Cookies en toestemming Cookies zijn kleine tekstbestanden die op een computer worden geplaatst en worden uitgelezen door de browser bij het openen van een internetpagina. - DDMA 2012 Inleiding Met de herziening van de e-Privacyrichtlijn1 in 2009 zijn de wettelijke vereisten voor het plaatsen van cookies aangescherpt. De aanscherping omvat onder meer een wijziging van artikel 5 lid 3 van de oude e-Privacyrichtlijn2 uit 2002, die betrekking heeft op het plaatsen van informatie op eindapparatuur (zoals een computer of een smartphone), en het uitlezen van informatie die daarop is opgeslagen. Hoewel het begrip ‘informatie’ ruimer is, ziet deze bepaling hoofdzakelijk op het plaatsen en uitlezen van cookies. Op basis van de oude e-Privacyrichtlijn was het voldoende dat de mogelijkheid werd geboden cookies te weigeren (opt-out). Cookies werden echter veelal zonder medeweten van de gebruiker geplaatst, terwijl de gebruiker geen informatie ontving over de gegevens die werden verzameld. De Europese wetgever was van mening dat onder die omstandigheden de opt-outregeling niet werkte. Als de gebruiker niet weet dat en welke gegevens worden verzameld, zal hij dat ook niet kunnen weigeren. Als gevolg van technologische ontwikkelingen werd het echter mogelijk steeds grotere hoeveelheden informatie te verzamelen en te analyseren en op basis daarvan individuele gebruikersprofielen vast te Het vereiste van toestemming en het stellen. In de jaren na 2002 ontstond op grond daarvan een markt voor verstrekken van informatie geldt in behavioral advertising, het aanbieden beginsel voor alle typen cookies. van op het profiel van gebruikers afgestemde advertenties.
Privacyrichtlijn.3 Het vereiste van toestemming en het verstrekken van informatie geldt in beginsel voor alle typen cookies. Uitgezonderd van het toestemmingsvereiste zijn cookies die noodzakelijk zijn voor de goede werking van een website.4 De Artikel 29 Werkgroep, het adviesorgaan van de Europese Commissie op privacygebied waarin de toezichthouders van De Artikel 29 Werkgroep de 27 EU-lidstaten zijn vertegenwoordigd, heeft heeft een zevental cookies in een opinie over ‘Cookie Consent Exemptions’ een zevental cookies geïdentificeerd die onder geïdentificeerd waarvoor de uitzondering vallen, waaronder sessiongeen toestemming nodig is. ID-cookies, load-balancing-sessioncookies en authenticatiecookies.5 Als de met een cookie verzamelde gegevens gekwalificeerd kunnen worden als persoonsgegevens (tot een individueel persoon herleidbare informatie) dan zijn naast de e-Privacyrichtlijn ook de andere bepalingen van de Privacyrichtlijn van toepassing.
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de
3
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbL 281 van 23/11/1995, blz. 31 - 50, te vinden op http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML. De uitzondering betreft ‘enige vorm van technische opslag met als uitsluitend doel de uitvoering van de
4
verzending van de communicatie over een elektronisch communicatienetwerk of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.’ Artikel 29 Werkgroep, Opinion 04/2012 on Cookie Consent Exemption, WP194, van 7 juni 2012. Te vinden
5
op http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/ files/2012/wp194_en.pdf.
Onder de herziene e-Privacyrichtlijn is het plaatsen en uitlezen van cookies alleen nog toegestaan als de betreffende abonnee of gebruiker daarvoor toestemming heeft gegeven op basis van duidelijke en volledige informatie. Deze omschrijving is ontleend aan de
Daarin worden de volgende cookies genoemd, voor het plaatsen en uitlezen waarvan geen toestemming nodig is: 1) User input cookies (session-id), for the duration of a session or persistent cookies limited to a few hours in some cases. 2) Authentication cookies, used for authenticated services, for the duration of a session.
1
2
Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, Pb L 337,
3) User centric security cookies, used to detect authentication abuses, for a limited persistent duration.
blz. 11 – 36, 18/12/2009, te vinden op http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:
4) Multimedia content player session cookies, such as flash player cookies, for the duration of a session.
0011:0036:nl:PDF.
5) Load balancing session cookies, for the duration of a session.
Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie, Pb. L 201 van 31/07/2002, blz. 37 – 47, te vinden op http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0037:NL:PDF.
