De cookiewet wordt nu pas echt realiteit De cookiewet wordt nu pas echt realiteit
12/03/2015 News

De cookiewet wordt nu pas echt realiteit

Vanaf vandaag (11 maart) is de versoepelde “cookiewet” in werking getreden. Volgens de nieuwe wet is er geen toestemming nodig wanneer de cookies “geen of slechts geringe inbreuk op de privacy maken”.

Maar hoe zit het dan met de toestemming van alle andere cookies? En wat is een logische manier om daar toestemming voor te vragen?

Op het eerste gezicht lijkt het erop dat de wet minder streng wordt. Echter, in de praktijk zal de handhaving nu pas beginnen en is een goede oplossing in lijn met de wet niet langer uit te stellen. Een notificatie alleen is immers niet meer voldoende.

Wat is een sluitende maar toch flexibele methode om te voldoen aan de wet?

1. Cookies pas plaatsen na (impliciete) toestemming
Na de wijzigingen in de wet is het toegestaan cookies met geringe impact op de privacy van de bezoeker te plaatsen zonder toestemming. Voor andere is (impliciete) toestemming nodig, wat betekent dat cookies pas geplaatst mogen worden na een wilsuiting. Met andere woorden: de techniek achter de site moet zodanig worden aangepast worden dat bepaalde cookies pas na een specifieke actie van de bezoeker worden geplaatst cq. ingeladen.

2. Meer complexiteit door de omgekeerde bewijslast
De omgekeerde bewijslast is een cruciaal onderdeel van de Telecommunicatiewet. Normaal moet de privacytoezichthouder bewijzen dat persoonsgegevens worden verwerkt, en daarna moet de website-exploitant bewijzen dat hij daar toestemming voor heeft of een andere wettige grond voor die verwerking. Bij de cookiewet echter wordt er automatisch vermoed dat er persoonsgegevens worden verwerkt, als er gebruik wordt gemaakt van tracking cookies. Simpel gezegd: tracking cookies zijn persoonsgegevens, tenzij het tegendeel wordt bewezen. Voor het gebruik van persoonsgegevens is toestemming van bezoekers nodig. Er is veel onduidelijkheid geweest hoe je deze toestemming vast moet leggen. Volgens de Wet bescherming persoonsgegevens (Wbp) mag de toestemming niet worden gebonden aan een IP-adres. Maar hoe dan wel? Minister Kamp draagt zelf eenalternatief aan, namelijk dat het bewijs zit in de technische configuratie. In andere woorden, websites zouden uitgerust moeten zijn met een technologie die kan aantonen dat op het moment dat de cookies gezet werden op het device van de bezoeker, de configuratie zo was dat er geen cookies geplaatst konden worden zonder de toestemming van deze gebruiker. Deze dient achteraf niet vervalsbaar te zijn uiteraard. Deze methodiek is door ICTRecht twee jaar geleden reeds geadviseerd en i.s.m. Relay42 bij veel organisaties in praktijk gebracht.

3. Test de impact van de veranderingen voor de marketing
De (impliciete) toestemming van de bezoeker moet een “specifieke en op informatie berustende wilsuiting” betreffen. Dit wil zeggen dat een niet-opvallende notificatiebalk niet volstaat; de bezoeker moet zich terdege realiseren dat er cookies geplaatst (kunnen) gaan worden als men verder gaat. Een duidelijk zichtbare melding kan echter negatieve impact hebben op de gebruikerservaring en commerciële doelen van de website. Het is daarom wenselijk verschillende methodes te testen en de impact en resultaten te vergelijken.

4. Hou data in eigen hand
In lijn met de strengere regels rondom cookiegebruik is er een overkoepelende trend rondom privacybescherming en wetgeving daarvoor. Steeds meer organisaties bouwen daarom data in eigen beheer op met specifieke tooling. Dit vervangt ten dele de praktijk dat profielen bij externe partijen worden opgebouwd via cookies. Met profieldata in eigen beheer houdt men meer grip op welke informatie wordt verzameld, waarvoor deze wordt gebruikt en met wie deze worden gedeeld.

Meer wijzigingen op komst
Het online marketing ecosysteem wordt steeds complexer. Vanuit Europa kan men bovendien meer regelgeving verwachten omtrent dataverwerking en privacy, o.a. met de opkomende Europese Privacyverordening. Deze verordening zal, zoals het er nu naar uitziet, ook hogere boetes en strengere toezichthouders met zich meebrengen. Het is daarom van belang te zorgen dat ook bij het gebruik van cookies je compliant bent met de wet. Het is bijvoorbeeld wettelijk verplicht een bewerkersovereenkomst te sluiten met partijen die ten behoeve van een andere organisatie persoonsgegevens verwerken. Denk bijvoorbeeld aan een hoster of een derde die ondersteuning biedt bij het gebruik van cookies. Het is raadzaam om dergelijke afspraken nog eens goed te controleren. Om nu en in de toekomst te voldoen aan de wet maar toch marketeers en online afdelingen voldoende speelruimte te bieden is flexibele technologie een belangrijke voorwaarde.

Dit artikel is opgesteld door Relay42 i.s.m. ICTRecht. Waar ICTRecht juridisch advies biedt, levert Relay42 SaaS-oplossingen voor het beheren van cookies, tags en data en stelt bedrijven in staat om te voldoen aan privacy regulering op een technisch veilige manier binnen het juridisch kader.