgegevens. Daarvan zijn hier vooral de volgende van belang: a. de persoonsgegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst, of de voorbereiding daarvan op verzoek van de betrokkene; b. de persoonsgegevensverwerking is noodzakelijk voor de verantwoordelijke om een wettelijke verplichting na te komen; 2 Memorie van Toelichting, p. 79-80. 3 De Wbp was overigens al van toepassing op deze cookies. Dat de nieuwe wet de Wbp van toepassing heeft verklaard is daarom eigenlijk van geen betekenis, maar een aantal politieke partijen wilde dit graag zo zien.
c. de persoonsgegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. Voor gebruik van niet-noodzakelijke cookies geldt sowieso al de toestemmingsplicht, wat deze ‘ondubbelzinnige toestemmingseis’ van de Wbp minder relevant maakt; de bezoeker moet immers sowieso al ‘gewone’ toestemming geven voor het plaatsen en uitlezen van cookies. Dan is het een kleine moeite om in plaats van gewone toestemming direct om ondubbelzinnige toestemming te vragen. ‘Ondubbelzinnig’ betekent simpel gezegd: goed geïnformeerd, uitdrukkelijk en voor één uitleg vatbaar. Voor cookies die persoonsgegevens verwerken, bijvoorbeeld tracking cookies, geldt bovendien een omgekeerde bewijslast die ingaat op 1 januari 2013: vanaf dat moment wordt er vanuit gegaan dat een tracking cookie persoonsgegevens verwerkt, terwijl dat helemaal niet altijd zo hoeft te zijn. Het is dan de verantwoordelijke die moet aantonen dat de tracking cookies géén persoonsgegevens verwerkt, dat hij toestemming heeft verkregen, of dat een van hierboven genoemde ‘grondslagen’ van toepassing is. Tot 1 januari 2013 rust deze bewijslast bij de handhavende autoriteiten, waarover hieronder meer. De uitzonderingen op bovenstaande verplichtingen Zoals elke wet kent ook deze wet de nodige uitzonderingen op bovenstaande hoofdregels. De informatieplicht en toestemmingsplicht zijn niet van toepassing in het volgende geval: Er zijn situaties waarin de technische opslag of toegang tot gegevens inherent is aan de toegepaste techniek voor de communicatie. Soms zijn cookies gewoonweg noodzakelijk. Hierbij kan gedacht worden aan: a. het gebruik van een winkelwagentje bij een webwinkel; b. inlogsessies op een website; c. voorkeursinstellingen voor websites (bijv. taalinstellingen). Het gaat er bij deze uitzonderingen in ieder geval om dat het gebruik van de website/dienst het plaatsen of uitlezen van cookies (technisch) noodzakelijk maakt en dat de cookie alleen voor dit (technische) doel gebruikt wordt. Voor wie gelden de verplichtingen? De verplichtingen op grond van de nieuwe wet rusten op degene die verantwoordelijk is voor het plaatsen of uitlezen van cookies. In strikt technische zin is dat de internetbrowser (of andere programmatuur) die de cookies opslaat, en niet de bezochte website of de partij die de website beheert. Toch bedoelt de wet die laatstgenoemden als verantwoordelijke partijen aan te wijzen.
Degene die verantwoordelijk is voor het plaatsen of uitlezen van cookies is daarentegen weer niet altijd degene die verantwoordelijk is voor de bezochte website. Het komt veel voor dat de bezochte website zich als frame voor andere websites voordoet, met andere woorden: via zijn eigen website een andere website vertoont. Een voorbeeld hiervan is een adverteerder die via een banner op een andere website zijn website, bestaande uit een advertentie, toont. Deze adverteerder kan bij het vertonen van de banner een cookie gebruiken. Op de adverteerder rusten dan de informatie- en toestemmingsplicht voor de door hem gebruikte cookie. Met andere woorden: de websitebezoeker moet – tenzij er sprake is van een uitzondering – altijd zijn toestemming geven, aan de verantwoordelijke partij. De verantwoordelijke partij is niet altijd de beheerder van de bezochte website. Het gevolg is dat soms voor één website meerdere verantwoordelijke zijn aan te wijzen. Apparatuurneutraliteit & fingerprinting De wet is ‘apparatuurneutraal’. Dat betekent dat de wet van toepassing is op alle websitebezoekers, ongeacht de gebruikte hardware. Inmiddels is er hoeveelheid aan web-enabled devices waarvoor deze wet dus van belang is, denk aan o.a. pc, Mac, tablet, telefoon, gameconsole, televisie, digitale decoders, Blu-rayspeler en overige mediaplayers. Bovendien is de wet – en de informatieplicht en toestemmingsplicht – tevens van toepassing op ‘device fingerprinting’ (of machine fingerprinting, browser fingerprinting). Als bijvoorbeeld met een computer of mobiele telefoon een website wordt bezocht, geeft de browser bepaalde instellingen en kenmerken van het apparaat4 door aan die website. Deze combinatie van instellingen en kenmerken is zo specifiek, dat een adverteerder die via verschillende websites dezelfde fingerprint aantreft, er bijna met zekerheid vanuit kan gaan dat het gaat om dezelfde internetgebruiker. Door die gegevens te analyseren kan hij afleiden welke websites de (verder ongeïdentificeerde) bezoeker achter een bepaalde fingerprint heeft bezocht. Hierbij wordt dus surfgedrag gevolgd aan de hand van informatie die wordt gelezen van de apparatuur van een gebruiker. Met deze fingerprints – die geen cookies zijn – kunnen individuele gebruikers aan de hand van de door hun gebruikte apparatuur geïdentificeerd worden. Hoe een websitebezoeker kan nagaan of hij gevolgd wordt door fingerprinting is evenwel niet duidelijk; dat maakt handhaving lastig. Bijvoorbeeld het type besturingssysteem, de browserinstellingen, geïnstalleerde plug-ins, tijdzone en beeldschermgrootte 4 en dergelijke.