98privacy: tips en tricks voor de ondernemingspraktijk
6) UI customization persistent cookies, for the duration of a session (or slightly more). 7) Third party social plug-in content sharing cookies, for logged in members of a social network.
HOUTHOFF BURUMA99
Soorten cookies Met het oog op het bepalen van de reikwijdte van artikel 5 lid 3 van de herziene e-Privacyrichtlijn wordt doorgaans onderscheid gemaakt tussen verschillende categorieën cookies: (i) technische cookies, (ii) analytische en statistische cookies en (iii) trackingcookies. Technische cookies zijn de cookies die noodzakelijk zijn voor het faciliteren van het gebruik van een website. Een voorbeeld is een cookie die de door de gebruiker gekozen taal onthoudt of die bijhoudt welke producten een gebruiker van een website in zijn mandje heeft geplaatst alvorens af te rekenen. Een ander voorbeeld zijn beveiligingscookies die bij online bankieren worden gebruikt om de beveiligde verbinding met de klant te ondersteunen. Al deze cookies bewaren alleen informatie tijdens of ten behoeve van de sessie van een gebruiker. Analytische en statistische cookies zijn cookies die bijvoorbeeld het aantal unieke bezoekers van een website tellen of informatie verzamelen over het surfgedrag op een website. Er is discussie over de vraag of deze cookies vallen onder de uitzondering van cookies die noodzakelijk zijn om het gebruik van de website te faciliteren. Recent heeft minister Kamp van Justitie zich op het standpunt gesteld dat het toestemmingsvereiste niet geldt voor ‘first party analytische cookies’, waarmee de websitehouder uitsluitend gegevens over het gebruik van de eigen website verzamelt ten behoeve van het verbeteren van de werking van die website.6 In het algemeen wordt ervan uitgegaan dat de De minister heeft aan de toestemming moet zijn verleend voordat een OPTA gevraagd de nadere cookie mag worden geplaatst of uitgelezen. voorwaarden hiervoor uit te werken, waaronder in ieder geval dat met de cookies uitsluitend geanonimiseerde gegevens mogen worden verzameld die niet met derden worden gedeeld. De Franse privacytoezichthouder CNIL7 is van mening dat cookies die uitsluitend tijdens een gebruikssessie statistische informatie verzamelen over het gedrag op de website zijn uitgezonderd van het toestemmingsvereiste.8
of in opdracht van de websitehouder – geplaatst door een advertentienetwerk. Het advertentienetwerk verzamelt op die manier grote hoeveelheden gegevens, waarmee profielen van de gebruikers worden opgesteld. Deze profielen worden vervolgens ‘verkocht’ aan adverteerders, in die zin dat zij tegen betaling opdracht geven aan het advertentienetwerk om een bepaalde advertentie te tonen aan gebruikers met het gekochte profiel. Een deel van deze inkomsten draagt het advertentienetwerk af aan de websitehouder die hem toestemming of opdracht heeft gegeven om de cookie te plaatsen. Advertentienetwerken bewaren de profielgegevens veelal langere tijd (enkele jaren). Implementatie in Nederland Het gewijzigde artikel 5 lid 3 Richtlijn is in Nederland geïmplementeerd in artikel 11.7a Telecommunicatiewet (Tw),9 dat op 5 juni 2012 in werking is getreden.10 Het begrip toestemming in artikel 11.7a Tw heeft dezelfde betekenis11 als in artikel 1, onder i, van de Wet bescherming persoonsgegevens (Wbp).12 Daarin is toestemming omschreven als: ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt’. In het algemeen wordt ervan uitgegaan dat de toestemming moet zijn verleend voordat een cookie mag worden geplaatst of uitgelezen. Ondubbelzinnige toestemming? Sindsdien is in verschillende media en fora de mening verkondigd dat artikel 11.7a Tw voor trackingcookies in beginsel ondubbelzinnige toestemming vereist.13 Dat is echter niet het geval. Toepasselijkheid van de Wbp betekent wel dat er een rechtvaardigingsgrond voor verwerking moet zijn, maar dat kan ook een andere dan toestemming zijn.
Stb. 1998, 610.
