Wat betekent de nieuwe e-privacy verordening voor het gebruik van cookies?

De AVG hysterie is nog maar net gezakt of de volgende privacy gerelateerde verordening komt al weer om de hoek kijken. De nieuwe e-privacy verordening (beter bekend als de ‘cookie law’) vervangt de huidige e-privacy richtlijn en daarmee tegelijkertijd ook onze Nederlandse Telecommunicatiewet. Alhoewel het oorspronkelijke plan om de e-privacy verordening samen met de AVG op 25 mei 2018 in werking te laten treden faalde, is de verwachting dat deze in 2019 alsnog van kracht zal zijn. Betekent dit dat er al een definitief voorstel op tafel ligt? Zeker niet: er wordt nog steeds flink gelobbyd door verschillende partijen en het aantal amendementen (een voorstel tot wijziging) groeit nog gestaag.

E-privacy vs. AVG: verschillen

De e-privacy verordening is een lex specialis op de AVG. Waar de reeds in werking getreden AVG van toepassing is op de verwerking van persoonsgegevens, richt de e-privacy verordening zich uitsluitend op de verwerking van gegevens door ‘elektronische-communicatiediensten’. Waar de AVG aldus ziet op de bescherming van persoonsgegevens, dat wil zeggen “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”, garandeert de e-privacy verordening mede de bescherming van vertrouwelijke communicatie waarbij geen persoonsgegevens in het spel zijn. Dit is een belangrijke uitbreiding. Denk maar eens aan het volgende scenario: twee ondernemingen wisselen via e-mail gevoelige informatie uit omtrent het starten van een mogelijke Joint Venture. Als rechtspersoon (niet zijnde een particulier) kan het heel goed voorkomen dat er communicatie plaatsvindt waarin geen persoonsgegevens worden verwerkt. De AVG is dan niet van toepassing. Als ondernemer wil je natuurlijk wel dat deze communicatie vertrouwelijk blijft. Hier komt de e-privacy verordening om de hoek kijken. De verordening beoogt zodoende o.a. de rechtmatige belangen van rechtspersonen te beschermen.  

Privacy en jouw cookies: praktische tips

Allemaal leuk en aardig, al dat gezever over de nieuwe privacywetgeving, maar als ondernemer wil je natuurlijk graag weten hoe je nieuwe privacywetgeving kan implementeren. Neem nou het plaatsen van Cookies. Toen de AVG van kracht werd is er al een hoop ‘geblogt, gevlogt’ en geschreven over dit fenomeen, en met de nieuwe e-privacy verordening lijken er weer nieuwe cookie-regels te arriveren. Maar wat moet jij als ondernemer hier nou eigenlijk mee? In deze blog leggen we je uit wat er voor jou als ondernemer onder de e-privacy verordening lijkt te gaan veranderen. We beginnen bij het begin: hoe achterhaal je eigenlijk of jouw website cookies plaatst?

Plaatst mijn website cookies?

Waarschijnlijk gebruikt jouw website wel cookies. Of tenminste, dat neem je eigenlijk maar aan. Cookies zijn kleine bestandjes die door jouw website op het device van jouw bezoeker worden geplaatst. Met de komst van de nieuwe privacywetgeving (AVG en E-privacy) is het van belang dat je als ondernemer een helder beeld hebt over de verschillende cookies die jouw website plaatst. Met de developer tool van Google Chrome (F12) kan jij zelf handmatig bekijken welke cookies jouw website plaatst. Hier lees je er meer over.

E-privacy verordening: nieuwe wetgeving

Tot op heden is in Nederland de Telecommunicatiewet van toepassing waarin regels zijn opgesteld over het gebruik van cookies door websitehouders. Zoals gezegd verwachten we dat deze medio 2019 vervangen zal worden door de e-privacy verordening, waarbij het een en ander zal veranderen met betrekking tot het plaatsen van cookies. Maar verandert er wel echt zoveel? Het voorstel tracht onder andere de zogenaamde ‘consent fatigue’ aan te pakken door de toestemmingsregels omtrent het gebruik van cookies te verduidelijken en te vereenvoudigen. Door al het gelobby lijken echter veel kernpunten van het voorstel (i.e. centralisering van toestemming via internetbrowsers, verbod op cookie-walls, etc.) die deze ‘toestemming moeheid’ trachtten aan te pakken, haar kracht te verliezen. We zullen per kernpunt bespreken wat de huidige status ervan is zodat jij als ondernemer kan beginnen met het treffen van voorbereidingen.