Praktische gevolgen: vragen om toestemming Een van de grootste kritiekpunten op de wet is de praktische uitvoerbaarheid ervan, want hoe moeten websites hun bezoekers om toestemming voor cookies vragen? Bij eigen cookies van een website (first party cookies) is vrij eenvoudig aan de vereisten van informatie en toestemming te voldoen. De websitehouder kan dan bijvoorbeeld via een pop-up om toestemming vragen. Bij cookies van derden (third party cookies) is dit een stuk lastiger; het is immers degene die verantwoordelijk is voor de plaatsing of het uitlezen van cookies die aan de verplichtingen moet voldoen. Het probleem zit hier in de praktische aanpak, want welke third party5 regelt de verkrijging van toestemming van de bezoeker? Dit probleem zal zich vooral voordoen indien advertenties van derden middels banners op een website getoond worden. De bezoeker bevindt zich op dat moment immers niet op de website van de adverteerder. Google Analytics & Google Adsense Deze programma’s van Google zijn eenvoudige en handige tools voor websitehouders voor resp. het verzamelen van statistieken en het plaatsen van advertenties. De programma’s maken beiden gebruik van cookies, maar vallen allebei niet onder de uitzonderingen van de wet: de cookies zijn niet noodzakelijk voor gebruiker, maar enkel handig voor de websitehouder. Voor beide programma’s moet de websitebezoeker dus toestemming geven (aan Google!). De wet (of eigenlijk de politiek) heeft hier geen oplossing voor gegeven, anders dan dat het bedrijfsleven er maar een oplossing voor moet bedenken. De wet biedt wel de mogelijkheid voor de adverteerder om met de websitehouder een overeenkomst te sluiten waarbij de laatste de informatieverplichting namens de adverteerder zal uitvoeren6. Huidige internetbrowsers bieden bovendien geen (eenvoudige) mogelijkheden voor acceptatie van cookies: cookies kunnen wel of niet geaccepteerd worden, maar lang niet alle browsers bieden de mogelijkheid om per afzonderlijke website aan te geven of diens cookies geaccepteerd worden. Voor zover die mogelijkheid al wel bestaat weet het gros van de websitebezoekers niet hoe daarmee om te gaan. Bovendien gaat het dan om controle door de bezoeker achteraf, terwijl de wet nu voorafgaande instemming voor plaatsing en het uitlezen van cookies verplicht stelt. Op haar website geeft de Rijksoverheid wel aan dat het mogelijk is om een bezoeker, bijvoorbeeld via een pop- up in een keer toestemming te vragen voor het plaatsen en uitlezen van cookies via verschillende websites, voor een bepaalde duur (bijvoorbeeld een jaar)7. 5 Denk in dit geval bijvoorbeeld aan Google AdSense of Google Analytics. Het is nog niet duidelijk hoe Google omgaat met de nieuwe wetgeving. 6 Memorie van Toelichting, p. 81. 7 <<http://www.rijksoverheid.nl/onderwerpen/ict/veilig-online-en-e-privacy/internetbezoek-volgen-met-cookies>>.
Handhaving & websites van buiten de EU De Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) is belast met de handhaving van de nieuwe wet. Zij kan boetes opleggen tot EUR 450.000,- en heeft inmiddels extra mankracht aangetrokken om websites te kunnen controleren. Daarnaast – voor zover het gaat om verwerking van persoonsgegevens – is ook het College Bescherming Persoonsgegevens bevoegd om handhavend op te treden. De regelgeving is niet van toepassing op websites van buiten de EU, of beter gezegd: op ‘verantwoordelijken’ van buiten de EU. Conclusie Als gevolg van nieuwe wetgeving is het plaatsen en uitlezen van cookies slechts toegestaan indien de internetgebruiker daar duidelijk over is geïnformeerd en zijn toestemming daarvoor heeft gegeven. Cookies die het surfgedrag van internetgebruikers volgen vormen een extra risico vanwege privacywetgeving. De partij die de cookies plaatst of uitleest is de verantwoordelijke en kan door OPTA op de vingers getikt worden. Met name voor websites die advertenties van derden weergeven, bijvoorbeeld middels banners, geeft dit een praktisch probleem. Het is dan namelijk de adverteerder die de toestemming moet vragen, terwijl de internetgebruiker zich niet op de website van de adverteerder bevindt.
Advies aan websitehouders & ‘verantwoordelijken’ A. Toepasselijkheid nieuwe wet 1. De nieuwe wetgeving geldt alleen voor degenen die cookies plaatsen en/of uitlezen. Controleer dus of uw website gebruikt maakt van cookies8. 2. Zo ja, om wat voor soort cookies gaat het dan? Cookies van de eigen website, of third party cookies? 3. Controleer of de cookies noodzakelijk zijn voor het uitvoeren van de diensten op de website. Gaat het om cookies uitsluitend ter uitvoering van de dienst op de website, dan mogen deze zonder voorafgaande toestemming geplaatst en uitgelezen worden. Bedenk wel dat de cookies dus enkel dat doel mogen dienen en geen nevenfuncties mogen en kunnen hebben. Voorbeelden: winkelwagentjes, taalinstellingen, inlogcodes/aanmeldsessies. 4. Staan er banners/advertenties op de website? Controleer of deze banners cookies plaatsen of uitlezen9. Doen zij dat, dan vormt dat dus een praktisch probleem omdat de adverteerder aan de verplichtingen moet voldoen en niet de websitehouder. Op dit punt is er dus nog geen oplossing! 5. De wet is niet van toepassing op websites (of eigenlijk verantwoordelijke partijen) van buiten de EU. B. Toestemming vragen / informatie geven 1. Een aantal mogelijkheden om toestemming te verkrijgen zijn de pop-up en de website layover (semi- transparant menu). Pas nadat daarin informatie is gegeven en toestemming is verkregen mogen cookies geplaatst en uitgelezen worden. 2. Het wordt aanbevolen om gebruikers hun toestemming actief te laten geven: bijvoorbeeld het aanklikken van een vinkbox, het klikken op een acceptatie-knop. 3. Daarbij moet ook duidelijke informatie gegeven worden over de cookies, bij voorkeur wat cookies zijn, wat de betreffende cookies doen, welke informatie de cookies verzamelen, met welk doel de cookies geplaatst en uitgelezen worden, of de informatie aan derden beschikbaar wordt gesteld en zo ja, aan welke derden precies. 4. Bovendien is het verstandig om bewijs te verzamelen (en op te slaan!) van de acceptatie door de websitebezoeker: datum en tijdstip van toestemming, het IP-adres, logbestand van registratie van de toestemming en de cookie zelf10. 8 Een eenvoudige manier is om eerst alle cookies via de browserinstellingen te verwijderen. Bezoek vervolgens de eigen website en bekijk via de browserinstellingen welke cookies er inmiddels opgeslagen zijn. 9 Zie voorgaande voetnoot. 10 Onder techneuten is veel discussie over de juiste, niet-manipuleerbare, makkelijkste en goedkoopste wijze van bewijs verzamelen. Een eenduidig antwoord is nog niet gevonden. Het gaat er in ieder geval om dat achteraf aangetoond kan worden dat de bezoeker toestemming gegeven heeft voor het plaatsen/uitlezen van cookies.
C. Overigen 1. Maak duidelijke en schriftelijke afspraken met businesspartners over de nieuwe regels: wie vraagt toestemming, hoe wordt dat gedaan, wie is aansprakelijk, etc. 2. Maak (voor zover van toepassing, of juist uit voorzorg) melding bij het CBP van verwerking van persoonsgegevens11. 11 www.cbpweb.nl the valley b.v. De Entree 230 | 1101 EE Amsterdam | +31 20 451 51 51 | www.thevalley.nl

