Op 4 februari 2015 is de aangepaste cookiewet door de Eerste Kamer aangenomen. Onduidelijk is nog wanneer de nieuwe wet van kracht wordt. In deze blog een korte beschrijving van de verschillen tussen de nu nog geldende wetgeving en de deze nieuwe cookiewet. Tevens wordt stilgestaan bij de recent door het College Bescherming Persoonsgegevens gepubliceerde handleiding voor het gebruik van Google Analytics.
Hoe luidt de huidige wetgeving?
De hoofdregel van het huidige 11.7a Telecommunicatiewet (“Tw”) bepaalt dat cookies alleen geplaatst mogen worden indien i) er voorafgaand toestemming is verkregen en ii) er voorafgaand is geïnformeerd.
Deze hoofdregel kent twee uitzonderingen. Toestemming vragen en informeren is, kort gezegd, niet noodzakelijk wanneer het gaat om cookies die i) noodzakelijk zijn om de website te kunnen weergeven of ii) strikt noodzakelijk zijn om een gevraagde dienst te leveren (lees deze blog voor meer informatie).
Indien er met de cookies persoonsgegevens worden verzameld, geldt tevens de Wet bescherming persoonsgegevens (“Wbp”). Dit betekent dat er een wettelijke grondslag aanwezig moet zijn voor de verwerking. Bij cookies is dat over het algemeen ofwel toestemming ofwel het gerechtvaardigd bedrijfsbelang van de onderneming. Indien toestemming is vereist, dient naast de toestemming voor het plaatsen van de cookies ook apart toestemming verkregen te worden voor het gebruik van de persoonsgegevens.
Waarom een wetswijziging?
De cookiewet heeft tot veel irritatie geleid bij zowel internetgebruikers als bedrijven die cookies plaatsen. De wetgeving zou zijn doel voorbij zijn geschoten doordat voor (bijna) alle type cookies toestemming moet worden gevraagd. Consumenten worden zo nodeloos geconfronteerd met pop-ups en banners terwijl hun privacy nauwelijks in het geding is. Voor bedrijven is het een extra kostenpost. De nieuwe wetgeving moet deze bezwaren wegnemen.
Wat houdt de wetswijziging in?
Ten opzichte van de (nu nog) geldende wetgeving is de reikwijdte van de nieuwe wet beperkter. Aan de reeds bestaande uitzonderingen wordt de volgende nieuwe uitzonderingsgrond toegevoegd.
Onder de nieuwe wetgeving is toestemming vragen en informeren niet noodzakelijk wanneer:
i) er met behulp van een cookie informatie wordt verkregen over de kwaliteit en effectiviteit van een geleverde dienst van de informatiemaatschappij; en
ii) dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker.
Partijen zullen zelf moeten bepalen of een cookie slechts geringe gevolgen voor de persoonlijke levenssfeer heeft. Volgens de toelichting bij het wetsvoorstel geldt dit in ieder geval voor analytic cookies, A/B testing cookies en affiliate cookies voor zover ze alleen voor die doeleinden worden gebruikt.
Voor cookies die op enigerlei wijze worden gebruikt voor het opbouwen van profielen van gebruikers en/of die gebruikers tracken over het web, blijft de hoofdregel onverkort van toepassing.
Verder blijft de Wbp van toepassing op de persoonsgegevens die worden verzameld met de cookies. Er zal nog altijd moet worden bepaald of de grondslag voor verwerking toestemming of het gerechtvaardigd belang is. Het ligt voor de hand dat toestemming niet vereist is voor de verwerking van gegevens verzameld met behulp van cookies die geen of geringe impact hebben op de persoonlijke levenssfeer. Voor overige cookies zal dat per geval moeten worden beoordeeld.
Tot slot wordt een artikellid toegevoegd waarin het overheidsinstelling expliciet wordt verboden om zogenaamde cookie walls te hanteren. Het gaat daarbij om de situatie dat een gebruiker cookies moet accepteren omdat hij anders geen gebruik mag maken van de website. Voor andere partijen geldt een dergelijk absoluut verbod niet. Cookie walls zijn toegestaan tenzij het gaat om een voor de gebruiker zeer belangrijke dienst waar geen alternatief voor is. In dergelijke gevallen kan van een vrije toestemming geen sprake zijn. Dit zal per geval moeten worden beoordeeld.
Is alle onduidelijk hiermee weggenomen?
De reikwijdte van de wet wordt ingeperkt, maar daarmee is de uitvoering niet noodzakelijkerwijs eenvoudiger geworden. Anders dan onder de huidige wetgeving geldt, zullen bedrijven namelijk zelf moeten bepalen of cookies geen of slechts een geringe impact op de persoonlijke levenssfeer hebben. De vraag is of bedrijven daar altijd goed toe in staat zijn.
In ieder geval is er al voordat de wet is aangenomen onduidelijkheid ontstaan over het gebruik van Google Analytics. Het CBP heeft namelijk een handleiding gepubliceerd waarin staat vermeld onder welke voorwaarden het gebruik van cookies voor Google Analytics is toegestaan. In diverse commentaren is gesteld dat deze handleiding op gespannen voet zou staan met de strekking van de nieuwe wet.
Analytic cookies zijn bij uitstek bedoeld om informatie te verkrijgen over de effectiviteit en kwaliteit van een website. Dit betekent echter niet dat analytic cookies ook altijd zijn toegestaan. De wijze waarop de analytic cookies worden gebruikt speelt daarbij een rol. Op basis daarvan moet worden bepaald of er sprake is van geringe gevolgen voor de persoonlijke levenssfeer.