9
Wet van 10 mei 2012 tot wijziging van de Telecommunicatiewet ter implementatie van de herziene
10
telecommunicatierichtlijnen, Stb. 2012, 235. 11
Artikel 11.1 onderdeel g. Tw bepaalt dat in hoofdstuk 11 wordt verstaan onder toestemming van een gebruiker of abonnee: ‘toestemming van een betrokkene als bedoeld in artikel 1, onder i, van de Wbp, met dien
Trackingcookies zijn cookies die gegevens verzamelen over het gedrag van een gebruiker op de websites die hij bezoekt. Dergelijke cookies worden doorgaans – met toestemming
verstande dat de toestemming mede betrekking kan hebben op gegevens van abonnees die geen natuurlijke personen zijn’. Stb. 2001, 302.
12 6
Brief d.d. 20 december 2012 van minister Kamp aan de Tweede Kamer. Te vinden op http://rijksoverheid.nl/
13
Waaronder de Rijksoverheid: ‘de wet gaat er dan vanuit dat wie een cookie plaatst om surfgedrag te volgen,
documenten-en-publicaties/kamerstukken/2012/12/20/kamerbrief-olver-analytische-cookies-en-artikel-11-
dat doet om persoonsgegevens te verwerken. Dit betekent dat voor cookies die surfgedrag volgen in de
7a-van-de-telecommunicatiewet.html.
regel ondubbelzinnige toestemming vereist is’. Zie http://www.rijksoverheid.nl/onderwerpen/ict/veilig-
7
Commission nationale de l’informatique et des libertés. Zie http://www.cnil.fr/english/.
online-en-e-privacy/internetbezoek-volgen-met-cookies. Op de site Cookierecht staat vermeld: ‘tracking
8
CNIL, What the Telecoms Package changes for cookies. Te vinden op http://www.cnil.fr/english/news-and-
cookies vallen onder de privacywet en vereisen expliciete en ondubbelzinnige toestemming voordat ze
events/news/article/what-the-telecoms-package-changes-for-cookies/.
100privacy: tips en tricks voor de ondernemingspraktijk
mogen worden geplaatst’. Zie https://cookierecht.nl/diensten/juridisch-advies/achtergrond-cookiewet/.
HOUTHOFF BURUMA101
Artikel 8 Wbp bevat Bij de kamerbehandeling is op het laatste immers een zevental rechtvaardigingsgronden moment het wettelijk vermoeden toegevoegd voor de verwerking dat het gebruik van trackingcookies een van persoonsgegevens en ondubbelzinnige verwerking van persoonsgegevens is. toestemming (onderdeel a) is er daar één van. Zoals in de Memorie van Toelichting bij dit artikel is benadrukt is deze grond echter niet exclusief en kunnen ook op andere in artikel 8 genoemde gronden gegevens worden verwerkt.14 Persoonsgegevens mogen ook op grond van een van de andere in het artikel vermelde gronden worden verwerkt. Mede gezien de bezwaren die kleven aan het vragen van toestemming van de betrokkene – deze kan te allen tijde worden ingetrokken en is in situaties met ongelijke verhoudingen (zoals werkgever-werknemer) niet bruikbaar – wordt in Nederland in de meeste gevallen artikel 8 onderdeel f Wbp als rechtvaardigingsgrond gebruikt. Daarin is bepaald dat persoonsgegevens mogen worden verwerkt als deze verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij (kort gezegd) het privacybelang van de betrokkene prevaleert. De verantwoordelijke moet dus een afweging maken tussen deze belangen. Daarbij moet hij alle relevante factoren betrekken, zoals de mate van gevoeligheid van de gegevens, de hoeveelheid gegevens en de maatregelen die zijn genomen om rekening te houden met de belangen van de betrokkene.
toezichthouders.15 Het ICO,16 de Engelse toezichthouder, neemt nadrukkelijk het standpunt in dat toestemming – ook voor het plaatsen van trackingcookies - impliciet kan worden gegeven.17 Het ICO gaat ervan uit dat het voldoende is dat een banner of een balk op de website is geplaatst waar een hyperlink naar informatie over de cookies wordt aangeboden en de gebruiker erop wordt gewezen dat, als hij verdergaat met het gebruik van de website, hij wordt geacht de cookies te hebben geaccepteerd.18 Het is vooralsnog geen Het wettelijk vermoeden betekent niet dat uitgemaakte zaak dat een dergelijke impliciete voor trackingcookies ondubbelzinnige toestemming ook in Frankrijk toestemming is vereist. en Nederland als voldoende wordt aanvaard. De Franse privacytoezichthouder CNIL benadrukt wel dat de wijze waarop toestemming moet worden gegeven kan verschillen al naargelang de indringendheid van een cookie en erkent daarmee ook de mogelijkheid van impliciete toestemming.19 De OPTA biedt op haar website een publicatie aan met als titel ‘Veelgestelde vragen over de nieuwe cookieregels’, waarin niet wordt ingegaan op de vraag of op grond van artikel 11.7a Tw impliciete toestemming mogelijk is, maar dit ook
Brief d.d. 20 december 2012 van minister Kamp aan de Tweede Kamer. Te vinden op http://www.