Recommended

Afstuderen Berber
Afstuderen BerberAfstuderen Berber
Afstuderen Berber
Hanzehogeschool Groningen
 
Afstuderen kirsten
Afstuderen kirstenAfstuderen kirsten
Afstuderen kirsten
Hanzehogeschool Groningen
 
Danu dean asmoro post colonial and environmentalist
Danu dean asmoro post colonial and environmentalistDanu dean asmoro post colonial and environmentalist
Danu dean asmoro post colonial and environmentalist
Danu Dean Asmoro
 
Presentatie wordpress veiligheid
Presentatie wordpress veiligheidPresentatie wordpress veiligheid
Presentatie wordpress veiligheid
Wendie Huis in 't Veld
 
Anboto 467
Anboto 467Anboto 467
Anboto 467
Anboto Komunikabideak
 
Tema 7
Tema 7Tema 7
Tema 7
Leo Cruz Horna
 
Gestion multimedia
Gestion multimediaGestion multimedia
Gestion multimedia
VIGOTSKY
 
2011 08-05 - o tesouro do primeiro rei
2011 08-05 - o tesouro do primeiro rei2011 08-05 - o tesouro do primeiro rei
2011 08-05 - o tesouro do primeiro rei
O Ciclista
 

Recommended

Afstuderen Berber
Afstuderen BerberAfstuderen Berber
Afstuderen Berber
Hanzehogeschool Groningen
 
Afstuderen kirsten
Afstuderen kirstenAfstuderen kirsten
Afstuderen kirsten
Hanzehogeschool Groningen
 
Danu dean asmoro post colonial and environmentalist
Danu dean asmoro post colonial and environmentalistDanu dean asmoro post colonial and environmentalist
Danu dean asmoro post colonial and environmentalist
Danu Dean Asmoro
 
Presentatie wordpress veiligheid
Presentatie wordpress veiligheidPresentatie wordpress veiligheid
Presentatie wordpress veiligheid
Wendie Huis in 't Veld
 
Anboto 467
Anboto 467Anboto 467
Anboto 467
Anboto Komunikabideak
 
Tema 7
Tema 7Tema 7
Tema 7
Leo Cruz Horna
 
Gestion multimedia
Gestion multimediaGestion multimedia
Gestion multimedia
VIGOTSKY
 
2011 08-05 - o tesouro do primeiro rei
2011 08-05 - o tesouro do primeiro rei2011 08-05 - o tesouro do primeiro rei
2011 08-05 - o tesouro do primeiro rei
O Ciclista
 
Colombia moderna siglo XIX
Colombia moderna siglo XIXColombia moderna siglo XIX
Colombia moderna siglo XIX
alcidesciro10
 
Presentazione Sistema 2AD
Presentazione Sistema 2ADPresentazione Sistema 2AD
Presentazione Sistema 2AD
Dental Flex Italia
 
Carnaval 2010/2011
Carnaval 2010/2011Carnaval 2010/2011
Carnaval 2010/2011
mundodacrianca
 
Информационно-образовательная среда
Информационно-образовательная средаИнформационно-образовательная среда
Информационно-образовательная среда
Natalya Bekker
 
Test1
Test1Test1
Test1
rikanet
 
Recepta final
Recepta finalRecepta final
Recepta final
Elena Alvarez
 
Sapatossujos
SapatossujosSapatossujos
Sapatossujos
Iolanda Maria Rossato
 
Trabalho de literatura webquest
Trabalho de literatura webquestTrabalho de literatura webquest
Trabalho de literatura webquest
claudia murta
 
2014 11-16 - magusto
2014 11-16 - magusto2014 11-16 - magusto
2014 11-16 - magusto
O Ciclista
 
抽獎
抽獎抽獎
抽獎
昌貴 黎
 
Lab brochure IT
Lab brochure ITLab brochure IT
Lab brochure IT
Dental Flex Italia
 
Trabalho De Grupo 3
Trabalho De Grupo 3Trabalho De Grupo 3
Trabalho De Grupo 3
micaze1976
 
Passeio Cicloturístico à Gralheira III
Passeio Cicloturístico à Gralheira IIIPasseio Cicloturístico à Gralheira III
Passeio Cicloturístico à Gralheira III
O Ciclista
 
Aquilo que era mulher
Aquilo que era mulherAquilo que era mulher
Aquilo que era mulher
Luciane Lira
 
Criança Ecológica
Criança EcológicaCriança Ecológica
Criança Ecológica
Oeiras Verde
 