De Memorie van Toelichting is daar redelijk helder in:
Om te voorkomen dat het gebruik van een analytics cookie meer dan geringe gevolgen heeft voor de privacy van de internetgebruiker, is het vereist dat deze cookies of de daarmee gegenereerde gegevens niet worden gebruikt om bijvoorbeeld een profiel van de internetgebruiker op te stellen, ook niet door een eventuele derde waarmee de websitehouder de gebruiksgegevens van een door hem zelf geplaatste analytic cookie deelt. Daarvan is ook sprake als een door de websitehouder geplaatste (en dus “first party”) analytic cookie kan worden uitgelezen door een derde partij.
Een logische redenering. Als gegevens verzameld met behulp van analytic cookies vervolgens voor tracking doeleinden worden gebruikt, zal er meer dan een geringe impact op de persoonlijke levenssfeer ontstaan. Overigens wordt het delen met een derde partij niet verboden. De Memorie van Toelichting vermeldt hierover:
“De websitehouder die zijn gebruiksgegevens uit analytic cookies deelt met een derde moet, om onder de uitzondering te vallen, waarborgen bieden om de privacy-impact zo veel mogelijk te beperken. Hij moet in een (bewerkers)overeenkomst duidelijk afspraken met de derde dat ook hij de informatie niet zal gebruiken op een manier die meer dan ene geringe gevolgen heeft voor de privacy van de internetgebruiker wiens gegevens het betreft.in deze (bewerkers)overeenkomst moet worden afgesproken dat de derde de gegevens niet voor eigen doeleinden gebruikt, of alleen voor afgebakende, in de overeenkomst opgenomen doellanden die geen of slechts geringe gevolgen hebben voor de persoonlijke levenssfeer van de betrokkenen abonnees en gebruikers”
Omdat met analytic cookies ook persoonsgegevens worden verzameld, is de handleiding door het CBP opgesteld. De handleiding stelt de volgende 4 voorwaarden vast waaraan moet worden voldaan om het gebruik van Google Analytics privacy vriendelijk te laten zijn:
1. bewerkersovereenkomst met Google afsluiten;
2. Google niet het volledige IP-adres laten verwerken;
3. gegevens delen met Google uitzetten;
4. informeren over gebruik analytics.
Dat er een bewerkersovereenkomst moet worden gesloten, is geen verrassing. De websitehouder is verantwoordelijk voor de verwerking van de persoonsgegevens die aan Google worden verzonden. Google is aan te merken als bewerker als zij de gegevens louter in opdracht van de websitehouder verwerkt. De Wbp bepaalt dat er tussen verantwoordelijke en bewerker een bewerkersovereenkomst moet worden gesloten. Google biedt dit ook aan.
Als Google meer gaat doen met de gegevens dan louter het verwerken in opdracht van de website eigenaar is zij niet langer als bewerker aan te merken maar is ze verantwoordelijke geworden. Het ligt minder voor de hand dat in een dergelijk geval nog sprake is van een geringe impact op de persoonlijke levenssfeer. Dat het CBP de eis stelt dat gegevens delen met Google moet worden uitgezet als een beroep op de uitzondering gedaan moet worden, is wat dat betreft te begrijpen. Het is wel de vraag of dit ook geldt voor louter technische ondersteuning. Wordt de privacy van de gebruiker meer aangetast als Google een website eigenaar assisteert bij het gebruik van Google Analytics?
Vervolgens stelt het CBP dat de laatste acht cijfers van het IP adres moet worden geanonimiseerd. Dat er bij anonimiseren eerder sprake is van een geringe impact op de persoonlijke levenssfeer, ligt voor de hand. De parlementaire geschiedenis vermeldt dat ook expliciet (Nota nav Verslag). In het geval van Google Analytics lijkt me dit echter minder relevant. Ook als er geen verdere anonimisering plaatsvindt, zou ik menen dat de verwerking van het IP-adres door Google als bewerker voor louter om de effectiviteit en kwaliteit van de site te meten, een geringe impact op de persoonlijke levenssfeer betekent. Het zou beter zijn geweest wanneer het CBP het anonimseren als een best practice had vermeld.
Tot slot het punt over het informeren. Deze verplichting vloeit niet voort uit de cookiewet maar uit de Wbp. Daarin staat vermeld dat degene wiens persoonsgegevens worden verwerkt daarvoor voorafgaand geïnformeerd moet worden. De Wbp bevat geen uitzonderingen voor verwerkingen die geen of slecht een geringe impact hebben op de persoonlijke levenssfeer. Er zal daarom altijd geïnformeerd moeten worden. De informatie kan in een privacy statement worden opgenomen. In de handleiding omtrent Google Analytics stelt het CBP een lijst met punten vast die moeten worden vermeld in de privacy policy. Het betreft specifieke punten die niet direct uit de Wbp voortvloeien zoals het feit dat i) Google Analytics-cookies worden gebruikt, ii) een bewerkersovereenkomst is gesloten, iii) gekozen is voor het maskeren van het laatste octet van het IP-adres iv) ‘gegevens delen’ is uitgezet en v) dat geen gebruik wordt gemaakt van andere Google-diensten in combinatie met de Google Analytics cookies.
Het is de vraag of de vermelding van deze gegevens verplicht gesteld kan worden. Ik zou menen dat ook zonder de vermelden van deze punten aan de informatieplicht kan worden voldaan. Ook hier geldt dat het om best practices zou moeten gaan.
Lees hier de handleiding