Moet u bang zijn van het Cookies-monster?

1.
Een ‘cookie’ is een klein tekstbestand dat automatisch wordt aangemaakt en op de harde schijf van iemands computer/smartphone wordt geplaatst vanaf het moment dat deze persoon een bepaalde website bezoekt die gebruik maakt van cookies.

De richtlijn van 19 december 2009 over de werking over privacy en elektronische communicatie (2009/136) wijzigde de e-privacyrichtlijn van 12 juli 2002 (2002/58). Deze richtlijn moest omgezet worden in het nationaal recht tegen 25 mei 2011.

Volgens deze richtlijn moet de internetgebruiker expliciet de toestemming geven om cookies te gebruiken, terwijl hij vroeger alleen de mogelijkheid moest krijgen om deze uit te schakelen. De bezoeker van de website moet wel nog steeds geïnformeerd worden over het gebruik, op dat vlak veranderde er dus niets.
De richtlijn kon op diverse manieren geïnterpreteerd worden en dat zorgde ervoor dat er in elk EU-land een verschillende regelgeving wordt gehanteerd.

Nadat België door Europa werd berispt omdat de richtlijn niet tijdig werd omgezet, is er sinds 2012 dan toch een ‘cookiewetgeving’ ingevoerd België.

Het voornaamste onderscheid dat in deze wet gemaakt wordt, is het onderscheid tussen ‘first party cookies’ en ‘third party cookies’:

  • First party cookies (directe cookies) zijn geplaatst door de bezochte website zelf. Deze cookies zorgen ervoor dat de website goed functioneert, zo zorgen ze er bijvoorbeeld voor dat bepaalde producten in het winkelmandje blijven of dat iemands login en wachtwoord bewaard blijven.
  • Third party cookies (indirecte cookies) zijn geplaatst door derden. Een website kan zo bijvoorbeeld geanalyseerd worden met Google Analytics. Deze cookies kunnen de voorkeuren en interesses van iemand onthouden van websites waar die deze persoon bezocht heeft en zo advertenties laten zien die daar op afgestemd zijn.


Verder zijn er ook verschillende ‘types’ van cookies, genoemd naar een functie die ze vervullen:

  • Functionele cookies zijn cookies die voorkeuren onthouden wanneer een persoon een website voor het eerst bezoekt. Ze zorgen ervoor dat iemands login en wachtwoord bewaard blijft of onthouden wat iemands taalvoorkeur was.
  • Performance cookies meten of advertenties leiden tot het aankopen/aanmelden op een bepaalde website. Dit is een manier voor websites om inkomsten te krijgen vermits ze hiervoor vergoed worden.
  • Analytische cookies zorgen ervoor dat websites statistieken van hun website kunnen bijhouden.
  • Profileringscookies zijn de cookies die ervoor zorgen dat iemand advertenties te zien krijgt met producten die deze persoon ervoor had bekeken op een andere website.

Daarnaast wordt ook wel eens het onderscheid gemaakt tussen tijdelijke en permanente cookies enerzijds en directe en indirecte cookies anderzijds.

  • Tijdelijke cookies worden gegenereerd wanneer de website word geopend, maar worden na het sluiten van de browser meteen terug verwijderd.
  • Permanente cookies blijven ook na het sluiten van de browser op uw computer/smartphone bewaard. Er bestaat uiteraard wel de mogelijkheid dat u deze manueel verwijderd of dat u de browserinstellingen aanpast zodat deze bij langdurig onbruik automatisch worden verwijderd.

2.
Aangezien de cookies – mede door de invoering van de Belgische regelgeving – alom vertegenwoordig zijn in het internetlandschap, rijst dan ook meteen de vraag over de grenzen van hetgeen toegelaten is.

Het basisbeginsel inzake het gebruik van cookies en de Privacywet is de toestemming van de internetgebruiker.

De internetgebruiker moet dus expliciet de toestemming geven om cookies te gebruiken en hij moet erover geïnformeerd worden. Het alleen verwijzen naar de algemene voorwaarden of naar een speciaal cookiestatement is dan niet voldoende, er moet expliciet toestemming worden gevraagd (bijv. door het accepteren van de cookies bij het eerste bezoek van de website).

De onderneming of website-eigenaar dient er dus voor te zorgen dat de website een duidelijke waarschuwing vertoont waarin vermeld wordt dat er cookies gebruikt worden. Deze waarschuwing moet getoond worden op de eerste pagina van de website waar de internetgebruiker op komt.

Deze waarschuwing moet aan de bezoeker de mogelijkheid geven om de cookies te aanvaarden of te weigeren.
Als de bezoeker de waarschuwing niet aanvaardt en wegklikt zonder op de vraag te antwoorden, is er sprake van een impliciet akkoord met het gebruik van cookies (deze impliciete toestemming is niet overal in het buitenland van toepassing).