Gestión de información y conocimiento en Salud Pública y la usabilidad en la ...
Gestión de información y conocimiento en Salud Pública y la usabilidad en la ...Gestión de información y conocimiento en Salud Pública y la usabilidad en la ...
Gestión de información y conocimiento en Salud Pública y la usabilidad en la ...
Rosa Cristina Parra Lozano
 
2011 08-15 - a menina feia
2011 08-15 - a menina feia2011 08-15 - a menina feia
2011 08-15 - a menina feia
O Ciclista
 
prueba1
prueba1prueba1
prueba1
sasamon
 
Recursos Discursivos Na Publicidade
Recursos Discursivos Na PublicidadeRecursos Discursivos Na Publicidade
Recursos Discursivos Na Publicidade
Luciane Lira
 
Tugas 3 konsep layanan
Tugas 3 konsep layananTugas 3 konsep layanan
Tugas 3 konsep layanan
Elonk Teryytory
 
Hertog Jan's fans first strategie artikel ft. krijn in tijdschrift voor marke...
Hertog Jan's fans first strategie artikel ft. krijn in tijdschrift voor marke...Hertog Jan's fans first strategie artikel ft. krijn in tijdschrift voor marke...
Hertog Jan's fans first strategie artikel ft. krijn in tijdschrift voor marke...
The Valley
 
Artikel marketingcampagne Erasmus universiteit in het Tijdschrift voor Marketing
Artikel marketingcampagne Erasmus universiteit in het Tijdschrift voor MarketingArtikel marketingcampagne Erasmus universiteit in het Tijdschrift voor Marketing
Artikel marketingcampagne Erasmus universiteit in het Tijdschrift voor Marketing
The Valley
 

More Related Content

Viewers also liked

Colombia moderna siglo XIX
Colombia moderna siglo XIXColombia moderna siglo XIX
Colombia moderna siglo XIX
alcidesciro10
 
Информационно-образовательная среда
Информационно-образовательная средаИнформационно-образовательная среда
Информационно-образовательная среда
Natalya Bekker
 
Trabalho de literatura webquest
Trabalho de literatura webquestTrabalho de literatura webquest
Trabalho de literatura webquest
claudia murta
 
Trabalho De Grupo 3
Trabalho De Grupo 3Trabalho De Grupo 3
Trabalho De Grupo 3
micaze1976
 
Aquilo que era mulher
Aquilo que era mulherAquilo que era mulher
Aquilo que era mulher
Luciane Lira
 
Gestión de información y conocimiento en Salud Pública y la usabilidad en la ...
Gestión de información y conocimiento en Salud Pública y la usabilidad en la ...Gestión de información y conocimiento en Salud Pública y la usabilidad en la ...
Gestión de información y conocimiento en Salud Pública y la usabilidad en la ...
Rosa Cristina Parra Lozano
 
2011 08-15 - a menina feia
2011 08-15 - a menina feia2011 08-15 - a menina feia
2011 08-15 - a menina feia
O Ciclista
 
Recursos Discursivos Na Publicidade
Recursos Discursivos Na PublicidadeRecursos Discursivos Na Publicidade
Recursos Discursivos Na Publicidade
Luciane Lira
 

Viewers also liked (20)

Colombia moderna siglo XIX
Colombia moderna siglo XIXColombia moderna siglo XIX
Colombia moderna siglo XIX
 
Presentazione Sistema 2AD
Presentazione Sistema 2ADPresentazione Sistema 2AD
Presentazione Sistema 2AD
 
Carnaval 2010/2011
Carnaval 2010/2011Carnaval 2010/2011
Carnaval 2010/2011
 
Информационно-образовательная среда
Информационно-образовательная средаИнформационно-образовательная среда
Информационно-образовательная среда
 
Test1
Test1Test1
Test1
 
Recepta final
Recepta finalRecepta final
Recepta final
 
Sapatossujos
SapatossujosSapatossujos
Sapatossujos
 
Trabalho de literatura webquest
Trabalho de literatura webquestTrabalho de literatura webquest
Trabalho de literatura webquest
 
2014 11-16 - magusto
2014 11-16 - magusto2014 11-16 - magusto
2014 11-16 - magusto
 
抽獎
抽獎抽獎
抽獎
 
Lab brochure IT
Lab brochure ITLab brochure IT
Lab brochure IT
 
Trabalho De Grupo 3
Trabalho De Grupo 3Trabalho De Grupo 3
Trabalho De Grupo 3
 
Passeio Cicloturístico à Gralheira III
Passeio Cicloturístico à Gralheira IIIPasseio Cicloturístico à Gralheira III
Passeio Cicloturístico à Gralheira III
 
Aquilo que era mulher
Aquilo que era mulherAquilo que era mulher
Aquilo que era mulher
 
Criança Ecológica
Criança EcológicaCriança Ecológica
Criança Ecológica
 
Gestión de información y conocimiento en Salud Pública y la usabilidad en la ...
Gestión de información y conocimiento en Salud Pública y la usabilidad en la ...Gestión de información y conocimiento en Salud Pública y la usabilidad en la ...
Gestión de información y conocimiento en Salud Pública y la usabilidad en la ...
 
2011 08-15 - a menina feia
2011 08-15 - a menina feia2011 08-15 - a menina feia
2011 08-15 - a menina feia
 
prueba1
prueba1prueba1
prueba1
 
Recursos Discursivos Na Publicidade
Recursos Discursivos Na PublicidadeRecursos Discursivos Na Publicidade
Recursos Discursivos Na Publicidade
 
Tugas 3 konsep layanan
Tugas 3 konsep layananTugas 3 konsep layanan
Tugas 3 konsep layanan
 

More from The Valley

EFASHION- designing mobile shopping & fashion experiences on 
mobile that ins...
EFASHION- designing mobile shopping & fashion experiences on 
mobile that ins...EFASHION- designing mobile shopping & fashion experiences on 
mobile that ins...
EFASHION- designing mobile shopping & fashion experiences on 
mobile that ins...
The Valley
 

More from The Valley (20)

Hertog Jan's fans first strategie artikel ft. krijn in tijdschrift voor marke...
Hertog Jan's fans first strategie artikel ft. krijn in tijdschrift voor marke...Hertog Jan's fans first strategie artikel ft. krijn in tijdschrift voor marke...
Hertog Jan's fans first strategie artikel ft. krijn in tijdschrift voor marke...
 
