Cookiewet - cookies

[ cookiewet.eu ]

Wat is de Cookiewet of Cookierecht?

De cookiewet is een wijziging van de Telecommunicatiewet die als doel heeft de gebruiker/internetter controle te geven over de cookies die op zijn of haar apparatuur worden geplaatst of gelezen.
Er is geen toestemming nodig voor cookies die de kwaliteit of effectiviteit van een website of dienst meten en die weinig of geen gevolgen hebben voor de privacy van de gebruiker. Dit worden noodzakelijke cookies genoemd.

Omdat in de Telecommunicatiewet wordt verwezen naar de Wet Bescherming Persoonsgegevens (inmiddels opgevolgd door de AVG) zijn de betreffende bepalingen daarin relevant voor de cookiewetgeving. Zo geldt dat de gebruiker duidelijk en volledig moet worden geïnformeerd over het gebruik van cookies om zijn privacy beter te waarborgen. Omdat de gebruiker vóóraf zijn toestemming moet geven (opt-in), moet hij dus ook vóóraf worden geïnformeerd over het feit dat zijn gegevens worden opgeslagen of gelezen. Dat informeren moet gebruiksvriendelijk gebeuren. Tevens moet worden gemeld met welk doel een cookie wordt geplaatst of gelezen.

De wet is gebaseerd op de EU ePrivacy Richtlijn 2002/58/EC.
Die richtlijn - ePrivacy Directive genoemd - is in elk betrokken EU-land omgezet in nationale wetgeving. In Nederland betreft dit een wijziging van de Telecommunicatiewet (artikel 11.7a).
De huidige cookiewet is een update van de cookiewet van 5 juni 2012. Er zijn voorstellen gedaan voor verdere wijziging. Zie elders op deze pagina.

Wat zijn cookies?

Cookie Een cookie was oorspronkelijk een tekstbestandje op de computer van de websitebezoeker. Het was een manier om gegevens op te slaan voor een volgend bezoek aan de website, zoals een klantnummer of het laatst bekeken artikel. Cookies zijn reuze handig, zo gebruikt een smart-tv cookies om de inloggegevens van bijvoorbeeld Netflix op te slaan zodat je niet bij elke sessie opnieuw moet inloggen.
Het cookiebestand wordt steeds vaker gebruikt om u als gebruiker te herkennen. Elke gebruiker krijgt een unieke identificatie (ID). Zodra een website of programma uw ID herkent, worden de reeds bekende gegevens van u gelezen. Deze data wordt gecombineerd met informatie over uw actuele bezoek. Ondertussen kunt u gepersonaliseerde advertenties te zien krijgen.

Cookies kwamen het eerst voor op pc's, vooral bij de browsers (zoals Internet Explorer, FireFox, Chrome en Safari). Inmiddels zijn er andere apparaten met een vergelijkbare functionaliteit, zoals smart-tv's, telefoons, tablets en spelcomputers.

De wet is techniekneutraal en spreekt nu letterlijk over "via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker". Er hoeft dus geen echt (cookie)bestand meer aan te pas te komen. Ook het gebruik van web-beacons (kleine afbeeldingen), opslag in de browsers en plugins vallen onder het begrip 'cookie'.

Mobiele advertentie-ID

Cookies werken niet optimaal op mobiele apparaten. Apps op smartphones werken technisch anders dan webbrowsers (op pc's en laptops). De Mobiele advertentie-ID is het meest gebruikte alternatief op mobiel. Het doel is hetzelfde als bij de traditionele cookies, vandaar dat ze onder de algemene noemer van cookies vallen.

Noodzakelijke cookies = technische cookies = functionele cookies

De naam impliceert het al: noodzakelijke cookies zijn nodig om een website of app goed te laten functioneren. Bijvoorbeeld om de artikelen te onthouden die u geselecteerd heeft in een bestelproces. Voor het gebruik van noodzakelijke cookies is geen toestemming nodig van de gebruiker (tenzij de website-eigenaar de informatie aan derden overhandigt).
Voluit worden deze cookies technisch noodzakelijke cookies genoemd, wat door sommigen weer wordt afgekort tot technische cookies. En omdat deze cookies zorgen voor het goed functioneren van de website, worden ze eveneens functionele cookies genoemd. Een aantal van dit soort cookies verdwijnt aan het einde van uw bezoek aan de website. Dit zijn sessiecookies die voor tijdelijke opslag van gegevens gebruikt worden.

