Cookies: wat je moet weten over de nieuwe cookiewet

05 december 2012 Inzichten / Cookies wat je moet weten over de nieuwe cookiewet

In mei 2011 verscheen een Europese richtlijn waarin werd gevraagd aan de EU-staten om hun wetgeving rond cookies aan te passen. Die richtlijn kon op verschillende manieren worden geïnterpreteerd en dat zorgde voor heel wat verwarring. Het gevolg is dat elk land binnen de EU andere regels oplegt. Hoe zorg je er nu voor dat je in België geen boete krijgt? En wat met websites in het buitenland? Een overzicht.

Wat zijn cookies?

Cookies zijn kleine tekstbestandjes die je browser helpen te navigeren op een specifieke website. Het cookiebestand wordt gegenereerd door de website waarop je je bevindt en wordt geaccepteerd door de browser waarmee je naar die website surft. Het wordt opgeslagen in de map of submap van je browser. Je browser opent het cookiebestand opnieuw als je de website die het gegenereerd heeft, bezoekt. Hij gebruikt de informatie die opgeslagen is in het bestand om je makkelijker te laten navigeren of om bijvoorbeeld je inloggegevens al automatisch voor je in te vullen of instellingen te onthouden die je bij je vorige bezoek geselecteerd hebt.

Enkel de website die de cookie heeft aangemaakt, heeft toegang tot het bestand. Het bestand zelf bestaat enkel uit tekst en kan dus geen acties uitvoeren op je computer. Het dient dus enkel om je browser van extra informatie te voorzien.

Cookies zijn op zich onschadelijk, maar veroorzaken vaak heel wat controverse. Dat komt omdat ze kunnen gebruikt worden om je surfgeschiedenis te onthouden. Doordat een cookie maar erg weinig gegevens bevat, kan het in de meeste gevallen niet gebruikt worden om je identiteit of persoonlijke gegevens te weten te komen. Door de grote (technische) vooruitgang van marketing echter, wordt in sommige gevallen agressief gebruik gemaakt van cookies om als het ware een digitaal profiel van je surfgewoonten samen te stellen.  Als je het gevoel krijgt dat je privacy wordt geschonden, kan je de browserinstellingen aanpassen zodat er geen cookies meer bewaard worden op je computer of dat ze geen gegevens meer kunnen opslaan.


Zijn er verschillende soorten cookies?

Ja, en die kan je op twee manieren van elkaar onderscheiden:

Tijdelijke vs. Permanente cookies:
Tijdelijke cookies: deze cookies worden gegenereerd op het moment dat je de website opent en worden na het sluiten van de browser terug verwijderd. Ze worden dus enkel gebruikt gedurende één sessie. Daarom worden ze ook wel ‘session cookies’ genoemd.
Permanente cookies: deze cookies blijven op je computer bewaard, ook nadat je de browser hebt gesloten. Je kan ze manueel verwijderen via de instellingen van je browser. De meeste browsers verwijderen permanente cookies nadat ze gedurende een bepaalde tijd niet gebruikt zijn.

Directe vs. Indirecte cookies:
Directe cookies: deze cookies worden gemaakt en verzonden door de website waarop je surft.
Indirecte cookies: deze cookies worden gemaakt en verzonden door een andere website dan diegene waarop je surft. Bijvoorbeeld een cookie die geplaatst wordt door de adverteerder die een banner geplaatst heeft bovenaan een webpagina.

Een term die je vaak tegenkomt op het internet is “tracking cookies”. Dat zijn indirecte permanente cookies. Die worden vaak gebruikt door adverteerders om je surfgedrag te achterhalen. De adverteerder installeert een cookie in de banner die hij plaats op een website. Even later surft je naar een andere website met een banner van dezelfde adverteerder en die activeert de cookie van de vorige website. Zo kan je bijvoorbeeld de ene dag op zoek zijn naar een nieuwe gsm en de volgende dagen overal advertenties zien van die ene gsm die je leuk vond.
Maar ook heel erg simpele toepassingen maken gebruik van tracking cookies. Denk maar aan Google Analytics of de share buttons onderaan een pagina om content te delen via facebook, twitter of andere sociale media.
 

Hoe zit dat nu met de cookiewet in België?

Laten we eerst eens kijken hoe de cookiewet er vroeger uitzag:

1. the web surfer is provided with clear and comprehensive information in accordance with the law of 8 December 1992 (protection of personal data), inter alia about the purposes of the processing, and;
2. the web surfer is offered, prior to the processing, in a readable and unambiguous way, the right to refuse such processing by the data controller.

In mensentaal: de bezoeker moet duidelijke informatie krijgen indien je gebruik maakt van cookies op je website. Het meest voor de hand liggende is die informatie opnemen in de privacy policy op je website. Leg uit waarvoor jij cookies gebruikt (beter gebruik van de website, remarketing, …). De bezoeker kan, door de instellingen van zijn browser te wijzigen, je cookies weigeren. Ook dat vermeld je in je privacy policy.