Artikel marketingcampagne Erasmus universiteit in het Tijdschrift voor Marketing
Artikel marketingcampagne Erasmus universiteit in het Tijdschrift voor MarketingArtikel marketingcampagne Erasmus universiteit in het Tijdschrift voor Marketing
Artikel marketingcampagne Erasmus universiteit in het Tijdschrift voor Marketing
 
Ilounge mobile apps mobtzu presentatie Jasper @ DDMA iLounge
Ilounge mobile apps mobtzu presentatie Jasper @ DDMA iLoungeIlounge mobile apps mobtzu presentatie Jasper @ DDMA iLounge
Ilounge mobile apps mobtzu presentatie Jasper @ DDMA iLounge
 
DDMA Commissie Mobile 'de Mobile Wave'
DDMA Commissie Mobile 'de Mobile Wave'DDMA Commissie Mobile 'de Mobile Wave'
DDMA Commissie Mobile 'de Mobile Wave'
 
Mobtzu eurojackpot concept presentatie 2012
Mobtzu eurojackpot concept presentatie 2012Mobtzu eurojackpot concept presentatie 2012
Mobtzu eurojackpot concept presentatie 2012
 
mobile retail 2012
mobile retail 2012mobile retail 2012
mobile retail 2012
 
mobtzu rabobank sessie 5 july
mobtzu rabobank sessie 5 julymobtzu rabobank sessie 5 july
mobtzu rabobank sessie 5 july
 
Lloyds mobile
Lloyds mobileLloyds mobile
Lloyds mobile
 
mobtzu - ecosystem of me - creating mobile experiences
mobtzu - ecosystem of me - creating mobile experiencesmobtzu - ecosystem of me - creating mobile experiences
mobtzu - ecosystem of me - creating mobile experiences
 
mobtzu vinyl 2012 for tom eslinger
mobtzu vinyl 2012 for tom eslingermobtzu vinyl 2012 for tom eslinger
mobtzu vinyl 2012 for tom eslinger
 
Mobtzu mobile convention 2012
Mobtzu mobile convention 2012Mobtzu mobile convention 2012
Mobtzu mobile convention 2012
 
mobtzu bison 2012
mobtzu bison 2012mobtzu bison 2012
mobtzu bison 2012
 
workshop mobile maart 2012@ web analytics congress /by @jerrylieveld
workshop mobile maart 2012@ web analytics congress /by @jerrylieveldworkshop mobile maart 2012@ web analytics congress /by @jerrylieveld
workshop mobile maart 2012@ web analytics congress /by @jerrylieveld
 
Emerce Connect 2011
Emerce Connect 2011Emerce Connect 2011
Emerce Connect 2011
 
#smc070 social media club den haag - mobtzu about mobile experiences
#smc070 social media club den haag - mobtzu about mobile experiences#smc070 social media club den haag - mobtzu about mobile experiences
#smc070 social media club den haag - mobtzu about mobile experiences
 
EFASHION- designing mobile shopping & fashion experiences on 
mobile that ins...
EFASHION- designing mobile shopping & fashion experiences on 
mobile that ins...EFASHION- designing mobile shopping & fashion experiences on 
mobile that ins...
EFASHION- designing mobile shopping & fashion experiences on 
mobile that ins...
 
IAM11 - WHAT’S NEXT IN 
MOBILE EXPERIENCES by mobtzu - mobile apps for brands
IAM11 - WHAT’S NEXT IN 
MOBILE EXPERIENCES by mobtzu - mobile apps for brandsIAM11 - WHAT’S NEXT IN 
MOBILE EXPERIENCES by mobtzu - mobile apps for brands
IAM11 - WHAT’S NEXT IN 
MOBILE EXPERIENCES by mobtzu - mobile apps for brands
 
mobtzu mobile convention 2011
mobtzu mobile convention 2011 mobtzu mobile convention 2011
mobtzu mobile convention 2011
 
Veritate breakfastclub juli 2010: Egbert-Jan van Bel
Veritate breakfastclub juli 2010: Egbert-Jan van BelVeritate breakfastclub juli 2010: Egbert-Jan van Bel
Veritate breakfastclub juli 2010: Egbert-Jan van Bel
 
Veritate breakfastclub juli 2010: 'Lage landen case met Ed Sander'
Veritate breakfastclub juli 2010: 'Lage landen case met Ed Sander'Veritate breakfastclub juli 2010: 'Lage landen case met Ed Sander'
Veritate breakfastclub juli 2010: 'Lage landen case met Ed Sander'
 

