We were Gents and Wijs, but now you can call us Duke & Grace.

2Ghent

Foreestelaan 1
9000 Ghent

Brussels

Antwerpselaan 40
1000 Brussels

Deze post is gearchiveerd.

Ga naar onze recente blogposts


10 februari 2015 - Story

Good cookie, bad cookie!? Een correct cookiebeleid uitwerken begint hier

Ik geef het toe. Als auteur heb je vaak de neiging beroep te doen op voorspelbare woordspelingen om een tekst zogezegd leesbaar te maken. De verleiding is des te groter als de tekst over cookies gaat. Nee, geen foodblog maar juridische guidelines over browser cookies! We mogen het veelzijdige technologische hoogstandje dat onze internetomgeving cruciaal veranderd heeft namelijk niet verkinderlijken. Onze omni-presente beschermer van de persoonlijke levenssfeer, de Belgische privacycommissie, is deze mening ook toegedaan en heeft daarom in april 2014 een lijvige (voorlopige) handleiding omtrent het praktische gebruik van cookies samengesteld. Hoog tijd om dit advies eens onder de loep te nemen!

Good cookie, bad cookie?!

De eigenschap van het cookie om informatie te bewaren is een interessante manier om informatie over de bezoekers te verzamelen en verwerken. De mogelijkheden van een dynamische informatieverzameling is niet enkel de technische ontwikkelaar ontgaan. Tracking-, advertentie- en referentiecookies, bijvoorbeeld, analyseren het surfgedrag van de bezoekers op uitgebreide wijze. Het is een koud kunstje om op basis van die informatie een bezoekersprofiel in te stellen waarop de website, een adverteerder of een andere derde vlot kan inspelen.

Aangezien die verwerkingshandelingen niet onmiddellijk zichtbaar of merkbaar zijn voor de bezoeker, leidt dit tot conflictsituaties omtrent de beschermde persoonlijke levenssfeer. Volgens onze wetgeving is er reeds een verwerking van persoonsgegevens zodra we verzamelde informatie terugkoppelen aan een natuurlijke persoon. Dit kan perfect direct als indirect, door de combinatie van meerdere gegevens. De Europese privacy en telecommunicatie-regels voorzien een duidelijk kader voor dergelijke conflicten.

Met het artikel 129 van de wet van 13 juni 2005 betreffende de elektronische communicatie (‘Telecommunicatiewet’) kent het Belgische recht uitdrukkelijke regels rond cookie-gebruik. Dit artikel is van toepassing zodra informatie wordt opgeslagen in de eindapparatuur van de gebruiker of abonnee of toegang wordt verkregen tot die opgeslagen informatie. Met de ruimere definitie mikt de wetgever op de vele varianten van cookies en consorten. Behoudens de opdeling tussen zuiver functionele cookies en de rest maakt de wet geen onderscheid tussen cookies. Een ingrijpende tracking-cookie wordt op dezelfde wijze behandeld als een eerder onschuldige analytische cookie.

De wetgever wil vooral awareness creëren omtrent het gebruik van cookies. Hiervoor legt ze de verantwoordelijkheid bij diegenen die verantwoordelijk zijn voor het plaatsen en/of het uitlezen van de cookies. In de strikt technische zin is dat de internetbrowser die de cookies opslaat, en niet de eigenaar van de bezochte website of de partij die de website beheert. Toch wijst de wet die laatstgenoemden als verantwoordelijke partijen aan. Degene die verantwoordelijk is voor het plaatsen en/of uitlezen van cookies is echter ook niet altijd degene die verantwoordelijk is voor de bezochte website. Het gebeurt vaak dat de eigenaar van de website gebruik maakt van de techniek van framing en via zijn eigen website een andere website vertoont. Zo kan hij bijvoorbeeld ruimte op zijn website verhuren aan een adverteerder die vervolgens banners installeert. De adverteerder wordt op die manier ook verantwoordelijk voor de wettelijke verplichtingen. 

Een geïnformeerde toestemming.

De aandacht zelf wordt verkregen door middel van een duidelijke informatieverplichting en een toestemmingsvereiste.

Dit betekent praktisch:

  1. De informatie over het gevoerde cookiesbeleid moet duidelijk zichtbaar en gemakkelijk toegankelijk zijn, maar ook begrijpelijk en volledig.
    De wijze waarop deze informatie is opgesteld moet rekening houden met het doelpubliek van de website. Het is alleszins aangeraden een zichtbare legal corner te installeren waarbinnen het aspect cookies een eigen titel krijgt. Bepaalde websites verwijzen gemakshalve door naar ‘gespecialiseerde websites’ die meer informatie over cookies bevatten; dit is een praktijk die enigszins gevaarlijk is omdat die websites niet altijd accuraat zijn.