15
rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2012/12/20/kamerbrief-olveranalytische-cookies-en-artikel-11-7a-van-de-telecommunicatiewet/analytische-cookies-en-artikel-11-7avan-de-telecommunicatiewet.pdf.
Het gerechtvaardigd belang van de verantwoordelijke en van het advertentienetwerk is gelegen in de inkomsten die met de verzamelde gegevens kunnen worden gegenereerd. Zonder trackingcookies is dat niet mogelijk. Daar staat tegenover dat de inbreuk op de privacy van de betrokkene tamelijk gering is. Bovendien kan hij met een simpele browserinstelling geplaatste cookies verwijderen.
16
Information Commissioner’s Office. Te vinden op http://www.ico.gov.uk/.
ICO, Guidance on the rules on use of cookies and similar technologies (mei 2012). Te vinden op http://www.
17
ico.gov.uk/for_organisations/privacy_and_electronic_communications/the_guide/cookies.aspx. 18
ICO, Guidance on the rules on use of cookies and similar technologies, p. 20: ‘Some users might not [click on either “I agree” or “No thanks”] and go straight through to another part of the site. If they do, you might decide that you could set a cookie and infer consent from the fact that the user has seen a clear notice and actively
Impliciete toestemming Het belang van deze interpretatie is dat daarmee de mogelijkheid wordt geopend om – ook bij de huidige tekst van artikel 11.7a, eerste lid, Tw – impliciete toestemming voldoende te achten, mits de gebruiker duidelijke en volledige informatie heeft ontvangen over de te plaatsen cookies. Een dergelijke interpretatie is ook in lijn met de opvattingen van buitenlandse
indicated that they are comfortable with cookies by clicking through and using the site. This is an option that relies on the user being aware that the consequence of using the site is the setting of cookies. If you choose this option you might want the reassurance of a notice appearing elsewhere on the site which reminds users that you are setting cookies.’ CNIL is van mening: ‘The word “agreement” thus clearly refers to consent as defined in article 2(h) of Directive
19
95/46/EC, that is to say to “any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed.’ Zie: What the Telecoms Package changes for cookies (december 2011). Te vinden op http://www.cnil.fr/english/news-and-events/news/ 14
Kamerstukken II, 1997-1998, 25892, nr. 3, p. 80.
102privacy: tips en tricks voor de ondernemingspraktijk
article/what-the-telecoms-package-changes-for-cookies/.
