Belang onderscheid
Sinds de nieuwe cookiewetgeving moet voor gebruik van cookies voorafgaande toestemming worden verkregen. Voor het plaatsen en (terug) uitlezen van functionele cookies is echter geen voorafgaande toestemming nodig.
Toets voor functionele cookies
De werkgroep onderscheidt twee soorten functionele cookies:
- cookies die worden gebruikt voor de overdracht van signalen over een netwerk;
- cookies die worden gebruikt voor het uitvoeren van een door de gebruiker opgevraagde dienst.
Ad. 1. Cookies voor overdracht signaal
Een cookie van het eerste soort (overdracht signalen) is volgens de werkgroep alleen functioneel wanneer de signaaloverdracht niet mogelijk zou zijn zonder de cookie. De werkgroep wijst er op dat voor de overdracht van een signaal het ten minste noodzakelijk is dat (1) het signaal over een bepaalde route kan worden gestuurd, dat (2) het signaal in een bepaalde volgorde kan worden opgeknipt en dat (3) fouten in de signaaloverdracht kunnen worden gedecteerd. Wanneer een cookie voor een of meer van deze aspecten van de signaaloverdacht noodzakelijk is, dan is de betreffende cookie functioneel van aard.
Ad. 2. Cookies voor uitvoeren dienst
In de praktijk zal de cookie van de tweede soort (uitvoeren dienst) wat vaker voorkomen. Volgens de werkgroep moet voor deze cookiesoort niet worden getoetst of een cookie noodzakelijk is voor de betreffende online dienst, maar of de cookie noodzakelijk is voor de functionaliteit (een dienst bestaat immers vaak uit allerlei verschillende functionaliteiten).
De werkgroep geeft de volgende praktische toets om te testen of een cookie functioneel is:
- Is de functionaliteit niet beschikbaar bij het uitschakelen van cookies?
- En is de betreffende functionaliteit opgevraagd door de gebruiker?
Alleen wanneer beide vragen positief kunnen worden beantwoord, is sprake van een functionele cookie (en is voorafgaande toestemming dus niet vereist).
Voorbeelden van functionele cookies
De werkgroep geeft verder een uitgebreide lijst van cookies die functioneel zijn:
- cookies die door gebruikers ingevoerde gegevens onthouden (zoals winkelwagentjes), mits verwijderd bij het einde van de sessie;
- cookies die worden gebruikt in het kader van authentificatie van de gebruiker, mits verwijderd bij het einde van de sessie en mits de cookies voor geen enkel ander doel worden gebruikt;
- cookies die in het kader van de beveiliging worden gebruikt (bijvoorbeeld om mislukte inlogpogingen te detecteren), ook wanneer de levensduur van die cookies langer is dan de enkele gebruikerssessie;
- cookies die worden gebruikt voor het afspelen/weergeven van multimediale gegevens, mits de gegevens die in het cookie worden opgeslagen beperkt blijven tot technische gegevens die verband houden met het afspelen en mits de cookie aan het einde van de sessie wordt verwijderd;
- cookies die worden gebruikt in het kader van load balancing, mits de geldigheid van de cookie beperkt is tot de specifieke sessie;
- cookies die voorkeuren met betrekking tot de weergave van gegevens op een website opslaan, mits de opslag is beperkt tot de sessie (tenzij er toestemming is verkregen voor langere opslag);
- cookies van sociale netwerken die gebruikt worden om leden van dat sociale netwerk in staat te stellen om plug-ins te gebruiken op andere websites, mits die cookies slechts gedurende een sessie geldig zijn en mits die cookies voor geen enkel ander doel worden gebruikt dan voor het bieden van de door de plug-in geboden service (dus niet om de gebruiker te tracken).
