fbpx

Cookiewet voor marketing: wat moet je weten?

5 maart 2018
Posted in GDPR
05 mrt 2018
GDPR
5 maart 2018 Mayke van Gerven

Cookiewet voor marketing: wat moet je weten?

In mijn vorige blog gaf ik aan dat er naast de GDPR nog meer nieuwe privacy regelgeving op komst is op Europees niveau. De ePrivacy verordening zal namelijk de ePrivacy richtlijn vervangen. Deze regelgeving ziet hoofdzakelijk toe op cookies (inclusief aanverwante technologieën) en e-marketing. De verordening moet voor meer harmonie zorgen tussen de verschillende EU landen. In deze blog zal ik me focussen op de regels omtrent de cookiewet en aanverwante technologieën. Daarbij richt ik me op de huidige wet, maar zal ik ook een blik werpen op de toekomst.

De oude cookiewet gaat op de schop

Momenteel is in Nederland de Telecommunicatiewet (ook wel Cookiewet genoemd) van toepassing.
Deze wetgeving wordt veelvuldig overtreden. Bezoekers van websites wordt vaak toestemming gevraagd door middel van een banner. Echter, hierbij wordt vaak vergeten de bezoeker voldoende te informeren over de categorieën cookies en het doel van de gegevensverzameling. Daarnaast wordt de bezoeker regelmatig misleid. Een voorbeeld daarvan is het plaatsen van een rode button in de banner waarin de tekst staat “ik ga akkoord”, net als in de groene button. Wat impliceert dat de bezoeker een keuze kan maken maar dit daadwerkelijk dus niet zo is.

Eisen Cookiewet

Maar wat eist de Cookiewet eigenlijk precies? En welke categorieën cookies bestaan er? Cookies worden voornamelijk onderverdeeld in functionele, analytische en tracking cookies (zie website ACM):

  1. Volgens de cookiewet is voor het gebruik van functionele cookies geen toestemming vereist. Denk aan de cookie die onthoudt wat je in je winkelmandje stopt of wat je taalkeuze is.
  2. Daarnaast zijn analytische cookies zonder toestemming beperkt toegestaan. Op voorwaarde dat dit geen of geringe gevolgen heeft voor de privacy van de gebruiker en met de bedoeling informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst. Hierbij kun je denken aan cookies bedoeld om bezoeksstatistieken bij te houden. First party analytische cookies zullen in veel gevallen geringe gevolgen hebben voor de privacy van de gebruiker. Maak echter wel altijd die afweging. Op third party analytische cookies zijn strengere eisen van toepassing. Maak je echter gebruik van Google Analytics, dan kan het zijn dat toestemming niet vereist is doordat Google Analytics privacyvriendelijk kan worden ingesteld, naar advies van de Autoriteit Persoonsgegevens.
  3. De derde categorie, tracking cookies, vereist altijd toestemming van de websitebezoeker. Deze cookies verzamelen persoonsgegevens over bezoekers door online gedrag te volgen. Voorbeelden van tracking cookies zijn advertentiecookies en social media plug-in cookies. Zonder toestemming mogen deze cookies niet geïnstalleerd worden.

Hoe zit het met de toestemming?

Hoe moet die toestemming eigenlijk worden verkregen? De cookiewet verwijst naar de GDPR/AVG voor een antwoord op die vraag. De toestemming moet geïnformeerd, vrij, specifiek en ondubbelzinnig worden verkregen. Let daarbij op dat de toestemming altijd alvorens het plaatsen van de cookies wordt verkregen. Ondubbelzinnig houdt in, dat elke twijfel dient te zijn uitgesloten over de vraag of de betrokkene toestemming heeft gegeven. Een manier om hieraan te voldoen is twee duidelijke knoppen, een met ‘ja, ik ga akkoord’ en een met ‘nee, ik ga niet akkoord’. Natuurlijk zijn hier variaties op mogelijk. Zo hoeft een website banner niet persé verkeerd te zijn, zo lang de bezoeker maar voldoende wordt geïnformeerd. Dit kan ook worden gedaan via een pop-up. De informatie die daarin staat moet aan bepaalde eisen voldoen. Onder andere moet duidelijk worden gemaakt om welke categorieën cookies het gaat, het doel van de cookies, en een link naar meer informatie omtrent de cookies (bijvoorbeeld de cookieverklaring). Uit de cookieverklaring moet duidelijk worden welke cookies van derden zijn en wat het doel is. Link daarbij naar de privacyverklaring van de derde partij.

Voorgaande regels zijn niet alleen van toepassing op cookies maar ook op aanverwante technologieën. Denkt u hierbij aan web beacons, hidden pixels, Javascript, web tags, etcetera. Bij gebruik van deze technologieën moet dus ook altijd worden bekeken wat de functie is, wat de impact ervan is op de privacy van de websitebezoeker en of er dus toestemming gevraagd moet worden.

In Nederland zullen, met de komst van de ePrivacy verordening, grote veranderingen omtrent bovenstaande regels uitblijven. Nederland heeft momenteel namelijk een streng regime omtrent cookies. U zult na het van kracht worden van die regelgeving (2019 wellicht) dus niet voor grote verrassingen komen te staan.

Over de auteur: Sonja Pijnenburg

Sonja Pijnenburg is Interim Privacy Counsel bij DPA Privacy. Ze heeft in september 2016 haar master Law&Technology afgerond aan        Tilburg University. Daarna heeft ze in Argentinië vrijwilligerswerk gedaan en aansluitend een reis gemaakt. Ze heeft voor haar huidige baan gekozen omdat ze al tijdens haar master interesse kreeg in het privacyrecht, vooral de toepassing van relevante wetgeving in de praktijk. Als Privacy Counsel met CIPP/e certificering geeft ze advies aan een breed segment bedrijven en organisaties. Naast reizen, kookt ze graag, is ze fanatiek sporter en is ze regelmatig bezoeker van concerten.

Cookiewet

 

,