Tracking cookies

Deze cookies zijn bedoeld om uw interesses op te slaan en uw (klik)gedrag te volgen, het zgn 'tracken'. Vandaar de benaming tracking cookies. Omdat deze cookies door anderen (derden) worden geplaatst worden ze third-party cookies genoemd. Het doel van tracking cookies is om informatie over gebruikers te verzamelen en daarmee gepersonaliseerde advertenties te tonen.

Wat is het probleem met cookies?

Technische cookies zijn noodzakelijk, tracking cookies zijn dat niet. Tracking cookies volgen het gedrag van bezoekers of gebruikers. In veel gevallen gaan het om adverteerders. De adverteerders of advertentienetwerken willen u herkennen als u van website naar website gaat. Het herkennen doen ze door elke gebruiker een unieke ID te geven. Die ID -en meer- kan worden opgeslagen in een cookie. Beetje bij beetje verzamelen deze netwerken informatie over u. Daarmee maken zij profielen aan. Een gevolg van dit 'volgen' is bijvoorbeeld dat u advertenties te zien krijgt voor producten die u eerder op een andere websites hebt bekeken.
Dit volgen van gebruikers mag niet zo maar, er is toestemming nodig vanwege inbreuk op de privacy.

Cookie-ID's versus fingerprinting

Bij het zetten van een nieuw (tracking)cookie krijgt een gebruiker een unieke ID. Deze ID wordt gebruikt voor herkenning. Wanneer een cookie wordt verwijderd, vervalt daarmee de gebruikte ID en het daarbij horende profiel. Wordt een website of dienst daarna opnieuw gebruikt, dan wordt een nieuw ID aangemaakt. Wanneer u geen persoonlijke advertenties wilt zien dan is het een goed idee om de cookies bij het afsluiten van de browser automatisch te laten verwijderen.
De techniek fingerprinting staat voor het herkennen van een apparaat. De configuratie van de hardware en software levert een (vrijwel) unieke identificatie op. Dit is een alternatieve methode gebruikers (beter: apparaten) te herkennen.

First-party cookies & third-party cookies

First-party cookies zijn alle cookies die worden gezet worden door de website die men bezoekt. De cookies van derden die tot die website worden toegelaten (adverteerders, newsfeeds, plugins) zijn third-party cookies.

Toestemming geven voor het plaatsen van cookies?

Nederlands cookie De cookiewet is gebaseerd op Europese wetgeving die uitgaat van impliciete toestemming voor het plaatsen van cookies. Daardoor volstaat het om de bezoeker/gebruiker te informeren over het gebruik van cookies. De informatie moet wel duidelijk zijn.
Een informatiebalk met een 'Als u doorgaat accepteert u onze cookies' tezamen met een uitleg over cookies volstaat nu waarschijnlijk voor de Telecommunicatiewet.

Voor noodzakelijke cookies is geen toestemming nodig, evenmin voor analytische cookies als die weinig impact op de privacy hebben. Voor tracking cookies geldt meestal dat de enige rechtvaardigingsgrond de ondubbelzinnige toestemming van de websitebezoeker is. En die moet daarom dus worden gevraagd.
Tracking cookies mogen pas gebruikt worden nadat de bezoeker is geïnformeerd over welke cookies gebruikt worden, welke persoonsgegevens verwerkt worden en wat daarmee gebeurt.

Pikant detail: dat iemand de cookiebanner gezien heeft, en het antwoord op de vraag voor toestemming voor tracking cookies: ook deze informatie wordt opgeslagen in een cookie. Met als voordeel natuurlijk dat bij een volgend bezoek aan dezelfde website de cookie-informatie niet meer getoond hoeft te worden.

