Een cookiemuur bij websites: mag dat wel?
Ons zoekgedrag op internet wordt nauwlettend gevolgd door tal van bedrijven voor marketingdoeleinden. Eigenaren van websites en adverteerders verzamelen met behulp van zogenaamde cookies informatie over individuen, om op die wijze een interesseprofiel te kunnen opbouwen van klanten en geïnteresseerden. Aan de hand van een interesseprofiel worden vervolgens persoonlijke en gerichte advertenties aangeboden. Het gebruik van cookies wringt echter nogal eens met de privacy. Op grond van de cookiewet moet iedere internetgebruiker de keuze krijgen om te beslissen of hij cookies accepteert of niet, maar steeds vaker trekken website-eigenaren een zogenaamde cookiemuur op richting haar bezoekers. Dat wil zeggen: je accepteert simpelweg de cookies of je krijgt geen toegang tot de website. Niet bepaald klantvriendelijk, maar wel begrijpelijk? Mogen website-eigenaren bezoekers weigeren wanneer zij geen cookies accepteren of is dit niet wat de cookiewet voorschrijft?
Meer dan ooit tevoren zijn zoveel persoonlijke gegevens op het internet te verkrijgen, op te slaan en uitwisselbaar via elektronische dienstverlening. Doordat we met z'n allen heel veel tijd doorbrengen op computers, tablets en smartphones zal het niet verbazen hoeveel informatie we via ons zoekgedrag over onszelf ongemerkt, maar ook bewust achterlaten of vrijgeven.
Persoonlijke informatie is waardevol voor bedrijven
De status van
informatie is in rap tempo veranderd. Sinds de opkomst van het internet in de jaren 90 heeft informatie een enorme groei doorgemaakt - in wat men met informatie kan doen en waar het voor kan dienen. Informatie is verhandelbaar en een van de belangrijkste 'goederen' van de economie geworden.
De rol van informatie binnen de economie
Veel 'waardevolle' informatie heeft betrekking op
personen - en de verdienmodellen die daar aan gelieerd zijn. Het gebruiken van persoonlijke informatie door bedrijven is niet meer weg te denken binnen de kapitalistische vrije markt. Bedrijven kunnen zelf van alles doen met informatie, maar deze ook doorverkopen aan derden die daar vervolgens op hun beurt ook weer aan verdienen. Hetzij via advertenties, hetzij op andere wijze. Ons zoekgedrag is vanuit dit oogpunt een
goudmijn voor bedrijven, en dus voor de economie. Het adagium tijd is geld heeft er een broertje bij:
informatie is geld.
Is met deze ontwikkeling iets mis? Zolang bedrijven informatie verwerken die niet 'gevoelig' is, maar die ons (en de economie) ten dienst staan, door bijvoorbeeld een leuke aanbieding te kunnen doen omdat ze weten wat je lievelingskleur is, zal hier weinig bezwaar tegen zijn. Dit zou men kunnen beschouwen als een verdienste van het informatietijdperk waarin we leven. Wanneer bedrijven echter gevoelige informatie in handen hebben en op basis daarvan toenadering zoeken, komt al snel het woord 'privacy' om de hoek kijken.
Bron: Geralt, Pixabay
Lang niet altijd is de informatie die we (ongemerkt) achterlaten en waar bedrijven mee aan de haal gaan 'onschuldige' informatie. Bedrijven krijgen dagelijks tal van informatie in handen die te herleiden is tot een
specifiek persoon. In dat geval heeft een bedrijf een
persoonsgegeven tot zich en dient het hier uiterst zorgvuldig mee om te gaan met het oog op de
privacy. Eén van onze
fundamentele grondrechten.
Het recht op privacy in de wet
Niet zonder reden en in lijn met de beschreven ontwikkeling, is de manier waarop bedrijven zorg moeten dragen voor persoonsgegevens gebonden aan wettelijke regels. Voorheen waren de regels rondom privacy versnipperd vastgelegd in de wet Wet Bescherming Persoonsgegevens en de Telecommunicatiewet. Met ingang van 25-05-2018 heeft de Europese Unie algemene regelgeving opgesteld hoe om te gaan met privacy gevoelige informatie in de Algemene Verordening Gegevensbescherming, die geldt voor alle lidstaten van Europa. De AVG vervangt daarmee de Wbp.
