the valley whitepaper cookieverbod

1,081 views

Published on

Vanaf 5 juni dient iedere website die bezoekersgedrag meet en gegevens daarover vastlegt in bijvoorbeeld cookies (en dat zijn vrijwel alle websites) zich te houden aan de nieuwe cookiewetgeving.

Omdat er bij veel mensen onduidelijkheid is wat de wet nu precies inhoudt en hoe je er als bedrijf mee om moet gaan, hebben wij voor onze klanten en geinteresseerden een whitepaper geschreven waarin we de regeles, de context en de mogelijkheden om je te prepareren eenvoudig zijn uitgelegd door onze legal counsel.

Voor specifieke vragen staan wij natuurlijk klaar om te helpen, vanzelfsprekend!

Vragen? Mail: mariella@thevalley.nl

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,081
On SlideShare
0
From Embeds
0
Number of Embeds
564
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

the valley whitepaper cookieverbod

  1. 1. Cookieverbod Wat betekent de nieuwecookiewetgeving voor jou?
  2. 2. InleidingOnlangs heeft de Eerste Kamer de nieuwe Telecommunicatiewet aangenomen. Deze is alregelmatig in het nieuws geweest omtrent de ‘netneutraliteit’ die erin vastgelegd is. Een anderingrijpend onderdeel van de nieuwe wet is daardoor wat ondergesneeuwd, maar niet minderbelangrijk: er zijn strikte regels voor het gebruik en plaatsen van ‘cookies’.De nieuwe wet zou op 1 juli 2012 in werking treden, uitgezonderd het gedeelte over trackingcookies (zie verderop). Dat zou pas per 1 januari 2013 in werking treden. Omdat Nederlandechter te laat was met de invoering van de nieuwe wet, dreigde de Europese Commissie met eenboete, als gevolg waarvan de wet vervroegd per 5 juni 2012 in werking is getreden. Het gedeelteover tracking cookies zal nog steeds per 1 januari 2013 in werking treden.Omdat de nieuwe regels voor cookies op vrijwel alle (commerciële) websites van toepassingzijn, worden hier de belangrijkste punten onder elkaar gezet. Deze whitepaper is mede tot standgekomen dankzij ABC legal.Minke Feenstralegal counselthe valley, juni 2012
  3. 3. Achtergrond van de nieuwe wetDe nieuwe Telecommunicatiewet (‘de wet’) is het gevolg van Europese regelgeving en had eigenlijk vorigjaar al ingevoerd moeten zijn. Doelstelling van de wet is met name bescherming van de online eindgebruiker(privacy en veiligheid). De regeling omtrent cookies is vastgelegd in het nieuwe artikel 11.7a van de wet.Juridisch-technisch valt er een en ander af te dingen op de wet, maar die discussie wordt hier achterwegegelaten.Het woord ‘cookie(s)’ komt in de wet zelf niet voor, daar wordt gesproken van ‘gegevens die zijn opgeslagenin randapparatuur van de gebruiker1. Strikt genomen strekt de wet zich dus verder uit dan alleen tot cookies,maar voor het gemak wordt die term hier verder aangehouden.Voor wie is de wetswijziging relevant?De nieuwe wet is van invloed op alle websites die gebruik maken van cookies. Verder kan de nieuwe wet vaninvloed zijn op alle (online) adverteerders, publishers, affiliatenetwerken (en dus ook affiliates), mediabureaus,advertentietussenpersonen, websitebouwers, designers en niet te vergeten de bezoekers van websites.De nieuwe hoofdregels voor cookiesVanaf 5 juni 2012 moeten bezoekers van websites vooraf hun toestemming geven voor: 1. het plaatsen van elke cookie; en/of 2. het uitlezen van cookies (door websites).Bij de verkrijging van die toestemming moet de bezoeker van de website: 1. duidelijk en volledig zijn geïnformeerd over de doeleinden waarvoor de website toegang wil verkrijgen tot reeds bestaande cookies; en/of 2. duidelijk en volledig zijn geïnformeerd over de doeleinden waarvoor de website cookies wil plaatsen.Bovenstaande kan dus worden samengevat in twee woorden: informatieplicht en toestemmingsplicht.De websitebezoeker kan zijn toestemming op elk moment ook weer intrekken.1 Daaronder vallen volgens de Memorie van Toelichting bijvoorbeeld ook jpeg- en javascriptbestanden, flashcookies,webtaps, spionagesoftware en dialerprogramma’s.
