Blog Cookiewet

Populair artikel analytics_cookies_position_paper_GBA
13.01.2021 Bart Van den Brande

Digitale sector unisono in overleg met de Gegevensbeschermingsautoriteit (GBA): Analytics cookies zonder voorafgaande opt-in zijn een noodzaak  

Sirius Legal overlegde samen met de quasi volledige digitale sector in België op 7 januari unisono met de Gegevensbeschermingsautoriteit over het gebruik van analytics cookies.  

ACC, BAM, Cube, Feweb, SafeShops.be, UBA en UMA legden vorige week collectief hun bezorgdheid voor aan de GBA over de wijze waarop vandaag in online omgevingen voorafgaande expliciete toestemming gevraagd moet worden voor het plaatsen van analytics cookies. De vakverenigingen, die samen het brede spectrum van de Belgische online wereld vertegenwoordigen, deden dat op basis van een uitgebreid onderbouwde position paper die tot stand kwam dankzij advocatenkantoor Sirius Legal.  

 

Bezorgdheid over expliciete toestemming analytics cookies

Grote bezorgdheid in de ganse sector is immers het feit dat de verplichting om middels een cookiebanner het akkoord van websitebezoekers te vragen zeer grote economische schade toebrengt aan de sector.  Heel wat surfers op internet, sommige statistieken spreken zelfs van meer dan 80%, klikken de vaak vervelend geachte cookie pop-ups immers gewoon weg of geven geen toestemming, waardoor webshops en online marketeers broodnodige data over het aantal bezoeken aan hun website of over de efficiëntie van hun website mislopen en de inhoud ervan dus niet kunnen verbeteren. Dit zorgt voor bijzonder veel frustratie omdat in de ons omringende landen het gebruik van zulke analytics cookies wél mogelijk is zonder voorafgaande toestemming van de websitebezoeker, wat een ernstig concurrentienadeel creëert voor Belgische online ondernemers.  

De ganse sector is bijzonder begaan met online privacy en verwelkomt de transparantie die verplichte cookie opt-ins met zich mee brengen als het gaat om gegevensverzameling voor  marketingdoeleinden. Hij heeft echter op de grote urgentie aangedrongen bij de GBA, en zal dit in een volgende fase doen bij de bevoegde minister, om voor België een gelijkaardige uitzondering te voorzien als deze die in Frankrijk, Nederland en Duitsland al bestaat voor strikt analytische doeleinden. Performante websites, die aangepast zijn aan de vragen en verwachtingen van de consument zijn in de eerste plaats ook in het voordeel van precies die consument. Goede analytics data laten immers toe om betere diensten en producten, onder betere voorwaarden en met betere  prijzen aan te bieden aan precies die consument.  

 

Position paper en relevante artikels

Het volledige standpunt van de sector is uitgewerkt in een position paper die je hieronder kan downloaden. Deze paper geeft een zeer goede schets van de actuele problematiek en reflecteert het standpunt van de volledige digitale sector. 

We schreven bij Sirius Legal al eerder een aantal artikels over deze problematiek en zijn bijzonder verheugd dat onze position paper door heel de digitale sector zo enthousiast onderschreven wordt. Sirius Legal zal samen met BAM en de andere associaties de nodige stappen nemen om te komen tot een voorstel van tekst en onderhandelingen met het kabinet van de Minister Mathieu Michel. Wij houden je daarvan zeker op de hoogte!

 

Vragen over cookies of over deze position paper?

Contacteer ons gerust via bart@siriuslegal.be of boek hier rechtstreeks een overlegmoment in.

19.10.2020 Bart Van den Brande

Nieuwe Cookie Richtlijnen in Frankrijk (ook relevant voor België)

De Franse gegevensbeschermingsautoriteit (de “CNIL”) publiceerde op 1 oktober 2020 nieuwe richtlijnen rond het gebruik van cookies op websites ter vervanging van haar oude richtlijnen uit 2019.  Dit is ook voor België van belang omdat de CNIL, samen met de Britse ICO en de Spaanse AEPD de enige gegevensbeschermingsautoriteit is die tot op heden zulke duidelijke en volledige richtlijnen rond het gebruik van cookies en andere tracking technologie publiek gemaakt heeft.

 

Nog even over cookies in het algemeen

We zijn bij Sirius Legal het voorbije jaar erg intensief bezig met cookieregelgeving.  Het Planet 49 arrest en de boete voor Jubel vorig jaar hebben heel wat reacties losgeweekt en in de voorbije maanden hebben we een hele reeks opleidingen, webinars en infosessies gegeven rond het gebruik van cookies op websites.  Gelijktijdig hebben we samen met onze partner Grava.be een Cookiescan uitgewerkt, die bedrijven kan helpen om zich zowel technisch als juridisch in regel te stellen.  Binnenkort wordt bovendien een handig handboek over cookies van onze hand gepubliceerd bij uitgeverij Politeia en achter de schermen lobbyen we samen met enkele bevriende vakverenigingen voor een meer soepele interpretatie van de regels.