HOUTHOFF BURUMA103
niet met zoveel woorden wordt uitgesloten.20 Ook de Artikel 29 Werkgroep sluit in haar recente opinie over ‘Consent’ impliciete toestemming niet uit: ’The notion of “indication” is wide, but it seems to imply a need for action. (…) The requirement that the data subject must “signify” his consent seems to indicate that simple inaction is insufficient and that some sort of action is required to constitute consent, although different kinds of actions, to be assessed “in context”, are possible.’ 21 In het beschreven voorbeeld van het ICO zou het doorklikken naar een volgende pagina, nadat de informatiebalk over cookies is getoond, kunnen worden aangemerkt als een ‘indication signifying consent’. In de Memorie van Toelichting bij de wijziging van artikel 11.7a Tw is onderkend dat toestemming ook kan worden gegeven door middel van een browserinstelling.22 Daarbij is aangetekend dat de op dat moment (2010) beschikbare browsers, die standaard alle cookies aanvaarden en moeten worden gewijzigd om cookies te weigeren, niet voldoen aan het toestemmingsvereiste van artikel 5 lid 3 e-Privacyrichtlijn. Dat vereist immers een wilsuiting van de betrokkene dat hij de betreffende cookies wil aanvaarden, die per cookie kan verschillen. Ook de Artikel 29 Werkgroep heeft zich hierover kritisch uitgelaten en er voorts op gewezen dat de door de gebruiker gemaakte keuze kan worden omzeild (door flashcookies, die na verwijdering zichzelf ‘herplaatsen’) en dat bij de huidige browserinstellingen eenmalig toestemming wordt gegeven voor alle toekomstige cookies, zonder dat daarbij het doel van deze cookies van geval tot geval kan worden afgewogen.23
Informatie Zoals aangegeven moet de toestemming worden verleend op basis van duidelijke en volledige informatie over de cookies. Voor zover daarmee persoonsgegevens worden verwerkt geldt eenzelfde verplichting op grond van artikel 33 en 34 Wbp. Ook de toezichthouders benadrukken het belang van voldoende informatie die voorafgaand aan de betrokkenen wordt verstrekt en die eenvoudig te vinden is.24 Welke informatie moet worden verschaft is onderwerp van discussie. Worden door de cookie persoonsgegevens verwerkt dan zijn de bepalingen van artikel 33 en 34 Wbp van toepassing. Die vereisen dat de identiteit van de verantwoordelijke en de doeleinden van de Browsers die standaard alle verwerking worden meegedeeld, alsmede cookies aanvaarden voldoen niet informatie die nodig is om tegenover de aan het toestemmingsvereiste. betrokkene ‘een behoorlijke en zorgvuldige verwerking’ te waarborgen. De Nederlandse afdeling van het Interactive Advertising Bureau (IAB) heeft voor de te verstrekken informatie een drietrapsbenadering ontwikkeld in overleg met het bedrijfsleven en de OPTA.25 De eerste stap bestaat uit een pop-upbalk die verschijnt zodra een bezoeker op een website komt. Daarin wordt vermeld dat de website gebruikmaakt van cookies en wordt een link aangeboden naar nadere informatie. Wie op deze link klikt ontvangt een korte uitleg over de op de website gebruikte cookies. Deze uitleg is algemeen van aard en maakt geen 24
ICO, Guidance on the rules on use of cookies and similar technologies: ‘The provider must ensure that clear and relevant information is readily available to users explaining what is likely to happen while the user is accessing the site and what choices the user has in terms of controlling what happens. (…) the text should
Overigens wordt al enige jaren door het bedrijfsleven gewerkt aan een aanpassing van de meest gebruikte browsers, zodat daarmee wel kan worden voldaan aan het toestemmingsvereiste van de Telecommunicatiewet. Vooralsnog moet ervan uit worden gegaan dat de bestaande browsers daarvoor niet geschikt zijn.
be sufficiently full and intelligible to allow individuals to clearly understand the potential consequences of allowing the cookies should they wish to do so (…). Making sure users will see clear information about cookies is important for compliance with the information requirements of the Regulations, to ensure that consent is valid and more broadly to increase levels of user awareness.’ CNIL, What the Telecoms Package changes for cookies: ‘The validity of consent is linked to the quality of the provided information. It must be written in simple terms that are comprehensible to the general public,
20
Veelgestelde vragen over de nieuwe cookiebepaling - update 2 augustus 2012. Te vinden op
while being precise.’
http://www.opta.nl/nl/actueel/alle-publicaties/publicatie/?id=3636.
OPTA, Veelgestelde vragen over de nieuwe cookiebepaling – update (2 augustus 2012): ’Partijen die cookies
Artikel 29 Werkgroep, Opinion 15/2011 on the definition of consent, WP187, van 13 juli 2012, p. 12. Te vinden
plaatsen en lezen moeten duidelijke informatie geven over het feit dat zij cookies gebruiken en met
21
op http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/ files/2011/wp187_en.pdf.
welk doel.’ 1AB, Industriebrede Informatieteksten. Praktische handvatten zodat ook uw organisatie kan voldoen aan
25
Kamerstukken II, 2010-2011, 32549, nr. 3, p. 80.
de wettelijke informatieplicht conform de Cookiebepaling in de Telecommunicatiewet (art. 11.7a Tw).
Artikel 29 Werkgroep, Opinion 2/2010 on online behavioural advertising, WP171, van 22 juni 2010, p. 14.
Te vinden op http://www.iab.nl/wp-content/uploads/downloads/2012/11/Guide-Industriebrede-
22 23
Te vinden op http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_en.pdf.