  4. 4. Inhoud van de informatieplicht2Indien het gaat om ‘persoonsgegevens’ (dit begrip wordt hieronder uitgelegd) moet een websitebezoekeronder meer geïnformeerd worden over de identiteit van de verantwoordelijke (ook dit begrip wordt hieronderuitgelegd) en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd. Daarnaast moet deverantwoordelijke nadere informatie verstrekken voor zover dat gelet op de aard van de gegevens, deomstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is omtegenover betrokkenen een behoorlijke en zorgvuldige verwerking te waarborgen (artikel 33 Wet beschermingpersoonsgegevens, de ‘Wbp’).Indien het gaat om andere gegevens dan persoonsgegevens dan moet in ieder geval informatie verstrektworden omtrent de doeleinden waarvoor de gegevens worden verstrekt.Denk daarbij onder andere aan: wat is een cookie, wat wordt ermee gedaan, wat kan een cookie, wat staat erin een cookie, hoe lang blijft de cookie actief, welke gegevens over de gebruiker kan een cookie prijsgeven?Bovendien moet gemeld worden dat een toestemming ook altijd weer ingetrokken kan worden (en op welkewijze).Extra strenge regelsVoor cookies die persoonsgegevens verwerken, gelden strengere regels. Op deze cookies is namelijk (naast denieuwe Telecommunicatiewet) ook de Wbp van toepassing3.Alle gegevens waarmee iemand geïdentificeerd kan worden zijn persoonsgegevens, denk bijvoorbeeld aannamen, adressen, foto’s, e-mailadressen en IP-adressen (hoewel over die laatste twee discussie bestaat).Onder ‘verwerken’ van persoonsgegevens wordt volgens de Wbp onder meer verstaan: verzamelen, vastleggen,bewaren, bijwerken, opvragen, gebruiken, verstrekken door middel van doorzending, verspreiding of enigeandere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede hetafschermen, uitwissen of vernietigen van persoonsgegevens.De Wbp eist bij cookies die persoonsgegevens verwerken dat er vooraf ‘ondubbelzinnige toestemming’voor de verwerking gevraagd en verleend is. Om het nog ingewikkelder te maken: de Wbp kent naast dezeondubbelzinnige toestemming nog vijf andere grondslagen voor de verwerking van persoonsgegevens. Daarvanzijn hier vooral de volgende van belang: a. de persoonsgegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst, of de voorbereiding daarvan op verzoek van de betrokkene; b. de persoonsgegevensverwerking is noodzakelijk voor de verantwoordelijke om een wettelijke verplichting na te komen;2 Memorie van Toelichting, p. 79-80.3 De Wbp was overigens al van toepassing op deze cookies. Dat de nieuwe wet de Wbp van toepassing heeft verklaard is daarom eigenlijk van geen betekenis, maar een aantal politieke partijen wilde dit graag zo zien.
  5. 5. c. de persoonsgegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.Voor gebruik van niet-noodzakelijke cookies geldt sowieso al de toestemmingsplicht, wat deze‘ondubbelzinnige toestemmingseis’ van de Wbp minder relevant maakt; de bezoeker moet immers sowieso al‘gewone’ toestemming geven voor het plaatsen en uitlezen van cookies. Dan is het een kleine moeite om inplaats van gewone toestemming direct om ondubbelzinnige toestemming te vragen. ‘Ondubbelzinnig’ betekentsimpel gezegd: goed geïnformeerd, uitdrukkelijk en voor één uitleg vatbaar.Voor cookies die persoonsgegevens verwerken, bijvoorbeeld tracking cookies, geldt bovendien een omgekeerdebewijslast die ingaat op 1 januari 2013: vanaf dat moment wordt er vanuit gegaan dat een tracking cookiepersoonsgegevens verwerkt, terwijl dat helemaal niet altijd zo hoeft te zijn. Het is dan de verantwoordelijke