Ondubbelzinnige toestemming

Een toestemming is ondubbelzinnig gegeven als deze:
  • Vrij is - er is geen druk uitgeoefend door een derde.
  • Geïnformeerd is - de betrokkene is voorzien van duidelijke en relevante informatie.
  • Specifiek is - voor de betreffende verwerking.
  • Een actieve handeling vergt.
Zie bij de Autoriteit Persoonsgegevens: ondubbelzinnige toestemming voor het plaatsen van cookies
Voor acceptatie van een cookie-statement kan het tonen van een duidelijk zichtbare melding volstaan. Het verdere gebruik van de website geldt als een ondubbelzinnige toestemming. Mits duidelijk wordt gemaakt dat het doorgaan op de website als instemming wordt gezien.
De eigenaar van een website moet kunnen aantonen dat de toestemming is verleend.

Geen toestemming nodig bij:

Er is geen toestemming nodig van de gebruiker voor het lezen of plaatsen van cookies wanneer het gaat om informatie over de kwaliteit of effectiviteit van de geleverde dienst, zolang de gevolgen voor de privacy beperkt zijn.
Hierdoor zijn cookies voor analyse van het gebruik van een website (statistieken) zonder toestemming toegestaan, mits aan bepaalde voorwaarden wordt voldaan. Ook cookies van affiliate netwerken mogen zonder toestemming worden gebruikt. Dat geldt eveneens voor a/b test cookies die informatie geven over welke versie van een website de beste resultaten levert.

Wie kan een cookie lezen?

Een bepaald cookie kan alleen gelezen worden door de website of app die hem heeft geplaatst. Amazon kan dus niet de cookies van Bol.com inzien. Wanneer u een website bezoekt die gebruikmaakt van meerdere adverteerders of advertentienetwerken, dan plaatst ieder een eigen cookie. Het gevolg is een wildgroei aan cookies op uw apparaat, maar erger nog: gegevens van u worden aan evenzoveel partijen verstrekt.

Welke cookies zijn niet toestaan?

Voor het gebruik van tracking cookies is toestemming nodig omdat ze impact hebben op de privacy. Dat geldt eveneens voor analyseprogramma's en andere verwerkingen van persoonsgegevens die vallen onder de AVG.
Cookies van social media zijn tracking cookies, ze worden gebruikt om bezoekers op internet te volgen. Wanneer een gebruiker al is ingelogd op een social-media netwerk is zo'n cookie wel toegestaan.

Verwerking persoonsgegevens

Wanneer gegevens van gebruikers worden verzameld, gecombineerd of geanalyseerd, wordt vermoed dat er verwerking van persoonsgegevens plaatsvindt volgens de Algemene Verordening Gegevensbescherming.

Informeren van bezoekers/gebruikers

Ook al gebruikt een website of dienst cookies waarvoor geen toestemming nodig is, dan nog geldt dat er een informatieplicht is als er persoonsgegevens worden verwerkt. Het verdient aanbeveling om daarom een privacyverklaring te publiceren, inclusief een uitleg wat voor (soort) cookies er gebruikt worden en waarvoor. Vanuit een algemene cookiebalk kan hiernaar verwezen worden.
Een cookiebalk, of andere duidelijke melding bij het openen van een website, is alleen verplicht als er toestemming gevraagd moet worden voor het gebruik van cookies.

Cookiemuur: totale blokkade

Cookiemuur Een cookiemuur of cookie wall is een algehele blokkade van de website, app of dienst in het geval de gebruiker geen goedkeuring geeft voor het gebruik van cookies. De cookiemuur is een botte manier om goedkeuring te krijgen voor het gebruik van tracking cookies.
Overheidsdiensten mogen volgens artikel 5 van de cookiewet geen cookiemuur opwerpen omdat de gebruiker geen vrije keuze heeft.
Volgens de AP (2019) mag een dergelijke complete blokkade ook niet bij commerciële diensten. Over deze opvatting is geen consensus onder juristen.

Toezichthouders cookiewet / cookierecht

Er zijn in Nederland meerdere toezichthouders die gezamenlijk bepalen hoe de cookieregels geïnterpreteerd worden. De Autoriteit Persoonsgegevens gaat over privacyschending door cookies en de Autoriteit Consument & Markt houdt toezicht op naleving van het cookieverbod. Beide instanties kunnen boetes opleggen. De Autoriteit Consument & Markt kan een maximale boete opleggen van 900.000 euro.

