De Privacy Consultant
Meesters in het privacyrecht

Cookies

Wat zijn cookies

Cookies zijn gegevens die door websites in browsers kunnen worden opgeslagen en weer worden uitgelezen. Bij een eerste bezoek aan een website kan een cookie worden geplaatst. Bij een tweede bezoek aan deze website wordt het cookie uitgelezen en weet de website bijvoorbeeld dat dit geen nieuwe bezoeker is.

De website zelf bepaalt de inhoud van een cookie. Dit kan bijvoorbeeld een "1" zijn, in het geval dat de website moet weten of het een nieuwe bezoeker betreft. Het kan echter van alles zijn. Tegenwoordig wordt vaak een zogenaamd tracking cookie geplaatst. Dit is een cookie met daarin een uniek nummer. De website kan op deze manier volgen hoe vaak iemand de website bezoekt en welke pagina's diegene bijvoorbeeld doorbladert.

Daarnaast kunnen cookies ook voor diverse website worden uitgelezen. Indien men naar website A surft, kunnen cookies voor website B worden geladen en weet website B dat de gebruiker website A bezoekt. Dit gebeurt wanneer website A bijvoorbeeld een script van website B gebruikt.

Welke regels zijn van toepassing?

Vaak zullen cookies persoonsgegevens bevatten, maar dit zal niet altijd het geval zijn. In het geval er persoonsgegevens in de cookies worden geplaatst (zoals tracking cookies), dan is de AVG onverkort van toepassing. Daarnaast is de Telecommmunicatiewet van toepassing op cookies. Daarin wordt niet gesproken over persoonsgegeven, maar over "het opslaan of toegang verkrijgen tot informatie in de randapparatuur van de gebruiker".1 Dit betekent dat het voor de Telecommunicatiewet niet uitmaakt of er persoonsgegevens in het cookie staat of niet.

Aangezien de Telecommunicatiewet spreekt van informatie in randapparatuur, betreft dit echter meer soorten functionaliteiten dan alleen cookies. Hieronder valt bijvoorbeeld ook de installatie van een mobiele applicatie op de telefoon. Hoewel een mobiele app niet hetzelfde is als een cookie, betreffen beide informatie in de zin van de Telecommunicatiewet.

Niet alleen het opslaan van of het verkrijgen van toegang tot informatie via het internet valt onder deze wetgeving, ook het opslaan van of het toegang verkrijgen van toegang tot informatie via offline-methoden vallen hieronder.2 Hierbij kan worden gedacht aan fysieke media zoals een cd-rom, usb-sticks of draadloze transmissie zoals bluetooth.3

Wanneer en hoe moet toestemming worden gevraagd?

Op grond van de Telecommunicatiewet moet altijd toestemming worden gevraagd, tenzij:

  1. het uitsluitend doel de communicatie over een elektronisch communicatienetwerk uit te voeren betreft;
  2. het strikt noodzakelijk is om de gebruiker de gevraagde dienst te leveren, mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de gebruiker; of
  3. het strikt noodzakelijk is om informatie te verkrijgen over de kwaliteit of effectiviteit van de geleverde dienst.4

Indien een van deze drie uitzonderingen van toepassing is, kunnen cookies zonder toestemming worden geplaatst en uitgelezen. De grondslag onder de AVG betreft hiervoor het eigen gerechtvaardigd belang.5 Indien aan een van de drie eisen uit de Telecommunicatiewet wordt voldaan, is toestemming op grond van de AVG voorts niet vereist.

Hieronder zal een overzicht worden gegeven per soort cookie en of er sprake moet zijn van toestemming voor de verwerking hiervan.

Load balancing cookies

Load balancing is een techniek een techniek bij computernetwerken die het mogelijk maakt om het werk te verdelen over meerdere computers. De gebruiker maakt verbinding met de load balancer en deze plaatst een cookie bij de gebruiker waarin staat beschreven naar welke server deze wordt gestuurd. Hierdoor kunnen opvolgende verzoeken naar dezelfde server worden gestuurd. De informatie in deze cookie is uitsluitend bedoeld om de gebruikte server te identificeren, oftewel om communicatie over een elektronisch communicatienetwerk uit te voeren. Er hoeft hiervoor dan ook geen toestemming van de bezoeker worden gevraagd.

Functionele cookies

Functionele cookies zijn cookies die bijvoorbeeld bijhouden hoeveel producten u in uw digitale winkelmandje heeft zitten of die worden gebruikt voor het bijhouden van een sessie zodat u ingelogd blijft op de website. Indien Bol.com bijvoorbeeld geen cookie kon plaatsen om de sessie van de gebruiker te onthouden, kan de gebruiker nooit inloggen en werkt de website niet.