the valley whitepaper cookieverbod

  • 1. Cookieverbod Wat betekent de nieuwe cookiewetgeving voor jou?
  • 2. Inleiding Onlangs heeft de Eerste Kamer de nieuwe Telecommunicatiewet aangenomen. Deze is al regelmatig in het nieuws geweest omtrent de ‘netneutraliteit’ die erin vastgelegd is. Een ander ingrijpend onderdeel van de nieuwe wet is daardoor wat ondergesneeuwd, maar niet minder belangrijk: er zijn strikte regels voor het gebruik en plaatsen van ‘cookies’. De nieuwe wet zou op 1 juli 2012 in werking treden, uitgezonderd het gedeelte over tracking cookies (zie verderop). Dat zou pas per 1 januari 2013 in werking treden. Omdat Nederland echter te laat was met de invoering van de nieuwe wet, dreigde de Europese Commissie met een boete, als gevolg waarvan de wet vervroegd per 5 juni 2012 in werking is getreden. Het gedeelte over tracking cookies zal nog steeds per 1 januari 2013 in werking treden. Omdat de nieuwe regels voor cookies op vrijwel alle (commerciële) websites van toepassing zijn, worden hier de belangrijkste punten onder elkaar gezet. Deze whitepaper is mede tot stand gekomen dankzij ABC legal. Minke Feenstra legal counsel the valley, juni 2012
  • 3. Achtergrond van de nieuwe wet De nieuwe Telecommunicatiewet (‘de wet’) is het gevolg van Europese regelgeving en had eigenlijk vorig jaar al ingevoerd moeten zijn. Doelstelling van de wet is met name bescherming van de online eindgebruiker (privacy en veiligheid). De regeling omtrent cookies is vastgelegd in het nieuwe artikel 11.7a van de wet. Juridisch-technisch valt er een en ander af te dingen op de wet, maar die discussie wordt hier achterwege gelaten. Het woord ‘cookie(s)’ komt in de wet zelf niet voor, daar wordt gesproken van ‘gegevens die zijn opgeslagen in randapparatuur van de gebruiker1. Strikt genomen strekt de wet zich dus verder uit dan alleen tot cookies, maar voor het gemak wordt die term hier verder aangehouden. Voor wie is de wetswijziging relevant? De nieuwe wet is van invloed op alle websites die gebruik maken van cookies. Verder kan de nieuwe wet van invloed zijn op alle (online) adverteerders, publishers, affiliatenetwerken (en dus ook affiliates), mediabureaus, advertentietussenpersonen, websitebouwers, designers en niet te vergeten de bezoekers van websites. De nieuwe hoofdregels voor cookies Vanaf 5 juni 2012 moeten bezoekers van websites vooraf hun toestemming geven voor: 1. het plaatsen van elke cookie; en/of 2. het uitlezen van cookies (door websites). Bij de verkrijging van die toestemming moet de bezoeker van de website: 1. duidelijk en volledig zijn geïnformeerd over de doeleinden waarvoor de website toegang wil verkrijgen tot reeds bestaande cookies; en/of 2. duidelijk en volledig zijn geïnformeerd over de doeleinden waarvoor de website cookies wil plaatsen. Bovenstaande kan dus worden samengevat in twee woorden: informatieplicht en toestemmingsplicht. De websitebezoeker kan zijn toestemming op elk moment ook weer intrekken. 1 Daaronder vallen volgens de Memorie van Toelichting bijvoorbeeld ook jpeg- en javascriptbestanden, flashcookies, webtaps, spionagesoftware en dialerprogramma’s.
  • 4. Inhoud van de informatieplicht2 Indien het gaat om ‘persoonsgegevens’ (dit begrip wordt hieronder uitgelegd) moet een websitebezoeker onder meer geïnformeerd worden over de identiteit van de verantwoordelijke (ook dit begrip wordt hieronder uitgelegd) en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd. Daarnaast moet de verantwoordelijke nadere informatie verstrekken voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover betrokkenen een behoorlijke en zorgvuldige verwerking te waarborgen (artikel 33 Wet bescherming persoonsgegevens, de ‘Wbp’). Indien het gaat om andere gegevens dan persoonsgegevens dan moet in ieder geval informatie verstrekt worden omtrent de doeleinden waarvoor de gegevens worden verstrekt. Denk daarbij onder andere aan: wat is een cookie, wat wordt ermee gedaan, wat kan een cookie, wat staat er in een cookie, hoe lang blijft de cookie actief, welke gegevens over de gebruiker kan een cookie prijsgeven? Bovendien moet gemeld worden dat een toestemming ook altijd weer ingetrokken kan worden (en op welke wijze). Extra strenge regels Voor cookies die persoonsgegevens verwerken, gelden strengere regels. Op deze cookies is namelijk (naast de nieuwe Telecommunicatiewet) ook de Wbp van toepassing3. Alle gegevens waarmee iemand geïdentificeerd kan worden zijn persoonsgegevens, denk bijvoorbeeld aan namen, adressen, foto’s, e-mailadressen en IP-adressen (hoewel over die laatste twee discussie bestaat). Onder ‘verwerken’ van persoonsgegevens wordt volgens de Wbp onder meer verstaan: verzamelen, vastleggen, bewaren, bijwerken, opvragen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De Wbp eist bij cookies die persoonsgegevens verwerken dat er vooraf ‘ondubbelzinnige toestemming’ voor de verwerking gevraagd en verleend is. Om het nog ingewikkelder te maken: de Wbp kent naast deze ondubbelzinnige toestemming nog vijf andere grondslagen voor de verwerking van persoonsgegevens. Daarvan zijn hier vooral de volgende van belang: a. de persoonsgegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst, of de voorbereiding daarvan op verzoek van de betrokkene; b. de persoonsgegevensverwerking is noodzakelijk voor de verantwoordelijke om een wettelijke verplichting na te komen; 2 Memorie van Toelichting, p. 79-80. 3 De Wbp was overigens al van toepassing op deze cookies. Dat de nieuwe wet de Wbp van toepassing heeft verklaard is daarom eigenlijk van geen betekenis, maar een aantal politieke partijen wilde dit graag zo zien.
