De praktijk van de nieuwe cookiewet

Er is al veel gezegd over het nieuwe artikel 11.7a Telecommunicatiewet, ook wel de nieuwe cookiewet genoemd, maar er bestaat nog altijd veel onduidelijkheid. Wat zijn de gevolgen van deze wet en hoe kun je er praktisch gezien uitvoering aan geven?

Toepasselijkheid
De nieuwe cookiewet introduceert een aantal verplichtingen voor het gebruik van cookies, java-scripts, spyware, virussen, webtaps en device fingerprinting. Gemakshalve wordt de naam ‘cookie’wet gebruikt, maar de wet is technologieneutraal geformuleerd en geldt dus ook voor andere vormen van online tracken van gebruikers. Dit betekent ook dat er geen onderscheid wordt gemaakt tussen soorten cookies: de nieuwe cookieregels gelden in principe voor alle cookies, dus voor zowel first party als third party cookies, zowel permanent als sessiecookies en zowel http- als flashcookies. Of een cookie een trackingfunctie heeft of niet, is niet van belang voor de verplichtingen onder de nieuwe cookieregels. Dit laat overigens onverlet de verplichtingen op grond van de Wet bescherming persoonsgegevens.

Er bestaan echter twee beperkte uitzonderingen. De nieuwe cookieregels zijn niet van toepassing indien de opslag en toegang tot de cookies noodzakelijk zijn voor uitsluitend:
a. het uitvoeren van communicatie over internet; of
b. de door de internetter gevraagde ‘dienst van de informatiemaatschappij’ te leveren.

Denk bijvoorbeeld aan cookies die nodig zijn om een winkelwagentje te vullen in het bestelproces op een webwinkel.

Gevolgen
Informatie
Wanneer de cookiewet op jouw situatie van toepassing is, dan rust er een aantal verplichtingen op je vóórdat je cookies mag plaatsen en uitlezen. Allereerst moet je de internetter voordat je het cookie plaatst van duidelijke en volledige informatie voorzien. In die informatie moet je in ieder geval het volgende zeggen:

• Wie je bent;
• Welke cookies je gaat plaatsen;
• Waarvoor je de cookies gaat plaatsen en gebruiken;
• Hoe de internetter zijn toestemming kan intrekken;
• Voor welke termijn worden de cookies en opgevraagde informatie opgeslagen.

Naar de letter van de wet is het niet voldoende deze informatie ergens in een privacyverklaring op de website te ‘verstoppen’. Op de website cookierecht.nl staat een aantal (gratis) standaard voorbeeldteksten die gebruikt kunnen worden in de cookieverklaring en uitgebreidere informatie over hoe de informatieverplichting werkt.

Toestemming
De tweede verplichting is de gevraagde toestemming. Deze dient voorafgaand aan het plaatsen en uitlezen van het cookie te gebeuren, en dient op ondubbelzinnige wijze te zijn verkregen. Een heikel punt, want je wil niet dat de gebruiksvriendelijkheid van jouw website lijdt onder deze wettelijke verplichting. Hoe kan je toestemming op een zo gebruiksvriendelijke wijze verkrijgen en toch voldoen aan de wet? Dit is nog niet helemaal duidelijk en de OPTA, de toezichthouder op dit gebied, zwijgt op ieder vlak. Browserinstellingen zouden een uitkomst kunnen bieden, maar deze voldoen volgens de wetgever nog niet aan de wettelijke verplichtingen. Je zult dus zelf de touwtjes in handen moeten nemen voordat je cookies plaatst.

Praktische voorbeelden
In de praktijk wordt daarom inmiddels een aantal initiatieven ontplooid. Een paar mogelijkheden:

• Voordat de internetter de website bereikt, kun je de internetter een webpagina laten zien waarop je zegt wie je bent, welke cookies je plaatst en wat je daarmee doet. Je kunt vervolgens de keuze aanbieden tussen de website zonder cookies en de website met cookies;
• Je kunt op de website gebruikmaken van een pop-up, splashscreen, banner, overlaypagina, toolbar of andere vorm van informatievoorziening over de te gebruiken cookies en daarbij de keuze geven voor het plaatsen of niet plaatsen van het cookie;
• Je kunt op je website slechts ongepersonaliseerde advertenties laten zien met daarbij de vermelding dat de internetter op een button moet klikken om een cookie te plaatsen, dat ervoor zorgt dat de internetter in het vervolg gepersonaliseerde advertenties te zien krijgt;
• Je kunt de internetter bij registratie op de website om toestemming vragen voor plaatsing van cookies en hem voor het verkrijgen ervan van de vereiste informatie voorzien.

De keuze van de internetgebruiker mag je volgens de wetgever ironisch genoeg gewoon opslaan voor de volgende bezoeken van de internetter aan jouw website. Welke mogelijkheid je de internetter biedt, blijft een eigen keuze – de wet stelt niet een bepaalde keuze verplicht, noch laat de OPTA weten welke wijze volgens haar voldoet aan de regels. Dit blijft dus vooralsnog onduidelijk. Het lijkt er echter op dat een notificatie (pop-up) voordat een cookie wordt geplaatst de meest betrouwbare manier is om aan de wet te voldoen. Hopelijk laat de OPTA binnenkort meer weten over de invulling die zij aan de wet geeft.