Update 'Veelgestelde vragen over de nieuwe cookieregels'
De OPTA gaat onder andere in op het registreren van de toestemming. De OPTA zegt: 'U dient in ieder geval de toestemming van de gebruiker, de wijze waarop de toestemming is verkregen, hoe de gebruiker daarbij geïnformeerd werd én het tijdstip van verkrijging van de toestemming te registreren. Uit de wet volgt dat het college bevoegd is om een onderzoek te starten en eventueel handhavend op te treden tot maximaal vijf jaar nadat een mogelijke overtreding heeft plaatsgevonden. Gedurende deze periode dient u de voornoemde gegevens te bewaren en desgevraagd aan OPTA te kunnen verstrekken.'
Volgens de OPTA is het daarnaast toegestaan om door middel van een cookie te registreren dat een internetgebruiker geen toestemming geeft (een zogenaamde no-follow cookie). 'OPTA oordeelt dat het plaatsen van een zogenaamde “no-follow cookie” om te registreren dat iemand geen cookies wil, gezien kan worden als een door een gebruiker gevraagde dienst waarbij het plaatsen van gegevens strikt noodzakelijk is. Dit lijkt tegenstrijdig nu de gebruiker immers kenbaar heeft gemaakt geen gegevens te willen laten plaatsen. OPTA oordeelt dat in dit specifieke geval een no-follow cookie als strikt noodzakelijk gezien mag worden indien de website voldoet aan de volgende voorwaarden:
- De gebruiker moet een keuze gehad hebben tussen het toestaan en weigeren van cookies én gekozen hebben om cookies te weigeren. Indien de gebruiker geen keuze maakt tussen de voornoemde keuzes zal de toestemmingsvraag logischerwijs op de website getoond dienen te blijven.
- De website dient de gebruiker vervolgens te informeren dat een no-follow cookie geplaatst zal worden met als enig doel de registratie van de keuze.
- De website mag een no-follow cookie slechts plaatsen met dat specifieke doel. De no-follow cookie mag slechts een daarvoor strikt noodzakelijke inhoud (bijvoorbeeld no follow) kennen en geen unieke identifier(s). Het is logischerwijs niet toegestaan om de gebruiker met een no-follow cookie door middel van die cookie (al dan niet in combinatie met andere technieken) alsnog op enige andere wijze (tijdelijk) te volgen en/of dit op enig moment te koppelen aan andere over deze gebruiker beschikbare gegevens.'
Verslag rondetafel bijeenkomst OPTA, DDMA, IAB
In het verslag wordt aangegeven dat van de top 25 meest bezochte websites in Nederland maar weinig sites voldoen aan de informatie- en toestemmingsverplichting bij het plaatsen van cookies. Slechts één website vraagt toestemming voor het plaatsen van cookies. Andere resultaten uit een onderzoek naar de stand van zaken in de praktijk zijn de volgende:
- 'De top 25 websites plaatsen als je deze aansluitend bezoekt in één browsersessie 298 cookies (als je de cookies optelt die geplaatst worden in individuele sessies, dan kan dit aantal oplopen tot 556 cookies).
- Zes van de 25 sites informeren de gebruiker actief dat zij cookies plaatsen met een zichtbare banner/layer etc.'
Daarnaast heeft de OPTA tijdens deze bijeenkomst uitleg gegeven over onder andere de informatieplicht:
- 'De informatie over het plaatsen van cookies op een zichtbare plek op de website moet staan, met een begrijpelijke uitleg waarom je het cookie plaatst en welke informatie met welk doel wordt verzameld.
- Informeren niet kan door een vage verwijzing naar een privacy statement. Mogelijk is een privacy statement wel geschikt om individuele cookies in detail te benoemen. Het benoemen van de details ziet OPTA als best practice.
- Site-eigenaren die derde partijen via hun website cookies laten plaatsen, moeten deze partijen benoemen. Vage benamingen als ‘zorgvuldig geselecteerde partners’ volstaan niet, geef zoveel mogelijk aan welke derden of categorieën derden (bv. reisverzekeringen’).
- Site-eigenaren die gebruik maken van third party cookies voor hun eigen diensten moeten aangeven waarom de site de cookie(s) toestaat en dat de derde partij(en) de cookie ook voor andere doeleinden kan gebruiken, mogelijk ook voor profiering. Het is raadzamer de gebruiker naar de derde partij(en) te verwijzen dan om de voorwaarden van die derde partij over te nemen op de eigen website.'
Voor de uitleg van functionele cookies (de cookies die onder de uitzondering van de cookiewet vallen en aldus mogen worden geplaatst zonder dat daarvoor toestemming wordt gevraagd) verwijst de OPTA naar een opinie van de 29 werkgroep. In deze opinie (waarover op dit weblog hier eerder is bericht) worden veel voorbeelden gegeven van functionele cookies. De OPTA sluit bij deze voorbeelden aan.
Gezien de onduidelijkheid over dit onderwerp en daarmee uitvoering van de wet in de praktijk, is het zeer prettig dat de OPTA de markt meer duidelijkheid verschaft in voorgenoemde documenten.