Eén van onze grootste frustraties van het afgelopen jaar is de afwezigheid van duidelijke en praktisch toepasbare instructies vanuit de overheid over wat nu precies wél en niet aanvaardbaar is als het over het gebruik van cookies of andere trackers op websites gaat.

Dit nieuwe advies van de CNIL is wat dat betreft zeer welgekomen.  Het geeft ons en andere gespecialiseerde professionals een extra houvast om onze cliënten beter en preciezer te adviseren.

 

Wat zeggen die cookie richtlijnen van de CNIL nu precies?

De CNIL richtlijnen vormen best een lijvig document.  We vatten hier even samen wat je er kan terugvinden: 

  • De bevestiging dat toestemming voor het plaatsen van cookies niet stilzwijgend kan gebeuren.  Wie geen expliciete toestemming heeft gegeven, heeft géén toestemming gegeven.
  • De bevestiging (volgend op het Facebook Share Button arrest uit 2019) dat de website zelf en de derde-aanbieder die cookies plaatst via die website (bvb bij het gebruik van share of like buttons) gezamenlijke verantwoordelijken voor de verwerking zijn.  Dat betekent eenvoudig gezegd dat websites altijd mee verantwoordelijk zijn voor wat derden zoals Facebook, LinkedIn, ShareThis of AddThis doen via cookies op hun website.
  • Het verbod op cookiewalls wordt enigszins afgezwakt, in die zin dat de Franse Raad van State oordeelde dat een algeheel verbod op cookiewalls niet mogelijk is en dat geval per geval bekeken moet worden of de websitebezoeker vrij is om al dan niet toestemming te geven of te weigeren (de facto laat een cookiewall die vrijheid nooit en dus zijn ze bij een individueel onderzoek geval per geval altijd illegaal, alleen mag dat niet als algemene regel in Frans recht opgenomen worden…)
  • Cookie consent kan niet gegeven worden samen met de aanvaarding van algemene voorwaarden.  Beide toestemmingen moeten los van elkaar staan en een aparte opt-in is vereist.
  • Toestemming is vereist per categorie en per doeleinde of althans de bezoeker moet de keuze hebben om zijn of haar toestemming op die manier te geven (een globale “accepteer alles” knop kan wel, zolang ook “manage my choices” aangeboden wordt)
  • De cookie richtlijnen herhalen de aanbeveling van de AVG om eenvoudige en begrijpelijke taal te gebruiken om individuen te informeren over de aard en de doeleinden van cookies en om juridisch of (marketing)technisch jargon te vermijden.
  • Om het voorgaande mogelijk te maken, nodigt de CNIL belanghebbenden uit om samen te komen om gestandaardiseerde interfaces te ontwerpen die op dezelfde manier en met dezelfde bewoordingen werken.
  • De minimale info die een gebruiker moet krijgen om geïnformeerd zijn of haar toestemming te kunnen geven is de volgende:
    • De identiteit van de gegevensbeheerder (s);
    • Het doel van cookies;
    • Hoe je cookies accepteert of weigert;
    • De gevolgen van hun weigering of aanvaarding; en
    • Het recht om de gegeven toestemming op elk moment in te trekken.
  • Zogenaamde “continued browsing” (“door onze website te bezoeken, gaat u akkoord…”) vormt géén geldige toestemming en de CNIL gaat zelfs een stapje verder door te zeggen dat het verder bezoeken van de website zonder actieve keuze, gezien moet worden als een actieve weigering door de bezoeker voor het plaatsen van cookies
  • De CNIL geeft ook nog mee dat browser settings op zich geen bewijs kunnen zijn van opt-in.  De techniek laat vandaag immers niet toe aan websitebezoekers om in de settings van Chrome, Edge of Firefox voldoende geïndividualiseerd te kiezen welke cookies zij wel of niet willen aanvaarden.
  • Advertentienetwerken die cookies plaatsen op websites zijn in vele gevallen zelf verantwoordelijken voor de verwerking van persoonsgegevens onder GDPR, vaak samen met de website-eigenaar.  
  • Hoe lang blijft consent geldig?  Vroeger hanteerde de CNIL in het algemeen 13 maanden.  In dit advies nuanceert zij en zegt zij dat dit afhangt van de aard van de website of applicatie en van het specifieke publiek dat de website of de applicatie gebruikt of bezoekt.  Consent moet dus regelmatig vernieuwd worden.
  • De toestemming moet in ieder geval ook op elk moment, kosteloos, kunnen worden ingetrokken, net zo gemakkelijk als deze aanvankelijk werd gegeven. Hiertoe raadt de CNIL aan om een ​​link te gebruiken naar een mechanisme voor het verzamelen van toestemming met een beschrijving zoals “manage my choices”.

 

En wat met analytics?

Wie ons het voorbije jaar gevolgd heeft, weet dat we érg bezorgd zijn over de impact van de cookiewetgeving op het gebruik van analytics cookies.  Die laatste vereisen immers ook voorafgaande toestemming en we weten uit statistieken dat die opt-in moeilijk te pakken te krijgen is, wat zorgt voor een grote drop in analytics data voor wie de wet correct naleeft.

De CNIL nam eerder al een veel genuanceerder standpunt in dan de Belgische GBA ten aanzien van analytics cookies en dit wordt bevestigd in deze richtlijnen. De CNIL geeft immers ook een opsomming van cookies waarvoor geen toestemming vereist is: 

  • Cookies die dienen om de cookiekeuze van bezoekers te bewaren;
  • Authentication cookies;
  • Shopping cart cookies;
  • Personalisatiecookies voor gebruikersinterface (bijvoorbeeld voor de taalkeuze of presentatie van een dienst), wanneer dergelijke personalisatie een intrinsiek en verwacht onderdeel van de dienst vormt;
  • Load balancing cookies; 
  • Paywall-cookies;
  • Met betrekking tot analytics cookies heeft de CNIL gespecificeerd dat ze “niet systematisch de voorafgaande toestemming van de gebruiker vereisen”, zolang ze alleen worden gebruikt om het publiek van een website of een applicatie te meten en op voorwaarde dat deze Cookies:
    • niet toestaan ​​dat gebruikers door verschillende websites of applicaties browsen (cross device tracking); 
    • alleen worden gebruikt om anonieme statistische gegevens te produceren en op voorwaarde dat de verzamelde persoonlijke gegevens niet kunnen worden gecontroleerd of aan derden kunnen worden doorgegeven.

 

Vragen over cookies of GDPR of wil je beroep doen op onze Cookiescan dienst?

Bel of mail gerust met Bart Van den Brande op +32 486 901 931 of op bart@siriuslegal.be of boek hier rechtstreeks een vrijblijvende Google Meet kennismaking in in de agenda van Bart.

22.06.2020 Bart Van den Brande

Cookie update: Duitse Bundesgericht neemt eindbeslissing in Planet49 zaak

Het Duitse Bundesgerichtshof bevestigde op 28 mei dat de regels uiteengezet in het Planet49 arrest van het Europees Hof van Justitie ook op Duitse websites van toepassing zijn.  Voorafgaande vrije toestemming voor het plaatsen van cookies en een verbod op vooraf aangevinkte keuzevakjes zijn vanaf nu ook in Duitsland noodzakelijk.

 

Het Planet49 arrest even samengevat

Op 1 oktober 2019 heeft het Hof van Justitie van de Europese Unie in de Planet49-zaak een belangrijk arrest geveld met betrekking tot cookies en toestemming krachtens de AVG. 

Het Duitse bedrijf Planet49 GmbH had een online reclameloterij georganiseerd. Internetgebruikers die aan dit spel wilden deelnemen, moesten hun postcode invoeren, waarna zij op een website terechtkwamen waar zij hun naam en adres moesten opgeven. 

Onder de invoervelden voor het adres stonden twee mededelingen met daarbij aanvinkvakjes. Het eerste aanvinkvakje, waarmee de bezoeker toestemming gaf voor het ontvangen van commerciële communicatie, was niet standaard aangevinkt. Het tweede aanvinkvakje was echter wél vooraf aangevinkt. Het ging om de toestemming voor het plaatsen van cookies.

Dit had tot gevolg dat deelnemen aan de wedstrijd enkel mogelijk was als de deelnemer zijn of haar toestemming verleende om zijn of haar persoonsgegevens te delen met “sponsors en partners”.

Volgens een Duitse consumentenbeschermingsorganisatie voldeden deze toestemmingsverklaringen van Planet49 niet aan de minimale vereisten van het Duitse recht.

De zaak kwam uiteindelijk terecht bij het Bundesgerichtshof, die de zaak doorverwees naar het Hof van Justitie met een prejudiciële vraag over de correcte interpretatie van de ePrivacyrichtlijn, de oude Gegevensbeschermingsrichtlijn en de AVG. 

Het Hof oordeelde dat vooraf aangevinkte keuzevakjes en impliciete toestemmingen met zekerheid geen geldige toestemming vormen onder artikel 5 van de ePrivacyrichtlijn. Een toestemming moet ook “geïnformeerd” zijn en moet “specifiek” zijn in die zin dat toestemming voor één type cookies (bijvoorbeeld analytische cookies die het bezoekersgedrag op een website meten) niet automatisch kan worden beschouwd als toestemming voor andere types van cookies (zoals tracking cookies die informatie delen met derde partijen). Dezelfde regels gelden bovendien ongeacht de vraag of met bepaalde cookies al dan niet persoonsgegevens verzameld worden of kunnen worden.

Op basis van deze beslissing, gecombineerd met een reeks recente recente aanbevelingen van diverse Europese gegevensbeschermingsautoriteiten en opgelegde boetes in onder meer Spanje en België, moeten bedrijven zich ervan bewust zijn dat de vereisten voor cookietoestemming de afgelopen maanden aanzienlijk zijn geëvolueerd of althans veel strikter gelezen worden.

 

Beslissing van het Bundesgerichtsof

Het Duitse Bundesgerichtshof, dat de initiële prejudiciële vraag had gesteld aan het Europees Hof,  heeft nu in een arrest van 28 mei 2020 Cookie Consent II, I ZR 7/16 (persbericht) op basis van het Europese arrest beslist dat websites ook in Duitsland de Europese cookieregels moeten volgen en voorafgaande toestemming moeten bekomen voor het plaatsen van cookies.

Hierover was verwarring ontstaan omdat Duitsland destijds de ePrivacy richtlijn, waarin de cookieregels zijn opgenomen, niet correct had omgezet in Duits recht. Artikel 15 van de Duitse telemediawet (Telemediengesetz; TMG) staat toe dat websitebeheerders pseudonieme gebruikersprofielen maken voor reclame, marktonderzoek en gebruiksdoeleinden, terwijl dat volgens de ePrivacy richtlijn enkel kan mits voorafgaande toestemming. De TMG vereist echter geen opt-in, maar alleen dat de gebruiker wordt geïnformeerd en toestemming krijgt om bezwaar te maken (“opt-out”).

Het Bundesgerichtshof legt de Duitse wet nu naast de ePrivacy richtlijn en besluit, op basis van het Planet 49 arrest van het Europees Hof, dat de Duitse wet aan het Europees recht moet voldoen en dus dat ook in Duitsland websites geen vooraf aangevinkte selectievakjes mogen gebruiken om toestemming te verkrijgen. Bovendien zijn de vereisten van toepassing ongeacht of de informatie in de cookie persoonlijke gegevens zijn die onder de AVG vallen (Verordening (EU) 2016/679).

Websites in Duitsland zijn met andere woorden onderworpen aan dezelfde cookieregels als hun collega’s in andere lidstaten van de Europese Unie en zullen vanaf nu ook expliciet toestemming moeten vragen voor het gebruik van alle niet-noodzakelijke cookies.

 

Strenge controles in Duitsland

Wie een website in Duitsland uitbaat of zelfs vanuit een derde land een website specifiek gericht op Duitsland uitbaat, moet overigens zéér voorzichtig zijn.  De controles op het naleven van de cookieregels, maar ook de consumentenwetgeving en GDPR, zijn er duidelijk anders opgezet dan bij ons.  Het systeem is zo dat élke concurrent die meent een inbreuk vast te stellen bij een concurrent, een ingebrekestelling kan verzenden rechtstreeks aan die concurrent en daarin een schadevergoeding/boete kan opeisen, inclusief vergoeding van advocatenkosten!  De tussenkomst van de overheid is daarin helemaal niet nodig en concurrenten houden elkaar zéér scherp in de gaten.  Wie de regels niet volgt, riskeert elke dag tegen een (opportunistische) claim van een concurrent aan te lopen.  

 

Vragen over GDPR, cookies of e-commerce in de EU?

Neem gerust vrijblijvend contact op met Bart Van den Brande op bart@siriuslegal.be of op +32 486 901 931

06.10.2019 Bart Van den Brande

“Geen cookies zonder toestemming”, zegt het Europees Hof voor Justitie

Het Europees Hof voor Justitie bevestigde in een arrest van 1 oktober 2019 dat voor het plaatsen van cookies in beginsel altijd de voorafgaande vrije en geïnformeerde toestemming van de betrokkene vereist is en dat die toestemming niet kan blijken uit een vooraf aangevinkte checkbox.

 

Toestemming vragen voor het plaatsen van cookies of niet?

De “cookiewet” is inmiddels 7 jaar oud en sinds haar ontstaan heeft ze weinig meer dan frustratie en verwarring gezaaid.  

De basisregel is nochtans niet moeilijk: voorafgaand aan het plaatsen van een cookie op iemands device heb je toestemming nodig van de betrokkene.  Volgens de Europese Richtlijn die aan de basis ligt van de cookiewet (Richtlijn 2002/58) moet die toestemming “vrij, specifiek en geïnformeerd” zijn.  Het enige geval waarin je geen voorafgaande toestemming nodig hebt, is als je cookies gebruikt die strikt noodzakelijk zijn om je website behoorlijk te laten functioneren.  Dat geldt overigens niet enkel voor cookies, maar dezelfde regels gelden voor alle vergelijkbare technieken zoals bijvoorbeeld fingerprinting.

Een pop-up banner bij het eerste bezoek aan een website waarin de toestemming wordt gevraagd om cookies te mogen plaatsen is met andere woorden echt wel noodzakelijk.  Dat betekent meteen ook dat de bezoeker vrij moet zijn om die toestemming niet te te geven en tóch je website te bezoeken. 

Nochtans zien we de voorbije jaren alle mogelijke creatieve oplossingen om toch maar geen expliciete toestemming te moeten vragen, gaande van eenvoudigweg geen toestemming vragen, over vooraf aangevinkte opt-ins tot een systeem van opt-outs.  In het licht van bovenstaande mag het duidelijk zijn dat een en ander meestal erg problematisch is.

 

Cookiewetgeving en GDPR

Om het nog ingewikkelder te maken, staat de cookiewetgeving niet op een eiland.  

Wie door middel van cookies persoonsgegevens wil verwerken, moet gelijktijdig en naast de cookiewet ook rekening houden met GDPR en moet in de meeste gevallen, afzonderlijk en naast de cookie opt-in nog een tweede opt-in bekomen voor het effectief gebruik van de betrokken persoonsgegevens.  

Dit subtiele onderscheid wordt duidelijk niet altijd door iedereen in de online marketing en e-commerce wereld goed begrepen. Zeer weinig bedrijven lijken volledig te begrijpen hoe GDPR en cookiewetgeving elkaar moeten aanvullen en hoe en wanneer persoonlijke gegevens kunnen worden verzameld door het gebruik van cookies en vergelijkbare technologie.

 

Wat heeft het Europees Hof hier nu precies mee te maken?

Wel, het Europees Hof moest recent enkele zeer pertinente vragen beantwoorden:

  • Mag een cookie opt-in vooraf aangevinkt zijn?
  • Is het daarbij relevant of er al dan niet persoonsgegevens onder GDPR verwerkt worden via de betreffende cookie?

 

Waarom moet het Europees Hof zich hierover buigen?

Het Duitse bedrijf Planet49 organiseert online promotionele wedstrijden en trekkingen. Wie wil deelnemen hieraan moet op een actiesite van Planet49 zijn of haar naam en adres invullen. Het invulformulier dat hiervoor gebruikt wordt, bevat twee checkboxen en een knop “Ik doe mee”.

Door het aanvinken van de eerste checkbox geeft de deelnemer toestemming om zijn of haar gegevens door te geven aan commerciële partners van Planet49.  Uit een linkje bij de checkbox blijkt dat het om maar liefst 57 bedrijven gaat, die je als deelnemer één per één kan uitvinken als je dat wil. Deelname aan de loterij is alleen mogelijk als de deelnemer deze eerste checkbox effectief aanvinkt.  

De tweede checkbox dient voor het bekomen van toestemming voor het plaatsen van cookies bij het eerste bezoek aan de website van Planet49. Die cookies hebben als doel het surfgedrag van de deelnemers te monitoren en op basis daarvan geïndividualiseerde reclame te sturen van de 57 partners.  Deze checkbox is vooraf aangevinkt.

 

En wat is het verdict?

Wel, het Hof van Justitie oordeelde in zaak C‑673/17 dat een vooraf aangevinkt selectievakje -voor zover daarover twijfel zou kunnen bestaan- géén geldige toestemming vormt onder de cookiewetgeving.

Wat interessant is, is dat het Hof uitgebreid de vergelijking maakt tussen GDPR enerzijds en cookieregels anderzijds.  Op basis van die vergelijking besluit het Hof dat toestemming of consent eigenlijk precies hetzelfde betekent onder beide regelgevingen: de bezoeker aan een website moet vrij zijn om ja of neen te zeggen, moet daarvoor zelf een actieve daad stellen (vakje aankruisen), moet voldoende geïnformeerd zijn over wat er met zijn gegevens gaat gebeuren (en welke cookies daarvoor gebruikt worden en hoe lang die bewaard worden) én hij of zij mag niet benadeeld worden voor het feit dat hij of zij geen opt-in geeft.

Bovendien bevestigt het Hof dat voor de verwerking van data door middel van cookies altijd de actieve toestemming van de betrokkene nodig is, ongeacht of er al dan niet persoonsgegevens bij betrokken zijn.

 

Wat betekent dit concreet?

De gevolgen zijn duidelijk: het plaatsen van cookies vereist altijd een actieve voorafgaande toestemming, tenzij het om noodzakelijke technische cookies gaat.

Dat betekent meteen ook dat iedereen die tot op heden impliciet uitging van het akkoord van de bezoeker “door het verdere bezoek aan onze website” niet in regel is, dat alle op opt-out gebaseerde cookiebanners niet in regel zijn, dat alle cookiebanners die één algemene opt-in voorzien zonder onderscheid per verwerking ook niet in regel zijn, … 

Tot nu toe was de Belgische Gegevensbeschermingsautoriteit niet erg actief in het opleggen van boetes, noch onder GDPR, noch voor het gebruik van cookies.  Op het vlak van GDPR zien we daar de voorbije weken en maanden alvast verandering in komen en met dit arrest in het achterhoofd, zal dat naar alle waarschijnlijkheid ook op het vlak van de cookieregels het geval zijn in de nabije toekomst…

De realiteit vandaag is overigens dat het cookiemodel onder grote druk staat. Consumenten zijn niet langer bereid om onbeperkte monitoring van hun online gedrag te accepteren en het wordt steeds moeilijker om opt-ins te verkrijgen.  In de tussentijd werkt de EU aan een volledige herziening van cookieregelgeving in de vorm van de toekomstige “ePrivacy-verordening”.  

Wat de impact van die ePrivacy verordening én van bijvoorbeeld Apple’s recente ITP 2.1 is op retargeting en affiliate marketing of op de huidige praktijken bij nieuwe versus terugkerende bezoekers, tijd om te converteren, marketing automatisering, op levenscyclus gebaseerde prospect of leadgeneratie, gepersonaliseerde inhoud, attributiemodellen, … leest u overigens in onze bijdrage in het eerstdaags te verschijnen boek “Obsessed” van Marc Bresseel en Renout Van Hove van Duval Union en Growth Agent.

 

Herbekijk je cookiebeleid

Wat bedrijven in afwachting eigenlijk moeten doen is hun cookiebeleid grondig herbekijken.  Onze vaststelling in de praktijk is dat heel wat bedrijven zelfs geen zicht hebben op welke cookies ze precies gebruiken, welke data daarmee verzameld worden en met wie die gedeeld worden.

Nochtans is dat een noodzaak, zowel onder GDPR als onder de cookiewet.  Het antwoord op de volgende vragen is essentieel voor elk bedrijf én moet gecommuniceerd worden aan de bezoekers van je website:

  • Welke cookies gebruiken we?
  • Wie is de uitgever daarvan? 
  • Hoe lang worden die cookies bewaard?
  • Met wie wordt de verzamelde data gedeeld?
  • Gaat het om persoonsgegevens?
  • Is de verwerking in het geval van persoonsgegevens “GDPR compliant”?
  • Hoe en wanneer vragen we om consent?
  • Is die consent vrij en geïnformeerd?

Precies om deze oefening te doorlopen, samen met een volledige technische audit van de gebruikte cookies op uw huidige website heeft Sirius Legal, samen met digital performance marketing agency Grava een gezamenlijke cookie audit uitgewerkt, waarbij we je website zowel technisch als juridisch doorlichten én optimaliseren.

 

Vragen over cookies of over onze cookie audit?  

Contacteer gerust vrijblijvend Bart Van den Brande op bart@siriuslegal.be of op 0486 901 931

23.04.2019 Bart Van den Brande

Opgelet webshops: strenge cookiecontrole aangekondigd door Nederlandse Autoriteit Persoonsgegevens

Dat de Nederlandse Autoriteit Persoonsgegevens proactiever en strenger optreedt dan onze Belgische Gegevensbeschermingsautoriteit is de voorbije negen maanden erg duidelijk geworden.  En dat we de passiviteit van onze Belgische overheid hier bij Sirius Legal schadelijk vinden voor enerzijds de burger wiens gegevens verwerkt worden en anderzijds op lange termijn voor de concurrentiepositie van Belgische bedrijven mag voor wie onze blog vaker leest inmiddels duidelijk zijn.

Recent bleek immers eens te meer dat de Nederlandse overheid veel nauwer toekijkt op het naleven van de GDPR dan haar Belgische tegenhanger.  Na de vele controles in een hele reeks economische sectoren de voorbije maanden, kondigde de Autoriteit Persoonsgegevens aan dat zij een grootschalig onderzoek plant naar de verzameling en verwerking van persoonsgegevens op websites door het gebruik van tracking cookies.

Tracking Cookies?

Tracking cookies zijn cookies die het surfgedrag van websitebezoekers bijhouden.  Denk bijvoorbeeld aan cookies die bijhouden welke pagina’s een websitebezoeker aanklikt, welke producten hij aanklikt of welke reclames hij bekijkt.

Tracking cookies kunnen ‘first party cookies’ zijn.  Dat is het geval wanneer de website-exploitant de cookies zelf plaatst. We spreken van  ‘third party cookies’ als de cookies door een derde partij, bijvoorbeeld door een adverteerder, worden geplaatst.

Via die third party tracking cookies kan een adverteerder op lange termijn bijhouden welke verschillende websites je hebt bezocht, op welke websites je aankopen hebt gedaan, hoe lang je op bepaalde websites bleef hangen, op welke uren van de dag je online bent, etc…  Op basis van die informatie kan een erg gedetailleerd profiel van consumenten opgebouwd worden.  Ons online surfgedrag vertelt immers erg veel over onze voorkeuren, onze meningen en overtuigingen, maar ook over onze hobby’s, ons aankoopgedrag, onze favoriete vakantieplaats, vaak zelfs over onze job en ons opleidingsniveau, over onze gezinssamenstelling, …

 

Cookiewetgeving

In België regelt de Telecomwet de regels rond het gebruik van cookies.  Vaak wordt er gesproken van de “cookiewet”, maar in werkelijkheid gaat het om niet meer dan één enkel artikel in de voor de rest zeer uitgebreide Telecomwet.  Een en ander is, zoals zo vaak, gebaseerd op een Europese richtlijn, die in Nederland op quasi identieke manier is verwerkt in artikel 11.7a van de Nederlandse Telecommunicatiewet.

Op basis van zowel de Belgische als de Nederlandse “cookiewet” mogen tracking cookies alleen worden geplaatst wanneer de websitebezoeker voorafgaand duidelijk is geïnformeerd én expliciet toestemming heeft gegeven. Die toestemming moet op grond van de Algemene Verordening Gegevensbescherming vrij, specifiek, geïnformeerd en ondubbelzinnig worden gegeven. Kort gezegd: de websitebezoeker moet weten voor welke tracking cookies, met welke functionaliteiten, hij toestemming heeft.

Bovenstaande is vaak precies niet het geval.  Websitebezoekers realiseren zich zeer zelden dat door het wegklikken van de ‘I agree’ banner ze eigenlijk toestemming geven aan derde bedrijven, die zij absoluut niet kennen, om hun surfgedrag vanaf dat ogenblik gedetailleerd te volgen en de informatie die zo verzameld wordt te verkopen aan allerhande adverteerders (in het beste geval), aan politieke partijen of belangenorganisaties om bijvoorbeeld ons kiesgedrag te beïnvloeden (minder leuk toch al) of malafide personen of bedrijven (in het slechtste geval).

 

Strenge cookiecontrole en boetes in Nederland

De Autoriteit Persoonsgegevens laat in het artikel van de NOS weten dat ze op korte termijn een onderzoek gaat instellen naar de naleving van privacyregels op websites.  Belangrijk daarbij voor Belgische webshops die in Nederland actief zijn is dat het niet uitgesloten is dat zij naar de interpretatie van de Nederlandse overheid in een aantal gevallen onder de Nederlandse cookiewetgeving zouden vallen, op het eerste zicht is dat bijvoorbeeld mogelijks het geval wanneer men een vestiging heeft in Nederland of nog wanneer de bedrijven achter de third party cookies die geplaatst worden een vestiging hebben in Nederland.  Voorzichtigheid geboden dus.

 

Louter “functionele” cookies vormen geen probleem

Overigens, louter “functionele cookies”, die noodzakelijk zijn voor het goed functioneren van de website, zijn geen probleem.  Het gaan dan om cookies die uw bestelmandje bijhouden gedurende uw shoppingsessie op een webshop of die uw taalvoorkeur bijhouden op een website.

 

ePrivacy Verordening

Overigens is de cookiewetgeving in gans Europa vandaag in volle hervorming.  We schreven al eerder enkele bijdragen op deze blog over de zogenaamde ePrivacy Verordening, die binnen afzienbare tijd de cookieregels aanzienlijk zal hervormen.  Meer daarover leest u in het artikel “Waar staan we nu met de ePrivacy verordening” en het artikel “Hervorming op til voor ePrivacy en elektronische communicatie“. 

 

Vragen over cookies, GDPR of e-commerce?

Neem gerust contact op met Bart Van den Brande op bart@siriuslegal.be of op +32 486 901 931.

 

23.05.2013 Bart Van den Brande

Nederland zwakt cookiewet af voor analytics cookies.

Nederland, dat één van de strengste cookiewetten in Europa heeft, zal zijn wetgeving binnen korte termijn afzwakken om het gebruik van Google Analytics en andere analytics tools mogelijk te maken zonder voorafgaande toestemming van de websitebezoeker.  Vandaag is hiervoor, net als voor andere cookies, een duidelijke voorafgaande opt-in vereist in Nederland, maar vorige week kondigde de bevoegde Nederlandse minister een wetswijziging aan.

 

De huidige situatie in Nederland

De Nederlandse cookiewet voorzag tot op heden wel een uitzondering voor zuiver functionele cookies, maar analytics tools als Google Analytics werden niet als zuiver functioneel beschouwd, waardoor een voorafgaande toestemming vereist was.  Die toestemming, herhaalt de bevoegde minister nogmaals, moet niet persé een expliciete opt-in via een pop-up zijn (“Ja, ik ga akkoord met het plaatsen van cookies”), maar kan ook minder expliciet door een bezoeker  bij aanvang van zijn bezoek aan een website duidelijk te waarschuwen dat het verder klikken op de website als een akkoord beschouwd wordt met het plaatsen van cookies. (gevolg is wel dat op de eerste pagina die een bezoeker opent geen cookies kunnen geplaatst worden bij zijn eerste bezoek.  vraag is hoe dat in de praktijk mogelijk is, nu voor de meeste websites heel wat trafic  niet via de home page gegenereerd wordt, natuurlijk…).

Nederland had hiermee een wel érg strenge wet en die maakte de facto het analyseren van bezoekersstromen op websites onmogelijk.  Dit was al een tijdje duidelijk voor zowat iedereen, inclusief de Europese Commissie, maar het bleef wachten op een initiatief van de Nederlandse regering om de wet aan te passen.  Het doel van de wet is immers in de eerste plaats om de privacy van de burger te beschermen en niet om normaal internetgebruik te bemoeilijken.  Analytics tools die -anonieme- gegevens over bezoekersaantallen verzamelen doen in realiteit weinig afbreuk aan de privacy van individuele surfers  en bovendien raken die surfers steeds vaker en sneller geïrriteerd door de vele cookie pop-ups, waar ze ook steeds vaker automatisch “ja” op klikken, zonder zelfs nog te lezen wat er in de pop-up staat.

 

Voorstel wetswijziging: Cookies om info te krijgen over kwaliteit en effectiviteit van websites

Nu komt er dus uiteindelijk toch een voorstel tot wetswijziging door de bevoegde minister, waarin de uitzonderingen op de cookiewet worden aangevuld. In de toekomst zal geen expliciete toestemming meer nodig zijn voor:

  1. cookies die uitsluitend dienen om communicatie mogelijk te maken (load_balancer cookies)
  2. cookies die noodzakelijk zijn om een door de internetter gevraagde dienst te leveren vallen (winkelwagentje, onthouden inloggegevens)
  3. en vanaf nu dus ook: cookies die dienen om informatie te verkrijgen over de kwaliteit of effectiviteit van de website, mits dit geen nadelige gevolgen heeft voor de privacy van de internetter.

 

Voor analytic cookies is dus vanaf nu -onder omstandigheden- geen voorafgaande toestemming vereist

Het voorstel moet ervoor zorgen dat de individuele belangen van de internetgebruiker beter verzend worden met de belangen van website-uitbaters.  Met dit doel worden zowel first party analytics cookies als third party analytics cookies vrijgesteld van voorafgaande opt-in als tenminste de verzamelde gegevens naast het puur statistische niet gebruikt worden voor privacygevoelige doeleinden, zoals bvb profiling.

Het voorstel voorziet ook dat website-eigenaars die de verkregen gegevens willen delen met derden een overeenkomst moeten sluiten met die derde waarin die derde zch ertoe verbindt om de gegevens niet voor eigen doeleinden te gebruiken.

 

Wat met A/B testing cookies?

A/B testing cookies verzamelen in de meeste gevallen geen persoonlijke informatie over de gebruiker, maar analyseren enkel het succes en de kwaliteit van verschillende versies van web pages.  Voor zover dit inderdaad het geval is, vallen deze cookies in principe onder de nieuwe uitzondering.

 

Wat met affiliate cookies?

Affiliate cookies die verkopen of bezoeken via affiliate sites of advertenties moeten tracken, zijn in principe evenmin bedoeld om informatie te verzamelen over de gebruiker zelf. Ook hier kan dus geoordeeld worden dat -voor zover inderdaad geen persoonsgegevens verzameld worden-  deze cookies vanaf nu in Nederland ook onder de nieuwe uitzondering zouden kunnen vallen.

 

Wat met tracking cookies?

Cookies die individueel surfgedrag tracken om profielen van gebruikers op te stellen worden door de Nederlandse overheid -conform de Europese richtlijnen overigens- nog steeds als privacygevoelig beschouwd en hiervoor blijft een voorafgaande toestemming vereist.

 

En wat met België?

De duidelijkheid die de Nederlandse wetgever geeft voor wat betreft de toepassing van de cookie consent vindt voorlopig spijtig genoeg haar gelijke niet in België.  In België moeten we het nog steeds stellen met één enkel artikel in de Telecomwet dat stelt dat de voorafgaande toestemming vereist is voor het plaatsen van cookies.  Hoe die toestemming concreet moet verkregen worden en welke cookies eventueel uitgezonderd zijn van toestemmingsplicht blijft voorlopig koffiedik kijken.  De Belgische privacycommissie heeft wel een tijdje geleden al een advies met enige verduidelijkingen aangekondigd, maar voorlopig is het daarop nog even wachten.  Informeel duiden de meeste signalen erop dat een interpretatie gelijkaardig aan de Nederlandse uiteindelijke de bovenhand zal krijgen.

 

Nog vragen?

Bel of mail gerust met Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516 of boek hier meteen een vrijblijvend online kennismakingsgesprek in met Bart via Google Meet of Zoom.