In mei 2011 werd op Europees niveau een aanpassing gedaan aan de cookiewet. De verandering bedroeg slechts enkele woorden. “Offer the right to refuse” werd “User has given his or her consent”. De gebruiker moet dus volgens de nieuwe Europese richtlijn impliciet de toestemming geven om cookies te gebruiken, terwijl hij vroeger enkel de mogelijkheid moest krijgen om ze uit te schakelen. De bezoeker van je website moet nog steeds geïnformeerd worden over het gebruik. Op dat vlak verandert er dus niets. Aangezien de nieuwe richtlijn op verschillende manieren kan geïnterpreteerd worden, zijn er in elk EU land andere wetgevingen.
 

Hoe bereid ik mijn website voor op de nieuwe wetgeving?

In België wordt verwacht dat je website een duidelijke boodschap toont, waarin je vermeldt dat je cookies gebruikt. En dat niet enkel op de homepagina, maar op elke eerste pagina van je website waarop de bezoeker terecht komt. Geef de bezoeker de mogelijkheid om de cookies te aanvaarden of te weigeren. Wanneer de bezoeker de boodschap wegklikt zonder op de vraag te antwoorden, gaat hij impliciet akkoord met het gebruik van cookies. Opgelet: er is een verschil tussen stilzwijgend akkoord gaan en impliciet akkoord gaan. Er moet duidelijk vermeld worden dat als de gebruiker verder surft zonder te antwoorden, hij akkoord gaat met het gebruik van cookies. Laat je bezoeker ook weten hoe hij/zij de instellingen van de browser aanpast.
 

Is de nieuwe wetgeving al van kracht?

De nieuwe cookiewet gaat van kracht 10 dagen nadat ze verschenen is in het Belgisch Staatsblad. Dat is gebeurd op 10 juli 2012. De wet trad effectief in werking op 4 augustus. 
 

En in het buitenland?

Nederland:
In Nederland interpreteert men ‘impliciet toestemming geven om cookies te gebruiken’ veel strenger. Daar volstaat het niet om een kadertje met de melding weg te klikken. De gebruiker moet vooraf, expliciet en ondubbelzinnig zijn toestemming geven. Het impliciet toestemmen kan dus in Nederland niet. Het gaat zelfs zo ver dat een bedrijf moet kunnen bewijzen dat de bezoeker zijn toestemming heeft gegeven. Uiteraard geldt ook in Nederland de regel waarbij men de bezoeker informeert over het gebruik van cookies, in duidelijke en heldere taal. Enige nuance: de toestemming moet niet gevraagd worden voor session cookies. Maar dat wil natuurlijk niet zeggen dat je ze niet moet vermelden in je privacy policy. Voor alle andere cookies (en in het bijzonder de tracking cookies) moet je een opt-in voorzien. Ook in Nederland is de cookiewet al verschenen in het Staatsblad (5 juni 2012).

Verenigd Koninkrijk:
In het VK gelden dezelfde regels als in België. Een duidelijke melding van het gebruik en een impliciete toestemming volstaan. Maar ook hier is de wet al van kracht.

Duitsland:
Duitsland had reeds een vrij strenge telemediawet. Gebruikers hebben nu al de mogelijkheid om het gebruik van hun gegevens te verbieden. Het enige verschil is dat de Europese wet vraagt om op voorhand te melden wanneer men gegevens verzameld, terwijl men ze nu wel mag verzamelen maar nadien kan verboden worden ze te gebruiken. De Duitse wetgever heeft een wetsvoorstel klaar, maar wanneer dat van kracht gaat, is nog niet bekend.

Frankrijk:
In Frankrijk is de wet nog niet actief, maar er ligt een wetsvoorstel klaar waaruit blijkt dat de gebruiker zijn toestemming geeft om cookies te gebruiken door middel van specifieke browserinstellingen.

Spanje:
De wetgeving in Spanje is vergelijkbaar met die van het Verenigd Koninkrijk. Gebruikers moeten hun voorafgaande toestemming geven voor het gebruik van cookies. Dat kunnen ze doen door de instellingen van hun browser te wijzigen. Wel moeten ze onderscheid kunnen maken tussen directe en indirecte cookies. Ook hier is de wet nog niet actief.

Italië:
De cookiewet in Italië lijkt erg op die van Nederland. Ook hier moet een expliciete toestemming gevraagd worden. Hoe de providers de gebruikers vooraf toestemming moeten vragen, is nog niet duidelijk. De wet ging van kracht op 1 juni 2012.


Conclusie

Heb je een website in België, dan vraag je de bezoeker bij voorkeur expliciet om toestemming. Heeft dat een negatief effect op het gebruiksgemak van je website, kies dan (voorlopig) voor impliciete toestemming. De richtlijn van de Belgische Privacycommissie brengt binnenkort hopelijk meer duidelijkheid over wat nu precies vereist is. 
Opereer je vanuit het buitenland, controleer dan bij je lokale wetgever wat van jou precies verwacht wordt. De volledige wetteksten kunnen geraadpleegd worden via de mobiele applicatie 'CookieLaw'.

Koen Van der Haegen

Koen Van der Haegen
Stagiair Strategie

Lees meer

Iedereen bij Wijs deelt zijn expertise, ook Jasper en Evi. Benieuwd naar de laatste nieuwtjes en blogposts? Schrijf je in voor onze nieuwsbrief!