Cookies: een update

Geschreven door Mr. Anouk FOCQUET, contrast advocaten, www.contrast-law.be
Foto: Chris Wheal  

Wat u moet weten.

Als uw bedrijf een website heeft, is de kans groot dat die cookies heeft. Zelfs louter informatieve websites, zonder bijvoorbeeld een webshop, hebben op de dag van vandaag vaak cookies: om taalvoorkeuren van de bezoeker bij te houden, statistieken te verzamelen over de manier waarop bezoekers de website gebruiken of om advertenties te personaliseren. Wat uw websiteontwikkelaar ook zegt, die cookies zullen in het overgrote merendeel van de gevallen persoonsgegevens verzamelen. In de praktijk blijkt dat de gegevensbeschermingswereld - in tegenstelling tot de technische wereld - veel minder snel overgaat tot de conclusie dat cookies “anoniem” zijn.

Het gebruik van cookies valt dan ook onder het toepassingsgebied van de Algemene Verordening Gegevensbescherming. Daarnaast is Richtlijn 2002/58/EG (de “ePrivacy Richtlijn”), zoals geïmplementeerd in de nationale wetgeving van de lidstaten, van toepassing als lex specialis (en heeft dus voorrang op de Algemene Verordening Gegevensbescherming). De ePrivacy Richtlijn wordt op vandaag herzien door de Europese wetgever, maar die slaagt er voorlopig niet in om de nieuwe ePrivacy Verordening aan te nemen. Intussen zitten de nationale toezichthoudende autoriteiten niet stil. Meerdere autoriteiten hebben de laatste maanden richtsnoeren uitgevaardigd over het gebruik van cookies en hier en daar werden ook boetes opgelegd voor inbreuken in verband met cookies. Verder heeft het Hof van Justitie zich eind vorig jaar in het arrest Planet 49 nog uitgesproken over de toestemmings- en transparantieverplichting voor cookies. Tot slot heeft ook het Europees Comité voor Gegevensbescherming op 4 mei 2020 nieuwe richtsnoeren uitgevaardigd over toestemming, inclusief regels voor het plaatsen van cookies (alleen beschikbaar in het Engels).

Stilzitten (in afwachting van de nieuwe ePrivacy Verordening) is dus niet langer een optie. Tijd voor een update van onze vorige Privacy Talk over dit onderwerp. 

De ePrivacy Richtlijn bepaalt dat de toestemming van de websitebezoeker noodzakelijk is voor het plaatsen van cookies, met uitzondering van de technische opslag van informatie of de levering van een uitdrukkelijk door de abonnee of eindgebruiker gevraagde dienst wanneer het plaatsen van een cookie daarvoor strikt noodzakelijk is. In de praktijk betekenen deze twee uitzonderingen dat toestemming niet vereist is voor cookies die noodzakelijk zijn (i) voor de werking van de website (vaak “essentiële” cookies genoemd) en (ii) om een uitdrukkelijk door de bezoeker gevraagde functionaliteit te leveren (vaak “functionele” cookies genoemd). Het gaat bijvoorbeeld om cookies die noodzakelijk zijn om een verbinding tot stand te brengen, een login of taalvoorkeuren te onthouden, de geselecteerde producten in een winkelmandje te bewaren, enz. 

De toestemming onder de ePrivacy Richtlijn moet voldoen aan de voorwaarden van de Algemene Verordening Gegevensbescherming. Dit betekent onder meer dat de toestemming geïnformeerd en ondubbelzinnig moet zijn. Verder moeten website-eigenaars aan de algemene transparantieverplichting (artikel 12 en 13 AVG) voldoen. 

Volg het on demand seminarie Algemene factuurvoorwaarden anno 2020 met Pieter VAN AERSCHOT

Wat u moet doen.

Alles begint bij een juist begrip van de cookies die uw website gebruikt. In de praktijk knelt hier vaak het schoentje. Deze informatie moet worden aangeleverd door de websiteontwikkelaar. Eventueel kan u (als jurist) deze informatie dubbelchecken met het resultaat van een “cookie scan” van daartoe beschikbare online tools. Dergelijke tools zijn zeker niet feilloos, maar de ervaring leert dat ook websiteontwikkelaars al eens cookies over het hoofd kunnen zien. Het stellen van enkele bijkomende vragen is dus vaak raadzaam.

Veiligheidshalve moet u ervan uitgaan dat alle cookies persoonsgegevens verzamelen. De drempel om te kunnen spreken van “anonieme” cookies ligt bijzonder hoog, zodat u het risico best niet loopt dat de toezichthoudende autoriteit een andere visie zou hebben (dan de websiteontwikkelaar).

Lees ook: Should all Heads of Compliance/Legal step down as DPO, following the Belgian DPA ruling?

U moet de websitebezoeker informeren over het gebruik van cookies en hem/haar de toestemming vragen voor cookies die niet essentieel of functioneel zijn (bijvoorbeeld statistische, advertentie- of sociale media cookies). Dat doet u door middel van een zogenaamde cookiebanner:

  • De cookiebanner bevat een beknopte omschrijving van de soorten cookies die de website gebruikt en een link naar de cookieverklaring voor meer informatie. Indien de website al een privacyverklaring (conform artikel 12 en 13 AVG) heeft, moet die cookieverklaring (enkel) de volgende informatie bevatten: per cookie de naam van de cookie, het doel, de bewaartermijn en eventueel de naam van de derde partij die de cookie heeft geplaatst en/of die de cookie gebruikt. De cookieverklaring moet ook informatie bevatten over het wijzigen van de browserinstellingen en de mogelijkheid om de toestemming in te trekken. De cookieverklaring moet worden opgesteld in de taal van de doelgroep en gemakkelijk toegankelijk zijn (i.e. beschikbaar via een link op elke pagina van de website).
  • U moet de toestemming van de bezoeker krijgen voor het plaatsen van de niet-essentiële/niet-functionele cookies. Ook dit gebeurt dus best via de cookiebanner die meteen verschijnt bij het eerste bezoek op de website. De toestemming wordt best granulair verkregen, i.e. minstens per soort van cookies (statistisch, advertentie en sociale media). Indien u de mogelijkheid voorziet om door middel van één klik alle cookies te aanvaarden, voorziet u ook best een knop om alle (niet-essentiële/niet-functionele) cookies te weigeren. U mag niet werken met vooraf aangevinkte vakjes (voor niet-essentiële/niet-functionele cookies) en ook de boodschap dat verder surfen als toestemming geldt, volstaat niet. 

Vergeet niet dat heel wat toezichthoudende autoriteiten en ook het Europees Comité voor gegevensbescherming cookiewalls niet aanvaarden, i.e. het afhankelijk maken van de toegang tot de website van de toestemming van de bezoeker met het plaatsen van niet-essentiële en niet-functionele cookies. 

Tot slot, de ePrivacy Verordening zal wellicht het één en ander wijzigen aan het voorgaande. Zoals gezegd, dit mag u niet tegenhouden om u vandaag toch in orde te stellen met de huidige wetgeving. Het gebruik van cookies is voor vele toezichthoudende autoriteiten (bijvoorbeeld in België, Frankrijk, de UK, Duitsland en Spanje) een prioriteit. Wij houden u in elk geval op de hoogte zodra de regels wijzigen.