Het begrip "strikt noodzakelijk" dient beperkt te worden uitgelegd, maar niet zozeer dat de ondergrens de technische noodzakelijkheid betreft. Een cookie voor het digitale winkelmandje is technisch niet noodzakelijk voor het functioneren van een website, maar wel vereist wil de website functioneel werken. Per geval moet worden onderzocht of van deze uitzondering gebruik kan worden gemaakt.

Daarnaast mogen deze cookies geen of slechts een geringe gevolgen hebben voor de persoonlijke levenssfeer van de gebruiker. Hierbij kan gekeken worden of de aard van de cookie privacy gerelateerd is.

Toestemming voor deze cookies is niet vereist als aan de bovenstaande eisen is voldaan.

Tracking cookie

Een tracking cookie wordt gebruikt voor het volgen van een persoon over een of meerdere websites. In tegenstelling tot de functionele cookie is de aard van een tracking cookie privacy gerelateerd.

Dergelijke cookies vallen dan ook niet onder een van de uitzonderingsgronden en hiervoor moet toestemming worden gevraagd.

Analytische cookies

Analytische cookies worden gebruikt om te analyseren op welke manier een gebruiker de website gebruikt. Hoeveel gebruikers heeft de website en welke browsers worden er gebruikt? Met de antwoorden op deze vragen kunnen organisaties hun website verbeteren.

Vaak worden deze cookies nog onderverdeeld in first party en third party cookies. In het geval van third party cookies worden de cookies door derden geplaatst. First party cookies daarentegen worden door de organisatie zelf geplaatst. Een website kan bijvoorbeeld Google Analytics gebruiken. Google plaatst dan haar eigen cookies via de website van een ander. De wetgever maakt echter geen onderscheid tussen first en third party cookies.

Daar waar de aard van functionele cookies helemaal niet privacy gerelateerd is en de aard van tracking cookies volledige privacy gerelateerd, ligt de aard van analytisch cookies tussen beiden in. Er dient te worden gekeken naar bijvoorbeeld de kwantiteit en de aard van de gegevens welke verzameld worden. Een analytisch cookie, welke door een externe partij zoals Facebook wordt geplaatst, zou immers ook de gebruiker kunnen volgen over meerdere websites. Per geval dient te worden onderzocht of hier sprake van is. Indien dit het geval is, zal toestemming van de bezoeker moeten worden gevraagd.

Specifiek voor Google Analytics heeft de Autoriteit Persoonsgegevens (AP) een advies uitgebracht.6 Indien organisaties dit advies opvolgen, hoeft voor deze cookies geen toestemming te worden gevraagd. Dit advies geldt echter alleen voor Google Analytics.

Overzicht toestemmingsvereiste

Soort Toestemming vereist?
Functionele cookie Nee.
Google Analytics cookie Nee, mits voldaan aan het advies van de AP.
Analytische cookie Ja, tenzij er slechts sprake is van een geringe inbreuk op de privacy.
Tracking cookie Ja.

Toestemming vragen en informatievoorziening

Indien duidelijk is dat de website toestemming moet vragen voor het plaatsen van de cookie, zal nog duidelijk moeten worden gemaakt op welke wijze dit moet gebeuren, wie toestemming moet vragen, welke informatie moet worden verstrekt en of de gebruiker de toegang mag worden geweigerd indien de gebruiker geen toestemming geeft. Deze onderdelen worden hieronder behandeld.

Hoe moet toestemming worden gevraagd?

Voor het geven van toestemming moet er sprake zijn van een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting door middel van een verklaring of een ondubbelzinnige actieve handeling.7 Dit betekent dat toestemming niet in de algemene voorwaarden kan worden gegeven en dat toestemming per categorie cookie of website mogelijk moet zijn. Dit heeft geleid tot de vele popups en banners waarin om toestemming wordt gevraagd. Praktisch is dit niet handig, maar de wet schrijft dit wel zo voor.

Er zijn voorstellen om deze toestemming in de browser van de gebruiker op te slaan. Deze wijze van toestemming is echter niet specifiek genoeg om te voldoen aan de huidige regelgeving. Daarnaast zullen oude browsers dit vervolgens ook moeten gaan implementeren.

Wie moet toestemming vragen?

Een letterlijke lezing van de wetgeving houdt in dat diegene die de cookies plaatst ook om toestemming moet vragen. Dit zou betekenen dat elke derde partij die cookies op de website van een organisatie plaatst, individueel om toestemming zou moeten vragen. In dat geval zal bijvoorbeeld Facebook om toestemming moeten vragen voor welke website waarop haar like-knop staat geplaatst. Een meer reële interpretatie, welke leidt tot een meer praktische oplossing, houdt in dat om toestemming moet worden gevraagd door diegene die het plaatsen van de cookies initieert.