diemoet aantonen dat de tracking cookies géén persoonsgegevens verwerkt, dat hij toestemming heeft verkregen,of dat een van hierboven genoemde ‘grondslagen’ van toepassing is.Tot 1 januari 2013 rust deze bewijslast bij de handhavende autoriteiten, waarover hieronder meer.De uitzonderingen op bovenstaande verplichtingenZoals elke wet kent ook deze wet de nodige uitzonderingen op bovenstaande hoofdregels.De informatieplicht en toestemmingsplicht zijn niet van toepassing in het volgende geval: Er zijn situaties waarin de technische opslag of toegang tot gegevens inherent is aan de toegepaste techniek voor de communicatie. Soms zijn cookies gewoonweg noodzakelijk. Hierbij kan gedacht worden aan: a. het gebruik van een winkelwagentje bij een webwinkel; b. inlogsessies op een website; c. voorkeursinstellingen voor websites (bijv. taalinstellingen).Het gaat er bij deze uitzonderingen in ieder geval om dat het gebruik van de website/dienst het plaatsenof uitlezen van cookies (technisch) noodzakelijk maakt en dat de cookie alleen voor dit (technische) doelgebruikt wordt.Voor wie gelden de verplichtingen?De verplichtingen op grond van de nieuwe wet rusten op degene die verantwoordelijk is voor het plaatsenof uitlezen van cookies. In strikt technische zin is dat de internetbrowser (of andere programmatuur) die decookies opslaat, en niet de bezochte website of de partij die de website beheert. Toch bedoelt de wet dielaatstgenoemden als verantwoordelijke partijen aan te wijzen.
  6. 6. Degene die verantwoordelijk is voor het plaatsen of uitlezen van cookies is daarentegen weer niet altijd degenedie verantwoordelijk is voor de bezochte website. Het komt veel voor dat de bezochte website zich als framevoor andere websites voordoet, met andere woorden: via zijn eigen website een andere website vertoont.Een voorbeeld hiervan is een adverteerder die via een banner op een andere website zijn website, bestaandeuit een advertentie, toont. Deze adverteerder kan bij het vertonen van de banner een cookie gebruiken. Op deadverteerder rusten dan de informatie- en toestemmingsplicht voor de door hem gebruikte cookie.Met andere woorden: de websitebezoeker moet – tenzij er sprake is van een uitzondering – altijd zijntoestemming geven, aan de verantwoordelijke partij. De verantwoordelijke partij is niet altijd de beheerder vande bezochte website. Het gevolg is dat soms voor één website meerdere verantwoordelijke zijn aan te wijzen.Apparatuurneutraliteit & fingerprintingDe wet is ‘apparatuurneutraal’. Dat betekent dat de wet van toepassing is op alle websitebezoekers, ongeachtde gebruikte hardware. Inmiddels is er hoeveelheid aan web-enabled devices waarvoor deze wet dus vanbelang is, denk aan o.a. pc, Mac, tablet, telefoon, gameconsole, televisie, digitale decoders, Blu-rayspeler enoverige mediaplayers.Bovendien is de wet – en de informatieplicht en toestemmingsplicht – tevens van toepassing op ‘devicefingerprinting’ (of machine fingerprinting, browser fingerprinting). Als bijvoorbeeld met een computer ofmobiele telefoon een website wordt bezocht, geeft de browser bepaalde instellingen en kenmerken van hetapparaat4 door aan die website.Deze combinatie van instellingen en kenmerken is zo specifiek, dat een adverteerder die via verschillendewebsites dezelfde fingerprint aantreft, er bijna met zekerheid vanuit kan gaan dat het gaat om dezelfdeinternetgebruiker.Door die gegevens te analyseren kan hij afleiden welke websites de (verder ongeïdentificeerde) bezoeker achtereen bepaalde fingerprint heeft bezocht. Hierbij wordt dus surfgedrag gevolgd aan de hand van informatie diewordt gelezen van de apparatuur van een gebruiker.Met deze fingerprints – die geen cookies zijn – kunnen individuele gebruikers aan de hand van de door hungebruikte apparatuur geïdentificeerd worden. Hoe een websitebezoeker kan nagaan of hij gevolgd wordt doorfingerprinting is evenwel niet duidelijk; dat maakt handhaving lastig. Bijvoorbeeld het type besturingssysteem, de browserinstellingen, geïnstalleerde plug-ins, tijdzone en beeldschermgrootte4 en dergelijke.