Controle door ACM

De controle op het plaatsen of lezen van cookies is niet eenvoudig. De website of app de een cookie plaatst of leest moet de ACM overtuigen dat hij alleen cookies heeft geplaatst of gelezen na het verkrijgen van toestemming van de gebruiker. Dit kan worden aangetoond door het geven van een procesbeschrijving van de software. Een procesbeschrijving is ook adequaat als het cookies van derden betreft. Die derde partij kan alleen cookies plaatsen als de betrokken website of dienst hiertoe de gelegenheid heeft geboden. De verantwoordelijkheid ligt dus bij de website. In veel gevallen zal de website of dienst daarom de toestemming aan de gebruiker vragen.

Omgekeerde bewijslast / rechtsvermoeden tracking cookies

Per 1 januari 2013 geldt dat bij het gebruik van tracking cookies wordt verondersteld dat er persoonsgegevens worden verwerkt (de omgekeerde bewijslast). Het is aan de website-eigenaar om aan te tonen dat dit niet het geval is.

Statistieken & Google Analytics

'Meten is weten', vandaar dat websites graag de gegevens van bezoekers bijhouden en analyseren om verbeteringen in de website of dienst aan te brengen. Veel diensten willen graag persoonlijke informatie opslaan om u gerichte aanbiedingen te kunnen doen. Er zijn verschillende typen programma's voor het verzamelen van (bezoekers)gegevens. Het maakt uit welke gegevens worden opgeslagen en waar die gegevens worden opgeslagen.

Het raadplegen van de logboeken van de webserver en het gebruik van statistiekprogramma's die alleen informatie uit deze logboeken halen, is toegestaan zonder toestemming.

Wanneer gegevens over het gebruik van de dienst verzameld, gecombineerd of geanalyseerd worden om de gebruiker "anders te behandelen", wordt vermoed dat er sprake is van verwerking van persoonsgegevens volgens de AVG. Een gevolg hiervan is dat als de data elders wordt opgeslagen er een verwerkersovereenkomst moet worden gesloten.
Het gebruik van Google Analytics op een website is toegestaan, zonder toestemming van de bezoekers. Er moet wel aan voorwaarden worden voldaan. De Autoriteit Persoonsgegevens heeft hiervoor een document opgesteld: Handleiding privacyvriendelijk instellen van Google Analytics
In vogelvlucht komt het hier op neer:
  • Er moet een verwerkersovereenkomst met Google worden afgesloten
  • Google mag niet het volledige IP-adres verwerken
  • Het delen van gegevens met Google moet uitgezet worden
  • De bezoeker moet geïnformeerd worden over het gebruik van Analytics
Een attentiepunt voor website-eigenaren die generators of tools gebruiken om hun website in te richten: vaak zijn hier opties voor Google Analytics aanwezig. Controleer of Google Analytics of andere analysetools standaard aanstaan, en zo ja, met welke opties. Vergeet niet de privacyverklaring hiervoor aan te passen.

We noemen graag dat er privacyvriendelijke alternatieven voor Google Analytics zijn. Bijvoorbeeld: Piwik / Matomo en Piwik PRO

Cookies, je houdt ervan of je haat ze

Toestemming, privacy en opbouw profielen

Waarom is toestemming zo belangrijk en mogen tracking cookies niet zonder toestemming worden gebruikt? De reden is dat het klikken op een schoenenadvertentie beperkte informatie over u oplevert bij de adverteerder. Dat wordt anders als de adverteerder ook fietsen verkoopt, evenals boeken en parfums. Langzaam kan uw smaak en bestedingspatroon in beeld worden gebracht. Dit is profilering. Wanneer de genoemde onschuldige onderwerpen worden aangevuld met bijvoorbeeld gezondheidsproducten en politieke voorkeur, wordt al snel de ongewenstheid van profilering aangetoond.