Een voorbeeld
Wanneer een adverteerder iemands lievelingskleur weet te achterhalen, doordat dit opvalt aan consistent zoekgedrag, heeft het nog geen persoonsgegeven in handen. Een ieders lievelingskleur zou rood kunnen zijn, dit geeft niks specifiek over jou als persoon bloot. Het levert hooguit een handig aanknopingspunt op voor adverteerders op de markt. Aan de hand van hetzelfde zoekresultaat zal echter ook iemands IP-adres achterblijven, dit is wél een persoonsgegeven. Zo is aan de hand van een IP-adres een woon- of werkadres te traceren. Een persoonsgegeven is dus al lang niet meer slechts zoiets concreets als iemands naam, foto of telefoonnummer. Persoonsgegevens worden steeds makkelijker 'herleid' aan de hand van andere informatie die bedrijven en instellingen in handen krijgen in het tijdperk van big data.
Wat zijn cookies?
Een cookie is een wat merkwaardige naam voor een juridische/ICT- term. Er bestaan verschillende theorieën, maar één daarvan geeft het wellicht het beste weer: wie zich aan koekjes vergaapt, vormt een kruimelspoor. Wanneer je een koekje eet verraad je waar je bent geweest. Koekjes eten gaat moeilijk zonder te kruimelen.
Bron: Freepht, Pixabay Deze gedachte kun je doortrekken op je persoonlijk gedrag op internet. Overal laat men 'sporen' achter met online (zoek)gedrag. We zijn op zoek naar zaken als kleding, eten, gadgets en ook vullen we enquêtes in om prijzen te winnen, schrijven we ons in voor mailings etc. Allemaal nuttige informatie over onszelf geven we in handen van bedrijven. Kortom: we laten overal beetje (persoonlijke) informatie achter die mogelijk te herleiden is tot
jou als specifiek persoon.
Tekstbestandjes met data
Een cookie is niets anders dan een meegestuurd
tekstbestandje bestaande uit computercodetaal dat op de harde schijf van de randapparatuur (computer, tablet of smartphone) van een bezoeker wordt geplaatst, wanneer deze een website bezoekt. Wanneer je vervolgens op een later moment wederom diezelfde website bezoekt, krijgt deze website via de server de informatie teruggestuurd die ligt opgeslagen in het tekstbestandje. Dit tekstbestandje heeft gegevens van je bijgehouden aan de hand van je zoekgedrag.
Op deze manier kunnen met cookies iemands persoonlijke voorkeuren worden gevolgd en in kaart worden gebracht. Zo kan als het ware een profiel worden opgebouwd met informatie over de interesses van deze persoon.
Wie gebruiken cookies?
Voor wie zijn cookies relevant? Hierin wordt onderscheid gemaakt tussen
first-party-cookies en
third-party-cookies.
- First-party-cookies: deze worden door website-eigenaren zelf geplaatst.
- Third-party-cookies: dit zijn cookies die worden geplaatst door derden, waaronder hoofdzakelijk adverteerders
Niet voor alle cookies is vooraf toestemming nodig
Of voor cookies vooraf toestemming nodig is, wordt niet beslist door de partij waarvan ze afkomstig zijn. Onderscheid wordt gemaakt tussen
functionele en niet-functionele cookies. Voor het plaatsen van functionele cookies is geen toestemming nodig behoudens de voorwaarden gesteld in art.11.7a lid 3 Telecommunicatiewet. Een cookie is functioneel wanneer je kunt hardmaken dat ze
technisch noodzakelijk is voor het functioneren van je website.
Voorbeelden van functionele cookies zijn bijvoorbeeld het onthouden en herkennen van inloggegevens om het klanten gemakkelijk te maken in te loggen én het winkelmandje dat je bij menig
webshop tegenkomt, dat onthoudt wat je als bezoeker bij een vorig bezoek aan de webshop in je winkelmandje hebt gestopt.