    Maar niet alleen artikel 129 Telecommunicatiewet heeft het over informatieverplichtingen. De Privacywet is als een lex generalis het vangnet voor die aspecten die niet uitdrukkelijk geregeld worden door artikel 129 Telecommunicatiewet. De verplichtingen uit de privacywet gelden zowel voor de zuiver functionele, gewoon functionele als niet-functionele cookies die persoonsgegevens verwerken. Een duidelijke privacy verklaring waarin je meedeelt welke de verwerkte gegevens zijn, waarom de verwerking gebeurt en op welke rechten de bezoeker beroep kan doen, is absoluut geen overbodige luxe.

    De informatieverplichting betekent dat de verantwoordelijke steeds open kaart moet spelen met zijn bezoekers, een zogenaamde full disclosure. Denk hierbij aan de doeleinden van de cookie, de categorieen van verwerkte informatie, bewaartermijnen van informatie, de identiteit van de verwerkende partij, etc. Indien de website gebruik maakt van zogenaamde third party cookies vermeld je best een link naar het beleid van de werkelijke verantwoordelijke. Kortom alle informatie waarvan je kan aannemen dat de bezoeker hiervan kennis moet hebben.

  2. De opslag van cookies en/of de toegang tot reeds opgeslagen cookies is uitsluitend toegelaten indien de betrokkene zijn geïnformeerde toestemming heeft gegeven.
    Het wettelijke kader heeft de switch gemaakt van een opt-out systeem naar een opt-in systeem. De bezoeker moet zijn toestemming geven in plaats van zijn uitdrukkelijk afkeur. Over de werkelijke invulling van de vereiste toestemming heerst echter nog veel onduidelijkheid. De wetgever wil ruimte laten om gebruiksgemak en efficiëntie in evenwicht te brengen met de naleving van de wet.

    Vormvrijheid is troef! Dit maakt het voor onze creatieve geesten interessant. De verantwoordelijke kan op elke manier een toestemming van de bezoeker verkrijgen, zolang er maar duidelijk sprake is van een toestemming. Zowel een expliciete als ondubbelzinnige impliciete toestemming worden aanvaard. Indien je op veilig wil spelen lok je bij voorkeur een positieve handeling van de gebruiker uit. De Privacycommissie heeft reeds bevestigd dat doorklikken op een website kan volstaan als toestemming, voor zover er steeds de mogelijkheid blijft om een keuze te maken in de informatierubriek.

    De telecommunicatiewet hanteert slechts één absolute voorwaarde, de bezoeker moet zijn toestemming ten allen tijde kunnen intrekken. Dit betekent dat je de middelen voorhanden moet stellen om die intrekking te bewerkstelligen. Een website-eigen systeem dat cookies automatisch uitschakelt levert de ultieme naleving op. De verantwoordelijke kan dit eenvoudiger oplossen door instructies te verschaffen hoe browserinstellingen gewijzigd worden.

    Ook met betrekking tot de toestemming vult de privacywet de voorwaarden aan. In de privacywet wordt toestemming beschreven als elke aanvaarding door middel van een vrije, specifieke en op informatie berustende wilsuiting. Indien de verantwoordelijke aanzienlijke negatieve gevolgen koppelt aan een weigering zal er geen sprake zijn van een vrije toestemming. Een bezoeker de verdere toegang tot de website weigeren omdat hij geen cookies aanvaardt, zal dus nooit geldig zijn.

Samenvattend

Voor vele internetgebruikers kent de benaming “cookie” automatisch een negatieve bijklank. We kunnen dit vooral verklaren door een gebrek aan kennis over het nut en de werking van de informatiebestandjes. Het vertrouwen van de bezoeker inwinnen zal dus de voornaamste zorg van de website-eigenaar zijn. De wettelijke vereiste van een geïnformeerde toestemming draagt absoluut bij tot de creatie van dit vertrouwen. Toch kunnen we ons vragen stellen bij de praktische uitwerking van de wetgeving.

De verantwoordelijke krijgt momenteel een grote creatieve vrijheid maar benut deze vaak niet op de correcte manier. Wij betrappen graag maar vooral vaak overheden op een gebrekkige wetsconforme invulling. Bijgevolg kan men de vraag stellen of het te veel aan creatieve vrijheid de werkelijke afdwingbaarheid van de wet niet in het gedrang brengt. Er bestaat alleszins veel twijfel over de correcte implementatie van de regels. Is er wel voldoende draagvlak voor een strenge naleving van de huidige verplichtingen? Wij zien graag meer duidelijkheid in plaats van overregulering tegemoet.

Gastblogger Quinten Seghers is gespecialiseerd jurist bij De Juristen.

Share this insight on

It's time to stop scrolling and start making.

Let's get in touch

Call us +32 9 335 22 80

Back to top