Opgelet webshops: strenge cookiecontrole aangekondigd door Nederlandse Autoriteit Persoonsgegevens

Dat de Nederlandse Autoriteit Persoonsgegevens proactiever en strenger optreedt dan onze Belgische Gegevensbeschermingsautoriteit is de voorbije negen maanden erg duidelijk geworden.  En dat we de passiviteit van onze Belgische overheid hier bij Sirius Legal schadelijk vinden voor enerzijds de burger wiens gegevens verwerkt worden en anderzijds op lange termijn voor de concurrentiepositie van Belgische bedrijven mag voor wie onze blog vaker leest inmiddels duidelijk zijn.

Recent bleek immers eens te meer dat de Nederlandse overheid veel nauwer toekijkt op het naleven van de GDPR dan haar Belgische tegenhanger.  Na de vele controles in een hele reeks economische sectoren de voorbije maanden, kondigde de Autoriteit Persoonsgegevens aan dat zij een grootschalig onderzoek plant naar de verzameling en verwerking van persoonsgegevens op websites door het gebruik van tracking cookies.

strenge cookiecontrole Nederlandse Autoriteit Persoonsgegevens

Tracking Cookies?

Tracking cookies zijn cookies die het surfgedrag van websitebezoekers bijhouden.  Denk bijvoorbeeld aan cookies die bijhouden welke pagina’s een websitebezoeker aanklikt, welke producten hij aanklikt of welke reclames hij bekijkt.

Tracking cookies kunnen ‘first party cookies’ zijn.  Dat is het geval wanneer de website-exploitant de cookies zelf plaatst. We spreken van  ‘third party cookies’ als de cookies door een derde partij, bijvoorbeeld door een adverteerder, worden geplaatst.

Via die third party tracking cookies kan een adverteerder op lange termijn bijhouden welke verschillende websites je hebt bezocht, op welke websites je aankopen hebt gedaan, hoe lang je op bepaalde websites bleef hangen, op welke uren van de dag je online bent, etc…  Op basis van die informatie kan een erg gedetailleerd profiel van consumenten opgebouwd worden.  Ons online surfgedrag vertelt immers erg veel over onze voorkeuren, onze meningen en overtuigingen, maar ook over onze hobby’s, ons aankoopgedrag, onze favoriete vakantieplaats, vaak zelfs over onze job en ons opleidingsniveau, over onze gezinssamenstelling, …

Cookiewetgeving

In België regelt de Telecomwet de regels rond het gebruik van cookies.  Vaak wordt er gesproken van de “cookiewet”, maar in werkelijkheid gaat het om niet meer dan één enkel artikel in de voor de rest zeer uitgebreide Telecomwet.  Een en ander is, zoals zo vaak, gebaseerd op een Europese richtlijn, die in Nederland op quasi identieke manier is verwerkt in artikel 11.7a van de Nederlandse Telecommunicatiewet.

Op basis van zowel de Belgische als de Nederlandse “cookiewet” mogen tracking cookies alleen worden geplaatst wanneer de websitebezoeker voorafgaand duidelijk is geïnformeerd én expliciet toestemming heeft gegeven. Die toestemming moet op grond van de Algemene Verordening Gegevensbescherming vrij, specifiek, geïnformeerd en ondubbelzinnig worden gegeven. Kort gezegd: de websitebezoeker moet weten voor welke tracking cookies, met welke functionaliteiten, hij toestemming heeft.

Bovenstaande is vaak precies niet het geval.  Websitebezoekers realiseren zich zeer zelden dat door het wegklikken van de ‘I agree’ banner ze eigenlijk toestemming geven aan derde bedrijven, die zij absoluut niet kennen, om hun surfgedrag vanaf dat ogenblik gedetailleerd te volgen en de informatie die zo verzameld wordt te verkopen aan allerhande adverteerders (in het beste geval), aan politieke partijen of belangenorganisaties om bijvoorbeeld ons kiesgedrag te beïnvloeden (minder leuk toch al) of malafide personen of bedrijven (in het slechtste geval).

Strenge cookiecontrole en boetes in Nederland

De Autoriteit Persoonsgegevens laat in het artikel van de NOS weten dat ze op korte termijn een onderzoek gaat instellen naar de naleving van privacyregels op websites.  Belangrijk daarbij voor Belgische webshops die in Nederland actief zijn is dat het niet uitgesloten is dat zij naar de interpretatie van de Nederlandse overheid in een aantal gevallen onder de Nederlandse cookiewetgeving zouden vallen, op het eerste zicht is dat bijvoorbeeld mogelijks het geval wanneer men een vestiging heeft in Nederland of nog wanneer de bedrijven achter de third party cookies die geplaatst worden een vestiging hebben in Nederland.  Voorzichtigheid geboden dus.

Louter “functionele” cookies vormen geen probleem

Overigens, louter “functionele cookies”, die noodzakelijk zijn voor het goed functioneren van de website, zijn geen probleem.  Het gaan dan om cookies die uw bestelmandje bijhouden gedurende uw shoppingsessie op een webshop of die uw taalvoorkeur bijhouden op een website.

ePrivacy Verordening

Overigens is de cookiewetgeving in gans Europa vandaag in volle hervorming.  We schreven al eerder enkele bijdragen op deze blog over de zogenaamde ePrivacy Verordening, die binnen afzienbare tijd de cookieregels aanzienlijk zal hervormen.  Meer daarover leest u in het artikel “Waar staan we nu met de ePrivacy verordening” en het artikel “Hervorming op til voor ePrivacy en elektronische communicatie“.  Meer over het gebruik van cookies in online marketing onder Belgisch recht leest u in het artikel “Industrie uit bezorgdheden over nieuwe spam-en cookiewetgeving” en het artikel “Nieuwe regels rond cookies en direct mailings onderweg“.

Vragen over cookies, GDPR of e-commerce?

Neem gerust contact op met Bart Van den Brande op bart@siriuslegal.be of op +32 486 901 931.