Voorbeelden van niet-functionele cookies
Daarnaast geeft de werkgroep ook een lijst van (veel voorkomende) cookies die in ieder geval niet functioneel zijn:
- tracking cookies die door plug-ins van sociale netwerken worden gebruikt om niet-leden te volgen of om leden te volgen zonder dat daarvoor bij die leden uitdrukkelijke toestemming is verkregen;
- tracking cookies die door adverteerders worden gebruikt;
- cookies die worden gebruikt voor statistische doeleinden;
Do not track standaard
Op dit moment wordt er gewerkt aan de ontwikkeling van een Do Not Track standaard, waarmee internetters aan kunnen geven niet gevolgd te willen worden op Internet. De werkgroep is kritisch over de laatste ontwikkelingen op dit vlak en merkt in dat kader uitdrukkelijk op dat de Do Not Track standaard die nu ontwikkeld wordt, geen uitzonderingen zou mogen bevatten:
In order for the Do Not Track standard to bring compliance to companies serving cookies to European citizens, Do Not Track must effectively mean “Do Not Collect” without exceptions. Therefore where a user has expressed the preference to not be tracked (DNT=1) no identifier, for the purpose of tracking, must be set or otherwise processed. There are technical solutions available, and many more are currently being developed, to effectively apply privacy by design, both within the web browser and on the server side to achieve the operational purposes described above.
Cookies voor statische doeleinden
Cookies voor statische doeleinden zijn niet functioneel van aard. Het verzamelen van statistische gegevens is immers niet noodzakelijk om de gevraagde dienst uit te kunnen voeren.
Opvallend is dat de werkgroep opmerkt dat bij first party cookies die voor statistische doeleinden worden gebruikt, het privacyrisico vrij klein is (dat geldt niet voor third party cookies voor statistische doeleinden). Met andere woorden: wie server side oplossingen gebruikt voor het meten van statistische gegevens over het gebruik van een website (zoals het open source programma Piwik) zou in de visie van de werkgroep wel eens vrijuit kunnen gaan voor het gebruik van cookies dat die techniek met zich meebrengt. Wie echter gebruik maakt van een externe aanbieder gebruikt voor het meten van statische gegevens (zoals Google Analytics) gaat in ieder geval niet vrijuit.
Het privacyrisico bij first party cookies voor statistische doeleinden is volgens de werkgroep zo klein, dat dit een aanvullende uitzondering in de wet rechtvaardigt. De werkgroep stelt dan ook voor om bij een eventuele toekomstige herziening van de cookieregelgeving ook de first party cookie voor statische doeleinden te beschouwen als een functionele cookie:
However, the Working Party considers that first party analytics cookies are not likely to create a privacy risk when they are strictly limited to first party aggregated statistical purposes and when they are used by websites that already provide clear information about these cookies in their privacy policy as well as adequate privacy safeguards. Such safeguards are expected to include a user friendly mechanism to opt-out from any data collection and comprehensive anonymization mechanisms that are applied to other collected identifiable information such as IP addresses.
In this regard, should article 5.3 of the Directive 2002/58/EC be re-visited in the future, the European legislator might appropriately add a third exemption criterion to consent for cookies that are strictly limited to first party anonymized and aggregated statistical purposes. First party analytics should be clearly distinguished from third party analytics, which use a common third party cookie to collect navigation information related to users across distinct websites, and which pose a substantially greater risk to privacy.
Artikel 29 werkgroep en cookies
De artikel 29 werkgroep is een onafhankelijk overlegorgaan dat opinies en adviezen geeft over het Europese privacyrecht. De werkgroep bestaat voor een belangrijk deel uit de gezamenlijke Europese privacytoezichthouders. Namens Nederland heeft Jacob Kohnstamm zitting in de werkgroep (en is daar overigens ook voorzitter van). Kohnstamm is tevens voorzitter van het Nederlandse College Bescherming Persoonsgegevens.
De cookiewet wordt niet in alle landen van de Europese Unie gehandhaafd door de toezichthouders die zitting hebben in de artikel 29 werkgroep. Zo wordt in Nederland door de OPTA toegezien op naleving van de cookiewet en niet door het College Bescherming Persoonsgegevens. Het is afwachten of de OPTA dezelfde mening is toegedaan over functionele cookies als de artikel 29 werkgroep.