Diegene die opzettelijk cookies laat plaatsen, waaronder cookies door derden, waarbij het vragen van toestemming door derden niet gebeurt, zal zelf om toestemming moeten vragen. Dit betekent dat de beheerder van een website toestemming moet vragen om niet alleen zijn eigen cookies te plaatsen, maar ook om cookies van derden, zoals Facebook, te mogen plaatsen.

Welke informatie moet aan de gebruiker worden verstrekt?

Indien toestemming gebruikt wordt als grondslag voor het plaatsen van cookies, dan dient de bezoeker van de website de volgende informatie te krijgen:

  • de doeleinden waarvoor het cookie wordt gebruikt;
  • de soorten persoonsgegevens die via de cookie wordt verzameld;
  • de categorieën van derden aan wie deze persoonsgegevens worden verstrekt;
  • de bewaartermijn van deze persoonsgegevens; en
  • andere informatie die nodig is om de bezoeker een eerlijk beeld te geven van de gegevensverwerking.8

De cookiemuur

Lange tijd was het onduidelijk of een gebruiker van een website mag worden geweerd, indien deze geen toestemming geeft voor het plaatsen van cookies. De AP heeft op 7 maart 2019 hieraan een nieuwsbericht besteed en concludeert dat de bezoeker in dergelijke gevallen de toegang niet mag worden ontzegd middels een cookiemuur.9

Een cookiemuur zou immers geen vrije keuze bieden, omdat websitebezoekers zonder het geven van toestemming geen toegang tot de website krijgen. Op grond van de AVG is toestemming niet vrij als iemand geen echte of vrije keuze heeft. Of als diegene het geven van toestemming niet kan weigeren zonder nadelige gevolgen, aldus de AP.

Historie van deze regelgeving

Bij de wijziging van de Telecommunicatiewet in 2014 heeft de wetgever zich ook over dit onderwerp uitgelaten en stelt dat:

De cookiebepaling schrijft alleen voor dat hij zonder toestemming geen cookies mag plaatsen. Een cookiemuur is over het algemeen dan ook een rechtmatige manier om aan het toestemmingsvereiste in de cookiebepaling te voldoen. Ook al is dit niet de meest gebruiksvriendelijke manier en is het technisch ook nooit noodzakelijk, het staat de websitehouder in beginsel wel vrij om te bepalen of hij een bezoeker die geen toestemming geeft voor het gebruik van cookies, al dan niet toegang geeft tot zijn website10

Deze stelling betekent volgens de wetgever echter niet dat een cookiemuur altijd rechtmatig is:

Daar is in ieder geval sprake van als de bezoeker zo afhankelijk is van de via een bepaalde website aangeboden diensten en informatie, dat er door het gebruik van de cookiemuur geen sprake meer kan zijn van een vrije wilsuiting, bijvoorbeeld als aan het niet-toestemming geven, de consequentie wordt verbonden dat de internetgebruiker een wettelijk recht (bijvoorbeeld nummerbehoud bij het overstappen naar een andere telefonie-aanbieder) niet kan uitoefenen, een wettelijke plicht (bijvoorbeeld belastingaangifte) niet kan naleven, of minder goede medische zorg krijgt.

Deze overweging werd gebaseerd op overweging 25 van de (nog steeds geldende) e-Privacyrichtlijn:

(..)Aan toegang tot specifieke inhoud van een website kan nog altijd de voorwaarde worden verbonden dat een cookie of soortgelijke voorziening, indien gebruikt voor een legitiem doel, bewust wordt aanvaard.

Tijdens de behandeling van het advies van de voorganger van de AP, het College Bescherming Persoonsgegevens (CBP), over de cookiemuur, is de wetgever het niet eens met het CBP:

In het kader van het toestemmingsvereiste gaat het CBP in op het afhankelijk stellen van toegang tot de website van het geven van toestemming voor het plaatsen/lezen van cookie (de cookiemuur). Het CBP wijst daarbij op de laatste volzin van overweging 25 van de e-Privacyrichtlijn: ‘Aan toegang tot specifieke inhoud van een website kan nog altijd de voorwaarde worden verbonden dat een cookie of soortgelijke voorziening, indien gebruikt voor een legitiem doel, bewust wordt aanvaard.’ Hieruit lijkt het CBP, a contrario, uit af te leiden dat het afhankelijk maken van de toegang tot de gehele website van het geven van toestemming voor het gebruik van cookies, niet is toegestaan. De regering deelt deze lezing echter niet.11