Bron: Crazyarts, Pixabay Analytische cookies
Naast functionele cookies vallen sinds de wetswijziging in 2015 ook
analytische cookies buiten het toestemminggebied. Met analytische cookies wordt
de kwaliteit of effectiviteit van een dienst gemeten. Deze cookies houden geen privacygevoelige informatie bij, maar zijn gericht op het verzamelen van statistieken voor verbetering van de eigen dienstverlening, zoals het meten van bezoekersaantallen.
Affiliatecookies
Ook affiliatecookies: een volgtechniek voor het meten van de effectiviteit van advertenties en A/B testing: een marktonderzoekmethode waarbij twee verschillende versies van websites worden getoond voor het meten van gebruiksgemak vallen onder analytische cookies. Mits ze uitsluitend dienstdoen om statistieken bij te houden en kwaliteit te meten.
Uitgesloten van het vooraf hebben van toestemming zijn dus:
- Functionele cookies
- Analystische cookies
Trackingcookies
Websites die gebruik maken van trackingcookies dienen
altijd vooraf om toestemming te vragen. Trackingcookies zijn afkomstig van derden en zijn geen functionele cookies. Adverteerders plaatsen trackingcookies om, zoals de naam al aangeeft, individuen online te
volgen. De website waarop de bezoeker verkeert staat dan toe dat een andere (derde) partij bij de bezoeker cookies plaatst. Bezoekers kunnen op meerdere websites terecht komen waar dezelfde adverteerder toestemming heeft gekregen om cookies te plaatsen. Op die manier kan een adverteerder een complexer profiel maken van jouw interesses en wie je 'bent'.
De cookiewet als resultaat van een strenger Europees communicatiebeleid
Hoewel een en ander met betrekking tot privacy al geregeld was in de Wet Bescherming Persoonsgegevens en de Telecommunicatiewet, achtte de Europese wetgever het noodzakelijk de wettelijke regels te verscherpen. Vanuit het oogpunt van verdergaande waarborg van zorgvuldigheid van en de veilige omgang met persoonsgegevens, kwam het met een nieuwe Richtlijn die lidstaten verplicht om dienen te zetten in nationale wetgeving.
Zo kwam in 2002 de Europese wetgever tot Richtlijn 2002/58/EG en beoogde hiermee dat lidstaten in hun nationale recht een regeling zouden opnemen waarin
aanbieders van elektronische communicatiediensten worden opgelegd om op een veilige en vertrouwelijke manier met communicatie om te gaan en om
ongewenste communicatie aan toestemming vooraf te verbinden.
Nieuw onderdeel Telecommunicatiewet: de cookiewet
De Europese Richtlijn resulteerde (onder andere) in de
cookiewet die in werking trad op 1 juli 2012. De cookiewet is
geen afzonderlijke wet - wat de naam wel doet vermoeden - maar is een bepaling die onderdeel uitmaakt van de Telecommunicatiewet.
Wat de cookiewet vereist, is dat aanbieders van elektronische communicatiediensten:
- Informatie moeten verstrekken aan bezoekers over het gebruik van cookies; wat zijn het en waarom worden ze gebruikt?
- Toestemming moeten vragen om cookies te mogen plaatsen
De cookiemuur
Veel websites maken zich er schuldig aan: het opwerpen van een zogenaamde 'cookiemuur'. De term cookiemuur verwijst naar de 'alles of niets'-optie die website-eigenaren hun bezoekers kunnen voorschotelen. De website wordt afgeschermd van de bezoeker, die enkel nadat hij toestemming heeft gegeven voor het gebruik van cookies, toegang krijgt tot de website.
Wat heb je te kiezen?
De vraag bij het gebruik van cookies is steeds: wanneer is er sprake van
rechtsgeldige gegeven toestemming, zoals vereist is op grond van art. 11.7a lid 1? Moet je daarvoor telkens de keuze hebben te kiezen tussen' ja, ik geef toestemming om cookies te plaatsen' en 'nee, ik accepteer geen cookies'?
