Het gebruik van (tracking) cookies onder de Algemene Verordening Gegevensbescherming
Gebruikt u (tracking) cookies op uw website? Dan zult u zich - met betrekking tot deze verwerking - moeten voorbereiden op een aantal wijzigingen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG). Welke belangrijkste wijzigingen dit zijn ten aanzien van de cookies, zal kort aan bod komen.
Toepasselijke wetgeving
Op het plaatsen van tracking cookies is momenteel de Wet bescherming persoonsgegevens (Wbp) van toepassing en de Telecommunicatiewet (Tw). Vanaf mei 2018 zal de AVG de Wbp geheel vervangen. Dit betekent dat er dus ook voor cookiegebruik het een en ander zal veranderen.
Toestemming
Artikel 11.7a Tw bepaalt dat het gebruik van cookies - behoudens uitzondering - alleen toegestaan is als de betrokken gebruiker 1) is voorzien van duidelijke en volledige informatie, en 2) daarvoor toestemming heeft verleend.
Onder de AVG zal toestemming expliciet moeten worden gegeven door middel van een duidelijke actieve handeling, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Dit betekent dat een "opt-out" optie geen geldige manier zal zijn om toestemming te verkrijgen. Een "opt-in" is daarentegen wel voldoende. Zolang de bezoeker van de website niet expliciet middels een actieve handeling toestemming heeft gegeven, mag de cookie niet worden geplaatst. Als verschillende cookies of cookies voor meerdere doeleinden worden gebruikt, moet voor iedere cookie/doeleinde apart toestemming worden gegeven.
Bovendien geldt dat de toestemming te allen tijde ook ingetrokken moet kunnen worden. Dit moet kunnen op dezelfde wijze als waarop de toestemming is gegeven. Het verwijzen naar de browserinstellingen, bijvoorbeeld, is niet voldoende. Het intrekken van toestemming moet net zo gemakkelijk zijn als het geven ervan. Dit betekent bijvoorbeeld dat een "opt-out" knop toegevoegd moet worden op de pagina.
Om ervoor te zorgen dat de toestemming vrijelijk kan worden gegeven, mag het niet geven van toestemming geen gevolgen hebben voor de betrokkene. Dit betekent dat bezoekers alsnog gebruik moeten kunnen maken van de website (weliswaar met beperkingen), ook al hebben zij geen toestemming gegeven voor cookies.
Informeren
Ook de informatieplicht wordt onder de AVG flink uitgebreid. De informatie die gegeven wordt moet bovendien beknopt, transparant, begrijpelijk, in een gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zijn.
De AVG bepaalt dat de volgende informatie moet worden verstrekt indien de gegevens bij de betrokkene zijn verkregen:
- de identiteit en contactgegevens van de verwerkingsverantwoordelijke;
- indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming;
- de doeleinden van de verwerking en de rechtsgrond voor de verwerking;
- indien van toepassing, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
- indien de gegevens zullen worden doorgegeven aan een derde land, de onderbouwing van de rechtmatigheid van deze doorgifte;
- de bewaartermijnen;
- de rechten van de betrokkene (intrekken toestemming, inzage, rectificatie, verwijderen, beperken, bezwaar maken, klacht indienen en dataportabiliteit); en
- uitleg over de cookies, waarom de cookies gebruikt moeten worden, of hiertoe een verplichting bestaat en wat de consequentie is als het gebruik niet wordt toegestaan.
voor zover deze informatie al bekend is bij de gebruiker van de website, hoeft de informatie niet te worden verstrekt.
Voor het grootste deel wordt bovengenoemde informatie reeds verstrekt. Op grond van de Wbp en Tw moest al informatie worden verstrekt over het doel van de cookies, de cookies van derde partijen of toegang van derde partijen, bewaartermijnen, technische informatie over de cookies en de wijzen waarop men de wensen omtrent cookies kenbaar kan maken.
Tot slot
Heeft uw website een opt-out optie voor cookies of de mededeling dat de bezoeker cookies accepteert bij gebruik van uw website? Dan zal dat niet meer voldoende zijn vanaf mei 2018. Naast de genoemde veranderingen, schept de AVG nog meer verplichtingen voor verwerkers van persoonsgegevens. Voor vragen over de AVG kunt u uiteraard contact met mij of mijn collega's opnemen.