104privacy: tips en tricks voor de ondernemingspraktijk
Cookie-informatieteksten.pdf.
HOUTHOFF BURUMA105
onderscheid naar type cookies. Vervolgens kan de gebruiker opnieuw doorklikken waarop een pagina verschijnt die gedetailleerde uitleg geeft over de op de website gebruikte cookies. Daarin staan de categorieën van cookies vermeld, ingedeeld naar de informatie die zij verzamelen en de doeleinden waarvoor dat gebeurt. Daaronder volgt een lijst met alle op de website gebruikte cookies en per cookie door wie deze wordt geplaatst, tot welke informatiecategorie de cookie behoort en hoelang de informatie wordt bewaard. Aannemelijk is dat daarmee aan het informatievereiste is voldaan, zij het dat uit de informatie niet valt af te leiden aan welke categorieën van personen de informatie wordt verstrekt. Cookies onder de concept-privacyverordening Het regime voor cookies onder de e-Privacyrichtlijn wordt verder aangescherpt in de op 25 januari 2012 gepubliceerde concept-privacyverordening.26 In artikel 20 van de concept Verordening is opgenomen dat voor profilering de toestemming van de betrokkene is vereist. Op grond hiervan is de toestemming niet langer gekoppeld aan de verwerking van persoonsgegevens, maar is vereist voor iedere geautomatiseerde verwerking van gegevens die bestemd is om bepaalde aspecten van de persoonlijkheid van een individuele persoon te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid op gedrag te analyseren of te voorspellen. Dat betekent dat in beginsel voor alle trackingcookies en analytische cookies toestemming zal zijn vereist. Onder toestemming wordt verstaan elke vrije, specifiek op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. Ten opzichte van de huidige definitie van artikel 1 onder i Wbp (zie hierboven) valt op dat er sprake moet zijn van een uitdrukkelijke wilsuiting, die blijkt uit een verklaring of een ondubbelzinnige Als deze tekst wordt aangenomen zal actieve handeling. Als deze tekst impliciete toestemming vermoedelijk wordt aangenomen zal impliciete toestemming vermoedelijk niet meer niet meer zijn toegestaan zijn toegestaan.
Tips & Tricks (grote lijnen) 1. Bepaal welke cookies worden gebruikt. 2. Onderscheid technische, analytische en trackingcookies. 3. Plaats een balk, banner, pop-up e.d. op de website met: a. een korte mededeling dat cookies worden gebruikt; b. een button of hokje waar toestemming kan worden gegeven; en c. een hyperlink naar nadere informatie over cookies. 4. Onder de hyperlink: informatie over de gebruikte cookies en mogelijkheid om iedere cookie te accepteren. 5. Indien geen toestemming wordt gegeven geen cookie plaatsen. 6. Vermeld op balk etc. (zie 3) dat wanneer de gebruiker verdergaat met gebruik van de website hij daarmee toestemming geeft om alle cookies te gebruiken.27
OPTA moet zich nog uitspreken of impliciete toestemming, zoals hier voorgesteld, is toegestaan.
27
Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming
26
van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25/1/2012, COM(2012) 11 final. Te vinden op http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_nl.pdf.
106privacy: tips en tricks voor de ondernemingspraktijk
HOUTHOFF BURUMA107
Het privacyteam van Houthoff Buruma bestaat uit: Wolter Wefers Bettink partner bij Houthoff Buruma en gespecialiseerd in IP en IT litigation, privacy en e-business T +31 20 605 6167 |
[email protected] Thomas de Weerd partner bij Houthoff Buruma en gespecialiseerd in IT, outsourcing, privacy en e-business T +31 20 605 6985 |
[email protected]
Copyright © 2013 Houthoff Buruma Voorbehoud: Het is toegestaan om korte passages uit deze uitgave te citeren in andere publicaties, op voorwaarde dat duidelijk aan bronvermelding wordt gedaan. Aanbevolen citeerwijze: “Privacy: Tips & Tricks voor de Ondernemingspraktijk, Houthoff Buruma”. Voor het overige mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder de voorafgaande schriftelijke toestemming van Houthoff Buruma. Deze uitgave is bedoeld ter informatie en niet als juridisch advies. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaardt Houthoff Buruma geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor de gevolgen daarvan.
108privacy: tips en tricks voor de ondernemingspraktijk
HOUTHOFF BURUMA109