Toestemming voor het plaatsen van cookies

Onder de AVG moet je aan jouw websitebezoekers toestemming vragen voordat je cookies plaatst (tenzij het strikt noodzakelijk cookies betreft) die persoonsgegevens verwerken. De vraag is hier dus: leidt deze cookie tot een verwerking van persoonsgegevens? De e-privacy verordening verschilt hiermee in zoverre dat zij eist (in artikel 8, lid 1) dat toestemming wordt gevraagd voor het plaatsen van iedere cookie (ongeacht of deze persoonsgegevens verwerkt of niet), tenzij:

  • De geplaatste cookies noodzakelijk zijn voor het aanbieden van de door eindgebruiker verzochte dienst; of

  • De cookies noodzakelijk zijn voor het bijhouden van webstatistieken door de dienstaanbieder (let op: dus niet bijhouden door een derde partij, zoals bijv. Google analytics); of

  • De cookies noodzakelijk zijn voor de overdracht van gegevens.

Alhoewel het toestemmingsvereiste voor tracking cookies al in 2012 gold, verhoogt de e-privacy verordening in zoverre het ‘beschermingsniveau’ van de websitegebruiker door uitdrukkelijk te specificeren dat de ‘toestemming’ een ‘AVG-compliant toestemming’ moet zijn. Dit betekent onder andere dat de toestemming moet blijken uit een vrije, specifieke en geïnformeerde wilsuiting.  

Praktische tip: éérst moet toestemming worden gevraagd, dan pas kunnen de cookies worden geplaatst! Een mooie cookiebanner waarin je om toestemming vraagt is dus niet voldoende. Aan de ‘achterkant’ moet het ook echt zo geregeld zijn dat cookies pas worden geplaatst op het moment dat jouw websitegebruiker zijn of haar toestemming heeft gegeven.

Browser: gecentraliseerde toestemming?

Zoals gezegd beoogt de e-privacy verordening het ‘toestemmingsvereiste’ zo gebruikers-vriendelijk mogelijk te maken. Door het toenemende gebruik van tracking cookies worden websitegebruikers immers om de haverklap gevraagd zijn of haar toestemming te geven met ‘consent fatigue’ als gevolg. In het voorstel is getracht hierin verandering te brengen, door de toestemming te centraliseren middels het gebruik van privacy-instellingen van internetbrowsers. Een internetgebruiker kan dan bijvoorbeeld eenmalig aangeven in zijn chrome browser dat hij cookies van derden afwijst en hoeft dit niet keer op keer opnieuw te doen via cookiebanners, enzovoorts. Door een dergelijke centralisering van de toestemming in internetbrowsers, zou het verkrijgen en geven van toestemming aanzienlijk eenvoudiger worden. Echter… of we deze gecentraliseerde toestemming ook daadwerkelijk mogen aanschouwen in de praktijk valt nog maar zeer te bezien. In deze compromistekst lijkt het Oostenrijkse voorzitterschap (Raad van de Europese Unie) een dergelijke rol van internetbrowsers en softwareleveranciers niet passend te vinden en stelt zij voor om gerelateerde bepalingen uit het voorstel te verwijderen. Van een ‘gecentraliseerde toestemming’ zou dan nog maar weinig overblijven. Zo lijkt het toch die vervelende ‘cookie banner’ te zijn die elke keer weer op ons beeldscherm zal verschijnen.

Cookie-walls: een verbod onder de e-privacy verordening?

Veel ondernemers maken gebruik van een zogenaamde cookie-wall: als bezoeker krijg je een “alles of niets-optie’': zolang je de cookies niet accepteert wordt je de toegang tot de website ontzegd. Er heerst veel onduidelijkheid omtrent de toelaatbaarheid van een dergelijke ‘muur’ onder de nieuwe e-privacy verordening. Vooropgesteld moet worden dat de e-privacy verordening (vooralsnog) geen specifieke regels bevat omtrent de toelaatbaarheid van cookie-walls. Om de ‘onduidelijkheid’ compleet te maken lijken bovendien het Europese Parlement en de Raad van de Europese Unie lijnrecht tegenover elkaar te staan. Waar het Europese Parlement amendementen heeft ingediend ter introductie van een verbod op cookie-walls, laat de Raad doorschemeren dat cookie-walls in sommige situaties toegestaan zouden moeten zijn. Er wordt dan gedacht aan een website waarop inhoud ‘gratis’ wordt aangeboden en aan de eindgebruiker (indien hij de cookies niet accepteert) een alternatieve optie beschikbaar wordt gesteld door diezelfde dienstaanbieder.

Conclusie

Het is nog steeds onrustig in Brussel. Voordat eindelijk de definitieve versie van de e-privacy verordening op tafel ligt, blijven ook juristen in het duister tasten. Bij Spaans&Spaans volgen we de ontwikkelingen omtrent de e-privacy verordening op de voet. Blijf dan ook onze blogs in de gaten houden voor meer informatie!