  • 5. c. de persoonsgegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. Voor gebruik van niet-noodzakelijke cookies geldt sowieso al de toestemmingsplicht, wat deze ‘ondubbelzinnige toestemmingseis’ van de Wbp minder relevant maakt; de bezoeker moet immers sowieso al ‘gewone’ toestemming geven voor het plaatsen en uitlezen van cookies. Dan is het een kleine moeite om in plaats van gewone toestemming direct om ondubbelzinnige toestemming te vragen. ‘Ondubbelzinnig’ betekent simpel gezegd: goed geïnformeerd, uitdrukkelijk en voor één uitleg vatbaar. Voor cookies die persoonsgegevens verwerken, bijvoorbeeld tracking cookies, geldt bovendien een omgekeerde bewijslast die ingaat op 1 januari 2013: vanaf dat moment wordt er vanuit gegaan dat een tracking cookie persoonsgegevens verwerkt, terwijl dat helemaal niet altijd zo hoeft te zijn. Het is dan de verantwoordelijke die moet aantonen dat de tracking cookies géén persoonsgegevens verwerkt, dat hij toestemming heeft verkregen, of dat een van hierboven genoemde ‘grondslagen’ van toepassing is. Tot 1 januari 2013 rust deze bewijslast bij de handhavende autoriteiten, waarover hieronder meer. De uitzonderingen op bovenstaande verplichtingen Zoals elke wet kent ook deze wet de nodige uitzonderingen op bovenstaande hoofdregels. De informatieplicht en toestemmingsplicht zijn niet van toepassing in het volgende geval: Er zijn situaties waarin de technische opslag of toegang tot gegevens inherent is aan de toegepaste techniek voor de communicatie. Soms zijn cookies gewoonweg noodzakelijk. Hierbij kan gedacht worden aan: a. het gebruik van een winkelwagentje bij een webwinkel; b. inlogsessies op een website; c. voorkeursinstellingen voor websites (bijv. taalinstellingen). Het gaat er bij deze uitzonderingen in ieder geval om dat het gebruik van de website/dienst het plaatsen of uitlezen van cookies (technisch) noodzakelijk maakt en dat de cookie alleen voor dit (technische) doel gebruikt wordt. Voor wie gelden de verplichtingen? De verplichtingen op grond van de nieuwe wet rusten op degene die verantwoordelijk is voor het plaatsen of uitlezen van cookies. In strikt technische zin is dat de internetbrowser (of andere programmatuur) die de cookies opslaat, en niet de bezochte website of de partij die de website beheert. Toch bedoelt de wet die laatstgenoemden als verantwoordelijke partijen aan te wijzen.
  • 6. Degene die verantwoordelijk is voor het plaatsen of uitlezen van cookies is daarentegen weer niet altijd degene die verantwoordelijk is voor de bezochte website. Het komt veel voor dat de bezochte website zich als frame voor andere websites voordoet, met andere woorden: via zijn eigen website een andere website vertoont. Een voorbeeld hiervan is een adverteerder die via een banner op een andere website zijn website, bestaande uit een advertentie, toont. Deze adverteerder kan bij het vertonen van de banner een cookie gebruiken. Op de adverteerder rusten dan de informatie- en toestemmingsplicht voor de door hem gebruikte cookie. Met andere woorden: de websitebezoeker moet – tenzij er sprake is van een uitzondering – altijd zijn toestemming geven, aan de verantwoordelijke partij. De verantwoordelijke partij is niet altijd de beheerder van de bezochte website. Het gevolg is dat soms voor één website meerdere verantwoordelijke zijn aan te wijzen. Apparatuurneutraliteit & fingerprinting De wet is ‘apparatuurneutraal’. Dat betekent dat de wet van toepassing is op alle websitebezoekers, ongeacht de gebruikte hardware. Inmiddels is er hoeveelheid aan web-enabled devices waarvoor deze wet dus van belang is, denk aan o.a. pc, Mac, tablet, telefoon, gameconsole, televisie, digitale decoders, Blu-rayspeler en overige mediaplayers. Bovendien is de wet – en de informatieplicht en toestemmingsplicht – tevens van toepassing op ‘device fingerprinting’ (of machine fingerprinting, browser fingerprinting). Als bijvoorbeeld met een computer of mobiele telefoon een website wordt bezocht, geeft de browser bepaalde instellingen en kenmerken van het apparaat4 door aan die website. Deze combinatie van instellingen en kenmerken is zo specifiek, dat een adverteerder die via verschillende websites dezelfde fingerprint aantreft, er bijna met zekerheid vanuit kan gaan dat het gaat om dezelfde internetgebruiker. Door die gegevens te analyseren kan hij afleiden welke websites de (verder ongeïdentificeerde) bezoeker achter een bepaalde fingerprint heeft bezocht. Hierbij wordt dus surfgedrag gevolgd aan de hand van informatie die wordt gelezen van de apparatuur van een gebruiker. Met deze fingerprints – die geen cookies zijn – kunnen individuele gebruikers aan de hand van de door hun gebruikte apparatuur geïdentificeerd worden. Hoe een websitebezoeker kan nagaan of hij gevolgd wordt door fingerprinting is evenwel niet duidelijk; dat maakt handhaving lastig. Bijvoorbeeld het type besturingssysteem, de browserinstellingen, geïnstalleerde plug-ins, tijdzone en beeldschermgrootte 4 en dergelijke.
  • 7. Praktische gevolgen: vragen om toestemming Een van de grootste kritiekpunten op de wet is de praktische uitvoerbaarheid ervan, want hoe moeten websites hun bezoekers om toestemming voor cookies vragen? Bij eigen cookies van een website (first party cookies) is vrij eenvoudig aan de vereisten van informatie en toestemming te voldoen. De websitehouder kan dan bijvoorbeeld via een pop-up om toestemming vragen. Bij cookies van derden (third party cookies) is dit een stuk lastiger; het is immers degene die verantwoordelijk is voor de plaatsing of het uitlezen van cookies die aan de verplichtingen moet voldoen. Het probleem zit hier in de praktische aanpak, want welke third party5 regelt de verkrijging van toestemming van de bezoeker? Dit probleem zal zich vooral voordoen indien advertenties van derden middels banners op een website getoond worden. De bezoeker bevindt zich op dat moment immers niet op de website van de adverteerder. Google Analytics & Google Adsense Deze programma’s van Google zijn eenvoudige en handige tools voor websitehouders voor resp. het verzamelen van statistieken en het plaatsen van advertenties. De programma’s maken beiden gebruik van cookies, maar vallen allebei niet onder de uitzonderingen van de wet: de cookies zijn niet noodzakelijk voor