De EU ePrivacy richtlijn wordt in Nederland uitgevoerd door de Telecommunicatiewet. Deze wet is eigenlijk een aanvulling op de AVG, en spreekt vooral over het doel van de cookie. Deze wetgeving schrijft voor of je toestemming moet vragen voordat je een cookie plaatst.
Het basisprincipe is dat je zonder toestemming geen enkele informatie mag opslaan op, of verzamelen vanaf het apparaat van de gebruiker. Deze toestemming moet voldoen aan de AVG. Hierbij gelden voor websites de volgende twee uitzonderingen:
Het is ook verplicht om het gebruik van cookies op je website toe te lichten. Je kunt hiervoor een aparte cookieverklaring opnemen op je website, of de toelichting opnemen in het privacystatement.
De Telecommunicatiewet is een Nederlandse wetgeving, en schrijft alleen voor hoe websites van Nederlandse aanbieders om moeten gaan met cookies.
De AVG is de Nederlandse uitvoering van de GDPR. De GDPR is een EU-wetgeving. Deze geldt niet alleen voor websites van personen en organisaties binnen de EU, maar ook voor websites die diensten aanbieden aan Europese staatsburgers. Dus ook de cookies op de website van bijvoorbeeld Google moeten aan deze wetgeving voldoen.
De AVG gaat over persoonsgegevens die je op je website verzamelt. Hierbij zijn persoonsgegevens vaak een breder begrip dan wordt gedacht. Uiteraard gaat het om gegevens die direct herleidbaar zijn tot een persoon, zoals een IP-adres of een naam. Daarnaast gaat het om alle informatie die samen kan worden herleid tot een persoon.
Dit geldt ook wanneer je de verzamelde informatie kunt herleiden tot een specifieke gebruiker, zonder dat je precies weet wie die gebruiker is. Als je dus een unieke gebruiker kunt herkennen aan de hand van het profiel, dan gaat het om persoonsgegevens.
Om persoonsgegevens te mogen verzamelen en verwerken heb je een wettelijke grondslag nodig. Dat kan een van de volgende grondslagen zijn:
Het verzamelen en verwerken van gegevens met cookies wordt vaak geschaard onder gerechtvaardigd belang. Wanneer je via cookies informatie wilt verzamelen vanuit je gerechtvaardigd belang, is het belangrijk om rekening te houden met het volgende:
Als je cookie niet onder de uitzonderingen binnen de Telecommunicatiewet valt, en/of als je geen wettelijke grond hebt voor de verzameling en verwerking van persoonsgegevens, heb je toestemming nodig van de gebruiker.
Omdat de Telecommunicatiewet verwijst naar de AVG voor de voorwaarden waar de toestemming moet voldoen, is deze in alle gevallen hetzelfde:
Wanneer je niet van plan bent de grenzen op te zoeken van wat wel of niet wordt toegestaan door de wet- en regelgeving, kun je in principe een versimpelde werkwijze hanteren. Houd er wel rekening mee dat deze iets strakker is dan de daadwerkelijke wetgeving, maar eigenlijk altijd aan beide wetgevingen voldoet.
Hierbij onderscheiden we verschillende soorten cookies:
Wanneer je essentiële cookies, functionele cookies of analytische cookies plaatst die voldoen aan deze beschrijving, hoef je hiervoor geen toestemming te vragen van de Telecommunicatiewet.
Ook verzamel of verwerk je waarschijnlijk geen persoonsgegevens buiten eventuele verwerking voor de uitvoering van een contract.
Voor tracking cookies vraag je toestemming. Voor essentiële cookies, functionele cookies, of analytische cookies die niet aan deze beschrijving voldoen vraag je toestemming. Als je twijfelt, is het slim om gewoon toestemming te vragen.
En tot slot: Als je op wat voor manier dan ook verschillende bezoekers op basis van verzamelde gegevens verschillend behandelt, dan heb je toestemming nodig. Ook ben je dan waarschijnlijk persoonsgegevens aan het verwerken, en heb je daar een wettelijke grondslag voor nodig.
De techniek is tegenwoordig al een stuk verder dan alleen het plaatsen van cookies.
Sommige websites maken zodra je op de pagina komt al een profiel van je op basis van informatie op je apparaat waar deze toegang toe heeft. Bijvoorbeeld het gebruik van een app, je scherminstellingen, geïnstalleerde fonts en voorkeursinstellingen of de browser die je gebruikt. Je apparaat krijgt hierdoor een fingerprint. Hoe meer unieke instellingen je gebruikt, hoe beter je online gevolgd kunt worden met deze fingerprint.
Hier wordt meestal zonder toestemming informatie verzameld over een persoon. Maar omdat er geen cookie wordt geplaatst, weet je vaak niet eens dat dit gebeurt.
Voor de duidelijkheid: Deze manier van informatie verzamelen valt ook onder het basisprincipe van de Nederlandse Telecommunicatiewet en is niet toegestaan. Het profiel dat van een persoon wordt gemaakt kan worden aangemerkt als een set persoonsgegevens. Het verzamelen en het verwerken van deze informatie valt binnen de scope van de AVG, en is zonder wettelijke grondslag niet toegestaan.