Opmerkingen over de cookiewet

  • De Minister van Veiligheid en Justitie kan uitzonderingen maken via een algemene maatregel van bestuur. De Autoriteit Persoonsgegevens wordt daarbij om advies gevraagd.
  • Cookies van affiliate netwerken zijn toegestaan. Ze werken anders dan tracking cookies. Ze houden bij of, en zo ja wanneer, u de website van een adverteerder heeft bezocht. Het doel is dat de adverteerder de website (de 'affiliate') herkent waar de bezoeker vandaan kwam. Als een bezoeker binnen een bepaalde termijn een aankoop doet bij de adverteerder, krijgt de affiliate hiervoor namelijk een vergoeding.
  • Een gebruiker kan zijn voorkeuren voor advertenties in Google aangeven: instellingen voor Google-advertenties
    Zoekinstellingen bepalen en het personaliseren van advertenties in Google ('privéresultaten'): zoekinstellingen in Google
  • Als uw toestemming of weigering in een cookie wordt opgeslagen, kan dit antwoord verloren gaan. Programma's die uw computer schoonmaken bevatten vaak ook een functionaliteit om cookies te verwijderen. Een verwijderd cookie heeft tot gevolg dat bij een volgend bezoek aan de betreffende website opnieuw zal worden gevraagd om toestemming.
  • Als meerdere gebruikers van dezelfde pc gebruikmaken en één van hen heeft een bepaalde tracking cookie voor een website geaccepteerd, dan krijgen de volgende gebruikers van die pc (met hetzelfde gebruikersaccount) het acceptatieverzoek van die adverteerder of zijn netwerk vermoedelijk niet meer te zien.
  • Wanneer de websitebeheerder of webdeveloper nieuwe functionaliteit toevoegt aan de website waardoor het cookiegebruik verandert, moet er opnieuw toestemming worden gevraagd aan de bezoeker. Bij het gebruik van standaardsoftware (bijvoorbeeld een cms) moet de website-eigenaar opletten dat er niet ongemerkt nieuwe functionaliteit geïntroduceerd wordt.
  • Let op bij het gebruik van software van derden zoals een forum, prijsvraag of enquête. Mogelijk worden daarin ip-adressen opgeslagen. Wanneer het gaat om privacygevoelige informatie moet er (apart) toestemming voor worden gevraagd.
    Een online spelletje waarbij alleen de score op de computer van de gebruiker wordt opgeslagen heeft daarvoor geen toestemming nodig.
  • De cookiewet geldt ook voor buitenlandse websites die zich op Nederlandse bezoekers richten.
  • Diverse browsers kunnen third-party cookies blokkeren via een 'Do Not Track'-optie (DNT). De Nederlandse versie van Internet Explorer noemt ze 'Indirecte cookies'. De Nederlandse versie van FireFox noemt het "Niet volgen". Websites kunnen deze instelling negeren. In Chrome is het de instelling "Een verzoek voor niet-bijhouden met je browseverkeer verzenden".
    Er zijn weinig websites die deze instelling respecteren. Om die reden wordt DNT uit Chrome verwijderd.
  • Consumenten kunnen klachten over ten onrechte geplaatste cookies melden bij ConsuWijzer
  • Het is meer regel dan uitzondering dat websites meerdere cookies plaatsen. Dat kan om allerlei redenen zo zijn. Dit gebeurt bijvoorbeeld met websites die met plugins werken voor extra functionaliteit. Iedere plugin kan een eigen cookie gebruiken.

Cookies - simpeler regels in de toekomst

In januari 2017 heeft de Europese Commissie een voorstel voor een nieuwe Verordening Privacy en Elektronische Communicatie gelanceerd, in het kader van de Digital Single Market. Dit is een aanvulling op de Europese Privacyverordening AVG die in mei 2018 definitief van kracht werd. Het genoemde voorstel bevat simpelere regels met betrekking tot cookies. Via browserinstellingen moet een websitebezoeker zelf de privacyinstellingen kunnen regelen zodat er minder of geen cookiemeldingen meer komen. Voor analyticscookies is naar verwachting geen toestemming meer nodig.

Andere trackers: Facebook Like-knop

Het Europees Hof van Justitie heeft in juli 2019 besloten dat websites bezoekers moeten informeren over het gebruik van de Like-knop van Facebook. Er is toestemming nodig van de bezoeker. Je gegevens worden namelijk doorgestuurd naar Facebook, ook al klik je niet op de button. Zelfs als je niet eens een Facebook-account hebt. De Like-button heeft een zelfde soort werking als een cookie en dus gelden daar dezelfde regels voor.