gebruiker, maar enkel handig voor de websitehouder. Voor beide programma’s moet de websitebezoeker dus toestemming geven (aan Google!). De wet (of eigenlijk de politiek) heeft hier geen oplossing voor gegeven, anders dan dat het bedrijfsleven er maar een oplossing voor moet bedenken. De wet biedt wel de mogelijkheid voor de adverteerder om met de websitehouder een overeenkomst te sluiten waarbij de laatste de informatieverplichting namens de adverteerder zal uitvoeren6. Huidige internetbrowsers bieden bovendien geen (eenvoudige) mogelijkheden voor acceptatie van cookies: cookies kunnen wel of niet geaccepteerd worden, maar lang niet alle browsers bieden de mogelijkheid om per afzonderlijke website aan te geven of diens cookies geaccepteerd worden. Voor zover die mogelijkheid al wel bestaat weet het gros van de websitebezoekers niet hoe daarmee om te gaan. Bovendien gaat het dan om controle door de bezoeker achteraf, terwijl de wet nu voorafgaande instemming voor plaatsing en het uitlezen van cookies verplicht stelt. Op haar website geeft de Rijksoverheid wel aan dat het mogelijk is om een bezoeker, bijvoorbeeld via een pop- up in een keer toestemming te vragen voor het plaatsen en uitlezen van cookies via verschillende websites, voor een bepaalde duur (bijvoorbeeld een jaar)7. 5 Denk in dit geval bijvoorbeeld aan Google AdSense of Google Analytics. Het is nog niet duidelijk hoe Google omgaat met de nieuwe wetgeving. 6 Memorie van Toelichting, p. 81. 7 <<http://www.rijksoverheid.nl/onderwerpen/ict/veilig-online-en-e-privacy/internetbezoek-volgen-met-cookies>>.
  • 8. Handhaving & websites van buiten de EU De Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) is belast met de handhaving van de nieuwe wet. Zij kan boetes opleggen tot EUR 450.000,- en heeft inmiddels extra mankracht aangetrokken om websites te kunnen controleren. Daarnaast – voor zover het gaat om verwerking van persoonsgegevens – is ook het College Bescherming Persoonsgegevens bevoegd om handhavend op te treden. De regelgeving is niet van toepassing op websites van buiten de EU, of beter gezegd: op ‘verantwoordelijken’ van buiten de EU. Conclusie Als gevolg van nieuwe wetgeving is het plaatsen en uitlezen van cookies slechts toegestaan indien de internetgebruiker daar duidelijk over is geïnformeerd en zijn toestemming daarvoor heeft gegeven. Cookies die het surfgedrag van internetgebruikers volgen vormen een extra risico vanwege privacywetgeving. De partij die de cookies plaatst of uitleest is de verantwoordelijke en kan door OPTA op de vingers getikt worden. Met name voor websites die advertenties van derden weergeven, bijvoorbeeld middels banners, geeft dit een praktisch probleem. Het is dan namelijk de adverteerder die de toestemming moet vragen, terwijl de internetgebruiker zich niet op de website van de adverteerder bevindt.
  • 9. Advies aan websitehouders & ‘verantwoordelijken’ A. Toepasselijkheid nieuwe wet 1. De nieuwe wetgeving geldt alleen voor degenen die cookies plaatsen en/of uitlezen. Controleer dus of uw website gebruikt maakt van cookies8. 2. Zo ja, om wat voor soort cookies gaat het dan? Cookies van de eigen website, of third party cookies? 3. Controleer of de cookies noodzakelijk zijn voor het uitvoeren van de diensten op de website. Gaat het om cookies uitsluitend ter uitvoering van de dienst op de website, dan mogen deze zonder voorafgaande toestemming geplaatst en uitgelezen worden. Bedenk wel dat de cookies dus enkel dat doel mogen dienen en geen nevenfuncties mogen en kunnen hebben. Voorbeelden: winkelwagentjes, taalinstellingen, inlogcodes/aanmeldsessies. 4. Staan er banners/advertenties op de website? Controleer of deze banners cookies plaatsen of uitlezen9. Doen zij dat, dan vormt dat dus een praktisch probleem omdat de adverteerder aan de verplichtingen moet voldoen en niet de websitehouder. Op dit punt is er dus nog geen oplossing! 5. De wet is niet van toepassing op websites (of eigenlijk verantwoordelijke partijen) van buiten de EU. B. Toestemming vragen / informatie geven 1. Een aantal mogelijkheden om toestemming te verkrijgen zijn de pop-up en de website layover (semi- transparant menu). Pas nadat daarin informatie is gegeven en toestemming is verkregen mogen cookies geplaatst en uitgelezen worden. 2. Het wordt aanbevolen om gebruikers hun toestemming actief te laten geven: bijvoorbeeld het aanklikken van een vinkbox, het klikken op een acceptatie-knop. 3. Daarbij moet ook duidelijke informatie gegeven worden over de cookies, bij voorkeur wat cookies zijn, wat de betreffende cookies doen, welke informatie de cookies verzamelen, met welk doel de cookies geplaatst en uitgelezen worden, of de informatie aan derden beschikbaar wordt gesteld en zo ja, aan welke derden precies. 4. Bovendien is het verstandig om bewijs te verzamelen (en op te slaan!) van de acceptatie door de websitebezoeker: datum en tijdstip van toestemming, het IP-adres, logbestand van registratie van de toestemming en de cookie zelf10. 8 Een eenvoudige manier is om eerst alle cookies via de browserinstellingen te verwijderen. Bezoek vervolgens de eigen website en bekijk via de browserinstellingen welke cookies er inmiddels opgeslagen zijn. 9 Zie voorgaande voetnoot. 10 Onder techneuten is veel discussie over de juiste, niet-manipuleerbare, makkelijkste en goedkoopste wijze van bewijs verzamelen. Een eenduidig antwoord is nog niet gevonden. Het gaat er in ieder geval om dat achteraf aangetoond kan worden dat de bezoeker toestemming gegeven heeft voor het plaatsen/uitlezen van cookies.
  • 10. C. Overigen 1. Maak duidelijke en schriftelijke afspraken met businesspartners over de nieuwe regels: wie vraagt toestemming, hoe wordt dat gedaan, wie is aansprakelijk, etc. 2. Maak (voor zover van toepassing, of juist uit voorzorg) melding bij het CBP van verwerking van persoonsgegevens11. 11 www.cbpweb.nl the valley b.v. De Entree 230 | 1101 EE Amsterdam | +31 20 451 51 51 | www.thevalley.nl