  7. 7. Praktische gevolgen: vragen om toestemmingEen van de grootste kritiekpunten op de wet is de praktische uitvoerbaarheid ervan, want hoe moeten websiteshun bezoekers om toestemming voor cookies vragen?Bij eigen cookies van een website (first party cookies) is vrij eenvoudig aan de vereisten van informatie entoestemming te voldoen. De websitehouder kan dan bijvoorbeeld via een pop-up om toestemming vragen.Bij cookies van derden (third party cookies) is dit een stuk lastiger; het is immers degene die verantwoordelijkis voor de plaatsing of het uitlezen van cookies die aan de verplichtingen moet voldoen. Het probleem zit hierin de praktische aanpak, want welke third party5 regelt de verkrijging van toestemming van de bezoeker? Ditprobleem zal zich vooral voordoen indien advertenties van derden middels banners op een website getoondworden. De bezoeker bevindt zich op dat moment immers niet op de website van de adverteerder.Google Analytics & Google AdsenseDeze programma’s van Google zijn eenvoudige en handige tools voor websitehouders voor resp. het verzamelenvan statistieken en het plaatsen van advertenties. De programma’s maken beiden gebruik van cookies, maarvallen allebei niet onder de uitzonderingen van de wet: de cookies zijn niet noodzakelijk voor gebruiker, maarenkel handig voor de websitehouder. Voor beide programma’s moet de websitebezoeker dus toestemminggeven (aan Google!).De wet (of eigenlijk de politiek) heeft hier geen oplossing voor gegeven, anders dan dat het bedrijfsleven ermaar een oplossing voor moet bedenken.De wet biedt wel de mogelijkheid voor de adverteerder om met de websitehouder een overeenkomst te sluitenwaarbij de laatste de informatieverplichting namens de adverteerder zal uitvoeren6.Huidige internetbrowsers bieden bovendien geen (eenvoudige) mogelijkheden voor acceptatie van cookies:cookies kunnen wel of niet geaccepteerd worden, maar lang niet alle browsers bieden de mogelijkheid omper afzonderlijke website aan te geven of diens cookies geaccepteerd worden. Voor zover die mogelijkheid alwel bestaat weet het gros van de websitebezoekers niet hoe daarmee om te gaan. Bovendien gaat het dan omcontrole door de bezoeker achteraf, terwijl de wet nu voorafgaande instemming voor plaatsing en het uitlezenvan cookies verplicht stelt.Op haar website geeft de Rijksoverheid wel aan dat het mogelijk is om een bezoeker, bijvoorbeeld via een pop-up in een keer toestemming te vragen voor het plaatsen en uitlezen van cookies via verschillende websites,voor een bepaalde duur (bijvoorbeeld een jaar)7.5 Denk in dit geval bijvoorbeeld aan Google AdSense of Google Analytics. Het is nog niet duidelijk hoe Google omgaat met de nieuwe wetgeving.6 Memorie van Toelichting, p. 81.7 <<http://www.rijksoverheid.nl/onderwerpen/ict/veilig-online-en-e-privacy/internetbezoek-volgen-met-cookies>>.
  8. 8. Handhaving & websites van buiten de EUDe Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) is belast met de handhaving van de nieuwewet. Zij kan boetes opleggen tot EUR 450.000,- en heeft inmiddels extra mankracht aangetrokken omwebsites te kunnen controleren.Daarnaast – voor zover het gaat om verwerking van persoonsgegevens – is ook het College BeschermingPersoonsgegevens bevoegd om handhavend op te treden.De regelgeving is niet van toepassing op websites van buiten de EU, of beter gezegd: op ‘verantwoordelijken’van buiten de EU.ConclusieAls gevolg van nieuwe wetgeving is het