Algemene Verordening Gegevensbescherming (AVG)

De AVG vormt de basis van de privacywetgeving in Nederland en bepaalt onder welke voorwaarden persoonsgegevens mogen worden verwerkt. Een van de voorwaarden voor de verwerking van persoonsgegevens is dat de verwerker een beroep kan doen op een juridische grondslag. De meest voor de hand liggende grondslag is dat de betrokkene ondubbelzinnig zijn toestemming voor de verwerking heeft verleend. Alvorens de betrokkene zijn toestemming verleent, moet hem duidelijk worden gemaakt wat er met zijn gegevens zal gebeuren. Een eenmaal verleende toestemming kan te allen tijde worden ingetrokken. In dat geval dient de verwerking onmiddellijk te worden gestaakt.

Cookie-icoon van adverteerders

Cookie-icoon adverteerders - youronlinechoices Een aantal grote (netwerken van) Europese adverteerders plaatst een klein icoontje bij hun advertenties die met tracking cookies werken. Klikken op het icoontje brengt de bezoeker naar de website your online choices waar informatie over third-party cookies te vinden is.

Tools voor lezen, wijzigen en verwijderen van cookies

Met het (gratis) programma CCleaner kunnen cookies uit browsers verwijderd worden. Specifieke cookies kunnen gemarkeerd worden zodat ze bewaard blijven.
Op de website van NirSoft vindt u voor alle bekende browsers programma's om cookies te lezen, wijzigen en verwijderen. Ook voor de zgn. Flash-cookies.
Voor Firefox is de uitgebreide add-on Advanced Cookie Manager, inclusief een live monitor. (Niet te verwarren met een standalone programma met dezelfde naam.)
Ghostery is een zeer handig, gratis tooltje dat per pagina laat zien of er cookies, advertenties, Google Analytics of dergelijke aanwezig zijn. Per pagina kun je aangeven wat toegestaan is. Voor alle browsers is er een versie, ook voor Android en iOS. Bezoek de website van Ghostery. Ghostery kent ook opties voor het tegengaan van herkenning via fingerprinting.
Specifiek voor Chrome en Opera kunnen we EditThisCookie aanbevelen.

Cookies op telefoons
Laten we niet vergeten dat er ook op mobiele apparaten cookies gezet worden. Tot voor kort werden cookies verwijderd in de procedure 'Geschiedenis wissen'. Nu is er steeds vaker een specifieke optie voor het wissen van cookies (en wachtwoorden, formulieren e.d.) aanwezig in elke mobiele browser.
Een kort, Engelstalig overzicht: Cookies verwijderen uit mobiele browsers

De (betrekkelijke) werking van tracking cookies

Hoe werken tracking cookies in de praktijk? U bezoekt bijvoorbeeld een website voor fietsonderdelen, bekijkt enkele fietsbanden en besluit vanwege prijs en gemak om uw fiets toch maar naar de fietsenmaker te brengen. Een dag later leest u online over roeiboten (of iets anders) en opeens verschijnt een advertentie voor fietsbanden. Dat betekent dat de website die u bezoekt gebruikmaakt van hetzelfde advertentienetwerk als de website voor fietsonderdelen die u een dag eerder bezocht. In marketingjargon is dit een advertentie op basis van persoonlijke interesses.
De betrekkelijkheid van de werking van tracking cookies blijkt uit dit voorbeeld: de interesse in fietsbanden was tijdelijk. De advertentie komt op zijn minst te laat. Dat is nog meer het geval als u een advertentie te zien krijgt van een product dat u al gekocht heeft.
Contextgebaseerde advertenties zijn waarschijnlijk effectiever: als u naar roeiboten kijkt zijn artikelen die iets met boten te maken hebben op dat moment relevant met een hoge kans op een klik als gevolg. Voor dit soort advertenties is het niet nodig tracking cookies of enige informatie van de bezoeker te gebruiken. Dat is wel zo privacyvriendelijk.

Veel websites gebruiken Google Adsense / Doubleclick om advertentie-inkomsten te genereren. Het is mogelijk voor websites om aan te geven dat zij alleen niet-gepersonaliseerde advertenties willen gebruiken. Google zal dan aan websitesbezoekers binnen de EER alleen niet-gepersonaliseerde reclame tonen, en dus geen trackingcookies gebruiken.

Cookiemonster heeft een andere kijk op cookies

Heb je het helemaal gehad met cookies? Hieronder een video van Cookiemonster van Sesamstraat dat zijn eigen manier heeft om met cookies om te gaan: