Nieuwe cookiewet in Nederland

cookiesDe cookiewetgeving is zonder twijfel onder online handelaars en online marketeers de meest vervloekte wetgeving van de voorbije jaren. De noodzaak om met vervelende pop-ups of banners toestemming te vragen van websitebezoekers voordat een cookie kan geplaatst worden werkt zonder meer storend en verlaagd in vele gevallen de conversie in e-commerce.

Daar waar de cookiewet in België nog met enige terughoudendheid en soepelheid werd gehanteerd tot nu toe, was de Nederlandse wet (beiden gebaseerd op dezelfde Europese richtlijn natuurlijk) heel wat strenger en was ook het toezicht erop behoorlijk wat strenger.

De onvrede hierover was zo groot dat meer dan een jaar geleden al werd aangekondigd dat de wet bijgestuurd zou worden. Vorige week, op 4 februari 2015 is effectief een aangepaste cookiewet door de Nederlandse Eerste Kamer aangenomen.  De precieze datum van inwerkingtreding is vooralsnog onduidelijk.

Wat waren de regels tot noch toe?

De Nederlandse regeling was in se dezelfde als de Belgische, met dat verschil dat de toepassing ervan iets strenger werd nageleefd.

De basisregel was, net zoals bij ons, dat cookies alleen geplaatst mogen worden als er voorafgaand gewaarschuwd is voor het gebruik van cookies en vooraf toestemming is gegeven door de websitebezoeker.

De enige uitzonderingen hierop ware, opnieuw net als bij ons, het gebruik van cookies die noodzakelijk zijn om de website te kunnen bezoeken of om een gevraagde dienst te kunnen leveren (bvb het bijhouden van producten in een winkelmandje tijdens een enkele sessie).

Een en ander had bijvoorbeeld tot gevolg dat cookies geplaatst door Google Analytics of andere analytics software de voorafgaande toestemming vereisten van de websitebezoeker.

Wat verandert er?

Omwille van de vele klachten over het feit dat het gebruik van analytics tools door de cookiewet bemoeilijkt werd, is er vooral op dit vlak bijgestuurd.

Het is vanaf nu niet langer nodig om voorafgaande toestemming te vragen als:

  • er met behulp van een cookie informatie wordt verkregen over de kwaliteit en effectiviteit van een geleverde dienst van de informatiemaatschappij; en
  • dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker.

De beoordeling hiervan moet de eigenaar van de website in kwestie zelf maken. De toelicht bij de wet vermeldt in elk geval dat Google Analytics één van de tools is waarvoor geen voorafgaande toestemming meer vereist is, net zoals cookies voor A/B testing cookies en affiliate cookies. Cookies die gebruikt worden voor profiling of tracking vereisen (natuurlijk) wel nog steeds een voorafgaande toestemming van de bezoeker.

Omdat met analytics cookies ook persoonsgegevens worden verzameld en dus ook de privacywet van toepassing is naast de cookiewet, heeft de Nederlandse Commissie Bescherming Persoonsgegevens een handleiding opgesteld die moet helpen om ervoor te zorgen dat bij gebruik van Google Analytics de privacywet wordt nageleefd. Naast het feit dat voor de verwerking van persoonsgegevens een afzonderlijke opt-in vereist is, naast de cookie opt-in, moet aan vier voorwaarden voldaan zijn:

  • De website moet een bewerkersovereenkomst met Google afsluiten;
  • De website mag Google niet het volledige IP-adres laten verwerken;
  • De optie “gegevens delen met Google” moet uitgezet worden;
  • De website moet bezoekers informeren over gebruik analytics.

Daarnaast interessant is de vaststelling dat Cookie walls (de noodzaak om cookies te accepteren om een website te kunnen bezoeken) in Nederland vanaf nu wel degelijk zijn toegestaan, tenzij het gaat om een voor de gebruiker zeer belangrijke dienst waar geen alternatief voor is. Ter herinnering, in België is zo’n Cookie wall in se verboden omdat de toestemming van de bezoeker vrij moet zijn en hij het plaatsen van cookies moet kunnen weigeren (behalve voor die cookies waarvoor geen toestemming vereist is, natuurlijk).

Vergelijking met België

In onze eerdere blogposts over de cookiewetgeving, leest u de regels die bij ons gelden en die in se niet zo verschillende zijn van Nederland. Voor louter functionele en first party cookies is geen voorafgaande toestemming vereist. Voor third party cookies of cookies die profiling of tracking mogelijk maken is wel toestemming vereist.

Ook bij ons betekent dit eigenlijk dat wie Google Analytics gebruikt de voorafgaande toestemming van de bezoekers van zijn website moet vragen. Wellicht kan die noodzaak ook bij ons wegvallen als websites ervoor kiezen om de criteria van de Nederlandse CBP te adopteren en aldus hun Google Analytics data te anonimiseren en af te schermen voor derden (inclusief Google zelf).

Internationaal perspectief

Belangrijk daarbij is dat de nationale cookiewetgeving in se van toepassing is op elke website die in een bepaalde lidstaat toegankelijk is, ongeacht de plaats waar de website gevestigd is. In principe moet dus voldaan zijn aan de (verschillende) wetgeving van alle 28 EU lidstaten. De Nederlandse wet wordt nu versoepeld, maar andere wetten, zoals de Spaanse blijven aanzienlijk strenger. Voor wier zijn website in de ganse EU conform wil hebben, blijft de opdracht dus om de strengste regels uit elke lidstaat te combineren of om, zoals vaak wordt gezegd, te voldoen aan de Spaanse wet, die veruit de strengste in Europa is, reden waarom gesproken wordt van the Spanish portal to Europe.