plaatsen en uitlezen van cookies slechts toegestaan indien deinternetgebruiker daar duidelijk over is geïnformeerd en zijn toestemming daarvoor heeft gegeven.Cookies die het surfgedrag van internetgebruikers volgen vormen een extra risico vanwege privacywetgeving.De partij die de cookies plaatst of uitleest is de verantwoordelijke en kan door OPTA op de vingers getiktworden. Met name voor websites die advertenties van derden weergeven, bijvoorbeeld middels banners, geeftdit een praktisch probleem. Het is dan namelijk de adverteerder die de toestemming moet vragen, terwijl deinternetgebruiker zich niet op de website van de adverteerder bevindt.
  9. 9. Advies aan websitehouders & ‘verantwoordelijken’A. Toepasselijkheid nieuwe wet 1. De nieuwe wetgeving geldt alleen voor degenen die cookies plaatsen en/of uitlezen. Controleer dus of uw website gebruikt maakt van cookies8. 2. Zo ja, om wat voor soort cookies gaat het dan? Cookies van de eigen website, of third party cookies? 3. Controleer of de cookies noodzakelijk zijn voor het uitvoeren van de diensten op de website. Gaat het om cookies uitsluitend ter uitvoering van de dienst op de website, dan mogen deze zonder voorafgaande toestemming geplaatst en uitgelezen worden. Bedenk wel dat de cookies dus enkel dat doel mogen dienen en geen nevenfuncties mogen en kunnen hebben. Voorbeelden: winkelwagentjes, taalinstellingen, inlogcodes/aanmeldsessies. 4. Staan er banners/advertenties op de website? Controleer of deze banners cookies plaatsen of uitlezen9. Doen zij dat, dan vormt dat dus een praktisch probleem omdat de adverteerder aan de verplichtingen moet voldoen en niet de websitehouder. Op dit punt is er dus nog geen oplossing! 5. De wet is niet van toepassing op websites (of eigenlijk verantwoordelijke partijen) van buiten de EU.B. Toestemming vragen / informatie geven 1. Een aantal mogelijkheden om toestemming te verkrijgen zijn de pop-up en de website layover (semi- transparant menu). Pas nadat daarin informatie is gegeven en toestemming is verkregen mogen cookies geplaatst en uitgelezen worden. 2. Het wordt aanbevolen om gebruikers hun toestemming actief te laten geven: bijvoorbeeld het aanklikken van een vinkbox, het klikken op een acceptatie-knop. 3. Daarbij moet ook duidelijke informatie gegeven worden over de cookies, bij voorkeur wat cookies zijn, wat de betreffende cookies doen, welke informatie de cookies verzamelen, met welk doel de cookies geplaatst en uitgelezen worden, of de informatie aan derden beschikbaar wordt gesteld en zo ja, aan welke derden precies. 4. Bovendien is het verstandig om bewijs te verzamelen (en op te slaan!) van de acceptatie door de websitebezoeker: datum en tijdstip van toestemming, het IP-adres, logbestand van registratie van de toestemming en de cookie zelf10.8 Een eenvoudige manier is om eerst alle cookies via de browserinstellingen te verwijderen. Bezoek vervolgens de eigen website en bekijk via de browserinstellingen welke cookies er inmiddels opgeslagen zijn.9 Zie voorgaande voetnoot.10 Onder techneuten is veel discussie over de juiste, niet-manipuleerbare, makkelijkste en goedkoopste wijze van bewijs verzamelen. Een eenduidig antwoord is nog niet gevonden. Het gaat er in ieder geval om dat achteraf aangetoond kan worden dat de bezoeker toestemming gegeven heeft voor het plaatsen/uitlezen van cookies.
  10. 10. C. Overigen 1. Maak duidelijke en schriftelijke afspraken met businesspartners over de nieuwe regels: wie vraagt toestemming, hoe wordt dat gedaan, wie is aansprakelijk, etc. 2. Maak (voor zover van toepassing, of juist uit voorzorg) melding bij het CBP van verwerking van persoonsgegevens11.11 www.cbpweb.nlthe valley b.v.De Entree 230 | 1101 EE Amsterdam | +31 20 451 51 51 | www.thevalley.nl

×