Omdat er een verschil is tussen de impliciete toestemming en de stilzwijgende toestemming dient de waarschuwing duidelijk te vermelden dat als de bezoeker verder surft zonder te antwoorden, hij zich akkoord verklaart met het gebruik van cookies.

De waarschuwing zou ook moeten doorverwijzen naar duidelijke informatie over de gebruikte cookies, de rechten van de bezoeker en cookie-settings voor bijvoorbeeld het wijzigingen van zijn beslissing.

Het weigeren of goedkeuren van cookies via browserinstellingen is dus niet meer mogelijk vermits een ‘uitdrukkelijke toestemming’ een opt-in impliceert.

Wanneer er ingestemd wordt met het gebruik van cookies kan het surfgedrag van de gebruiker achterhaald worden. Surfgedrag wordt gekoppeld aan persoonsgegevens, die op hun beurt worden onthouden door de cookies waardoor er een heel uitgebreid beeld gevormd kan worden van een het consumptiegedrag van de websitebezoeker. Hierdoor kunnen ondernemingen gerichter en efficiënter adverteren.

Deze informatie kan vervolgens ook aan derden worden verkocht; u zal willen begrijpen dat deze verzamelde gegevens een gegeerde bron van informatie is voor adverteerders.

Een cookie kan dus leiden tot het verwerken van persoonsgegevens en in deze hypothese dient wel de Privacywet te worden nageleefd.

De ‘Commissie voor de Bescherming van de Persoonlijke Levenssfeer’ of kortweg de ‘Privacycommissie’ waakt over de correcte toepassing en naleving van de Privacywet.


3.
Zoals hierboven reeds vermeld, is het dus mogelijk om het surfgedrag van personen te monitoren, registreren en op te slaan. Dergelijke handelingen zijn wettelijk toegestaan mits dit gebeurt binnen de krachtlijnen van de Privacywet. Bij schending van de Privacywet kunnen dus juridische sancties worden opgelegd, voornamelijk geldboetes.

In die zin kan verwezen worden naar de meest bekende zaak die de Privacycommissie had aangespannen tegen Facebook. De Privacycommissie vorderde de veroordeling van Facebook omdat Facebook via cookies en social plug-ins het surfgedrag van internetgebruikers registreerden die zelfs geen Facebookaccount hadden. Deze informatie werd vervolgens door Facebook voor verschillende commerciële doeleinden gebruikt.

Facebook verwerkte onder meer het IP-adres en een ‘unique identifier’ in de zogenaamde ‘Facebook datr-cookie’. De Voorzitter van de Rechtbank van Eerste Aanleg te Brussel (zetelend zoals in kort geding) oordeelde dat deze gegevens als persoonsgegevens dienen beschouwd te worden. Gezien de verwerking van deze persoonsgegevens is aldus de Privacywet van toepassing.
Facebook argumenteerde dat dit niet het geval is omdat deze elementen enkel zouden toelaten een computer te identificeren.

Het verzamelen en bewaren van de gegevens m.b.t. het surfgedrag van miljoenen inwoners van België die geen lid waren van het sociaal netwerk is aldus een manifeste schending van de Belgische Privacywet.

De rechter oordeelde dat Facebook geen enkele verantwoording kon inroepen voor het verwerken (via cookies en social plug ins’) van deze gegevens van personen zonder Facebook-account. Uiteraard eveneens gezien het feit dat Facebook op geen enkele wijze toestemming had bekomen van deze personen; er was geen sprake van een overeenkomst.


4.
Het zal aldus vaak een spel van aanbod en aanvaarding worden waarbij u de facto wordt verplicht om het gebruik van cookies te aanvaarden vooraleer u toegang krijgt tot de desbetreffende website en de aangeboden diensten.

De commerciële onderneming (bijv. Google) zal immers zelf kunnen oordelen of bepalen onder welke voorwaarden de bezoeker toegang krijgt tot haar diensten.

Voor een eventueel bestaande overeenkomst (bijv. kranenabonnement) kan uiteraard niet eenzijdig wijzigingen worden aangebracht ten nadele van de gebruiker. Indien u reeds een bestaand abonnement had, kan u niet verplicht worden om de cookies te aanvaarden. Alle diensten die voorheen in het abonnement lagen vervat, moet aangeboden en beschikbaar blijven.

Voor het overgrote deel van de websites echter zal u de cookies moeten dulden, zolang de bescherming van uw persoonsgegevens worden gerespecteerd en deze niet zonder meer te grabbel worden gegooid.

Indien u nog bijkomende vragen heeft inzake de cookies-regelgeving, aarzel dan niet om onze specialisten te contacteren voor advies of bijstand. Wij staan graag ter uwer beschikking.

 

Gert Damiaans.

 


info@argusadvocaten.be

+32 (0)11 22 15 35

Kantoren

Argus Advocaten

Kolonel Dusartplein 34 bus 1
3500 Hasselt

Louis Pasteurstraat 17 C
3920 Lommel

© 2015 Argus Advocaten