Deze lezing van de AP past echter wel in de interpretatie van de AVG in de richtsnoeren van de Artikel 29 werkgroep (thans European Data Protection Board). In deze richtsnoeren inzake toestemming overeenkomstig de AVG wordt het volgende voorbeeld geschetst:

Een mobiele app voor fotobewerking vraagt haar gebruikers om hun GPS-lokalisatie te activeren voor het gebruik van haar diensten. De app deelt haar gebruikers ook mee dat zij de verzamelde gegevens zal gebruiken voor doeleinden van gerichte reclame op basis van surfgedrag (behavioural advertising). Zowel de geolokalisatie als de behavioural advertising zijn niet nodig voor het verstrekken van de fotobewerkingservice, en vallen buiten de levering van de aangeboden kerndienst. Omdat gebruikers de app niet kunnen gebruiken zonder met deze doeleinden in te stemmen, kan de toestemming niet worden beschouwd als vrijelijk gegeven.12

Zij stelt dat indien toestemming wordt samengevoegd als een niet onderhandelbaar onderdeel van voorwaarden, wordt deze verondersteld niet vrij gegeven te zijn. Zij eindigen met de overweging welke in lijn is met het advies omtrent de cookiemuur:

De WP29 is van mening dat toestemming niet kan worden beschouwd als vrijelijk verleend als een verwerkingsverantwoordelijke aanvoert dat er een keuze is tussen zijn dienst die toestemming omvat voor het gebruik van persoonsgegevens voor aanvullende doeleinden enerzijds, en een gelijkwaardige dienst die wordt aangeboden door een andere verwerkingsverantwoordelijke anderzijds. In een dergelijk geval zou de keuzevrijheid afhankelijk worden gemaakt van wat andere spelers in de markt doen, en of een individuele betrokkene de diensten van de andere verwerkingsverantwoordelijke echt gelijkwaardig vindt. Dit zou voorts een verplichting inhouden voor verwerkingsverantwoordelijken om de ontwikkelingen op de markt te volgen, om de blijvende geldigheid van toestemming van hun verwerkingsactiviteiten te waarborgen, omdat een concurrent haar diensten in een later stadium zou kunnen wijzigen. Het gebruik van dit argument betekent dus dat deze toestemming niet voldoet aan de AVG.13

 

Wel of geen cookiemuur?

De AP en andere toezichthouders lijken hun interpretatie op grond van de AVG door te trekken naar de cookiemuur. Het gevolg van deze normuitleg is dat websites die op dit moment cookies gebruiken voor hun verdienmodel, dit volgens de AP moeten wijzigen. De toegankelijkheid van website zou met deze gedachtegang niet afhankelijk mogen zijn van het plaatsen van cookies.

Ook de e-Privacyverordening, die de e-Privacyrichtlijn vervangt, verbiedt een dergelijke cookiemuur niet. Het is uiteindelijk de vraag of op grond van de AVG het verbod tot het gebruik van een dienst altijd leidt tot het niet vrijelijk toestemming kunnen verlenen. Het is uiteindelijk aan de rechter om deze vraag te beoordelen, maar dit zal wellicht nog een lange tijd duren.

e-Privacyverordening

De definitieve e-Privacyverordening wordt binnenkort bekend gemaakt. Deze pagina zal op dat moment worden geüpdatet om u over deze nieuwe regels op de hoogte te stellen.

 
Neem vrijblijvend contact op
Wilt u weten of uw website voldoet aan de wet- en regelgeving? Neem dan vrijblijvend contact met ons op.

Voetnoten

  1. Artikel 11.7a Tw.
  2. Artikel 11.7a lid 2 Tw
  3. https://zoek.officielebekendmakingen.nl/dossier/33902/kst-33902-3, p. 2
  4. Artikel 11.7a lid 3 Tw.
  5. Artikel 6 lid 1 sub f AVG.
  6. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/138._handleiding_privacyvriendelijk_instellen_google_analytics_aug_2018.pdf
  7. Artikel 11.1 sub g Tw jo. artikel 4 sub 11 AVG.
  8. Artikel 11.7a lid 1 sub a Tw jo. artikel 13 AVG.
  9. https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/websites-moeten-toegankelijk-blijven-bij-weigeren-tracking-cookies
  10. Kamerstukken II 2013/14, 33902, nr. 3, p. 15.
  11. Staatscourant 31 maart 2014, nr. 9236, p. 27.
  12. WP259, p. 6.
  13. WP259, p. 11.