De wet stelt enkel verplicht dat
toestemming moet zijn gegeven door de bezoeker. Dit maakt het niet onmogelijk voor partijen om
druk uit te oefenen, zoals met een cookiemuur gedaan wordt. Een website-eigenaar dwingt zijn bezoeker daarmee - figuurlijk met het mes op de keel - de cookies te accepteren en geeft de bezoeker feitelijk gezien nog steeds een
keuze: je hebt ze te accepteren (en te begrijpen waarom bedrijven moeilijk zonder cookies kunnen) of kunt anders weggaan.
Bezoekers weigeren zonder toestemming met een cookiemuur
Websites mogen in het algemeen bezoekers weigeren
zonder opgaaf van redenen. Ook art.11.7a Telecommunicatiewet verbiedt dit niet wanneer bezoekers geen akkoord geven voor het plaatsen van cookies. Wel volgt duidelijk uit art.11.7a lid 5 dat alleen
publiekrechtelijke rechtspersonen (overheidsinstellingen) bezoekers
geen toegang tot diensten mogen weigeren. Dit valt te verklaren vanuit het feit dat publieke instellingen een monopoliepositie hebben op de markt. Zij vormen dus de uitzondering op het 'weigerbeleid'.
Cookiemuur in strijd met de geest van de wet
Een ieder voelt waarschijnlijk aan dat de keuze om cookies te accepteren of anders weggaan geen werkelijk
vrijblijvende keuze is, maar dit is dan ook niet verplicht. Hier wringt de schoen. De OPTA heeft namelijk in 2013 geconcludeerd dat het gebruiken van een cookiemuur in strijd is met
de geest van de wet. Met andere woorden: het mag wel want het staat er niet met
die woorden dat het niet mag, maar het is zeker niet hoe de wet het bedoeld heeft.
OPTA staat voor Onafhankelijke Post en Telecommunicatie Autoriteit. Deze autoriteit, die onderdeel was van het ministerie van Economische zaken, hield zich bezig met de naleving op de wet- en regelgeving op het gebied van post en elektronische communicatie. Sinds 2013 is de OPTA wegens fusie opgegaan in de ACM (Autoriteit Consument en Markt).
Klantvriendelijk versus noodzakelijk
Dat het weren van bezoekers, vanwege het feit dat zij liever geen cookies geplaatst willen hebben met het oog op hun privacy, alles behalve klantvriendelijk is, is vooralsnog bijzaak. De kans dat je bezoekers verliest met een cookiemuur is groot, maar een ogenschijnlijk noodzakelijk kwaad. Er bestaat een kans dat wanneer maar genoeg websites (weer) een cookiemuur optrekken, het wellicht 'gewoon' gevonden gaat worden en het te begrijpen is in 'de geest van het informatietijdperk'.
De boodschap naar de bezoeker blijft in ieder geval hetzelfde: het gros van de dienstverleners met een website is in enige mate afhankelijk van de tussenkomst van adverteerders vanwege de inkomsten die dat oplevert. Veel websites zien advertenties als een noodzakelijke bron van inkomsten waarmee zij hun website financieren. Wanneer te veel bezoekers cookies zouden weigeren, betekent dat een aanzienlijk verlies aan inkomsten voor de website, waardoor bepaalde 'gratis' functies wellicht ook zullen verdwijnen.
EPrivacy verordening gaat cookiemuur waarschijnlijk verbieden in 2018
Op dit moment buigt het Europees Parlement samen met de Europese Raad zich opnieuw over de cookiemuur kwestie in de ePrivacy verordening die er gaat komen voor alle lidstaten van de Euopese Unie in 2019 en de Telecommunicatiewet gaat vervangen. In 2017 is een wetsvoorstel ingediend en goedgekeurd op basis waarvan de cookiemuur op alle websites nadrukkelijk verboden is. We zullen in de loop van 2018 weten of met de ePrivacy verordening daadwerkelijk een einde komt aan de cookiemuur op websites, waarmee bezoekers niet langer de toegang tot website geweigerd wordt.