Deze website maakt enkel gebruik van functionele cookies, om fraude te voorkomen en de veiligheid van de website te verbeteren. Meer info
Ok
We are legal.

Het gebruiken van cookies op websites en toepassingen. Korte herinnering aan de principes, de uitzonderingen en het uitvoeren in de praktijk.

Zeer weinig websites en mobiele toepassingen maken geen gebruik van cookies of andere trackers. Cookies zijn alomtegenwoordig, ongeacht de inhoud van de websites of toepassingen, of de sector waarin hun eigenaars of exploitanten actief zijn.

Sinds de publicatie van de Algemene Verordening Gegevensbescherming (“GDPR”) in 2016, en nog meer sinds de inwerkingtreding ervan op 25 mei 2018, is de toepassing van de (nieuwe) beginselen van de bescherming van de persoonlijke levenssfeer en de verwerking van persoonsgegevens op cookies onderwerp van veel discussie geweest in Europa. Tussen hun richtlijnen en aanbevelingen, hebben de toezichthoudende autoriteiten van de verschillende lidstaten getracht het gebruiken van cookies door de spelers in de digitale economie te “reguleren”, met als gemeenschappelijke noemer het beperken van de inmenging in de levenssfeer van de burgers.

Eind januari 2020 heeft de Belgische toezichthoudende autoriteit, de Gegevensbeschermingsautoriteit (“GBA”), de definitieve versie van haar Strategisch Plan 2019-2025 gepubliceerd. De GBA heeft vervolgens de privacy in de digitale omgeving (of “online privacy”) als een van de prioritaire thema’s op sociaal en maatschappelijk vlak vermeld. Volgens de GBA: “Het verzamelen van gegevens over internetgebruikers, bv. door middel van ‘cookies’, vormt de basis voor het aanleggen van gigantische databanken met gedragsgegevens over al deze internetgebruikers”.

Onlangs heeft de GBA de pagina “Cookies” in het gedeelte “Professioneel” van haar website bijgewerkt. In het bijzonder kan elke bezoeker in de sub-sectie “FAQ” de geconsolideerde richtlijnen en verduidelijkingen van de GBA met betrekking tot de regels en praktijken die in verband met cookies moeten worden gevolgd, (terug)vinden.

Hieronder volgt een overzicht van de gevestigde principes en de recente vereisten van de GBA. 

Toestemming. Dit is geen nieuws. Volgens zowel de nationale als de Europese wetgeving is voor de installatie van cookies (of andere trackers) op de computer van een gebruiker (of een ander apparaat) de voorafgaande toestemming van de gebruiker vereist. In het arrest “Planet49” van 1 oktober 2019, heeft het Hof van Justitie van de Europese Unie bevestigd dat toestemming zoals gedefinieerd in de GDPR vereist is, zelfs wanneer de gegevens die door de cookies worden verwerkt geen persoonsgegevens zijn. Concreet betekent dit dat voor de installatie en het gebruiken van cookies toestemming nodig is in overeenstemming met de volgende voorwaarden:

  • vrij: de betrokkene moet zijn/haar keuze rechtsgeldig kunnen uitoefenen en mag niet worden blootgesteld aan negatieve gevolgen als hij/zij weigert zijn/haar toestemming te geven. Daarom is het installeren van “cookie wall” – d.w.z. het blokkeren van de toegang tot een website of toepassing als de gebruiker bezwaar maakt tegen het plaatsen van cookies – in strijd met de GDPR. Ook kan geen toestemming worden gevraagd in ruil voor een voordeel of beloning.
  • specifiek: algemene toestemming voor het gebruiken van cookies, zonder verdere specificatie, is niet geldig. Er moet immers toestemming worden gegeven met betrekking tot de specifieke doeleinden van de cookies waarvoor toestemming worden aangevraagd. In dit verband geeft de GBA nu aan dat de keuze “alles of niets” niet geldig is.

Met betrekking tot de specificiteit van de toestemming voert de GBA een nieuwe eis in: graduele keuze per cookie. In een eerste informatielaag moet de exploitant van cookies een keuze per type cookies aanbieden (bijvoorbeeld cookies voor publieksmeting of op marketing gerichte cookies). In een tweede informatielaag, wanneer de gebruiker toestemming per type cookies heeft kunnen geven, moet hij/zij de mogelijkheid hebben om, indien hij/zij dat wenst, individueel zijn/haar toestemming per cookie te geven.

Correlatief gezien, is de GBA van mening dat het eenvoudigweg browserinstellingen door de gebruiker op zich geen geldige toestemming is, aangezien het voor de gebruiker niet mogelijk is om zijn/haar keuze per type cookie uit te drukken.

De vraag is dan ook hoe deze graduele keuze in twee fasen in de praktijk kan worden gemaakt. De GBA geeft in dit verband geen aanwijzingen. Cookies (en andere soortgelijke technologieën) zijn technologische tools van uiteenlopende complexiteit, zowel in hun eigen functioneren als in hun onderlinge verbindingen met andere elementen van elektronische communicatienetwerken. Daarnaast werken sommige cookies op groepsbasis (bijvoorbeeld Google Analytics-cookies). Wat als een gebruiker instemt met het plaatsen van een cookie en niet met het plaatsen van de andere cookie(s) waarmee deze cookie noodzakelijkerwijs moet interageren voor het beoogde doel? Meer fundamenteel moet de eigenaar van een website/toepassing – waarvan het technisch beheren over het algemeen uitbesteed aan een derde partij is – uiteindelijk elke gebruiker de mogelijkheid bieden om het cookie waarvoor hij/zij toestemming geeft, individueel te selecteren, eventueel bij elk nieuw bezoek. Voor websites en andere toepassingen die tienduizenden hits per uur ontvangen, zal de implementatie van toestemming “à la carte” ongetwijfeld een aantal lastige technische en praktische vragen oproepen die de GBA zal moeten beantwoorden.

  • geïnformeerd: voordat de gebruiker zijn toestemming geeft, moet hij/zij duidelijk en precieze worden geïnformeerd over (i) de gegevensverwerking die door middel van de betreffende cookies wordt uitgevoerd (identiteit van de verwerkingsverantwoordelijke, doel(en) van het plaatsen en lezen van de cookies, door de cookies verzamelde gegevens en levensduur); en (ii) de rechten van de gebruiker krachtens de GDPR, zoals het recht van de gebruiker om zijn/haar toestemming in een later tijdstip in te trekken.
  • intrekbaar: de gebruiker moet zijn/haar toestemming te allen tijde kunnen intrekken, net zo gemakkelijk als hij/zij deze heeft gegeven.

Het is in ieder geval aan de exploitant van de cookies om aan te tonen dat de toestemming geldig is verzameld, bijvoorbeeld door middel van logboeken of andere bestanden waarin de transacties worden bijgehouden.

Actief toestemming. De toestemming moet niet enkel vrij, geïnformeerd, specifiek en intrekbaar zijn, maar ook het resultaat van een actieve aanpak door de betrokkene zijn. Naar het voorbeeld van de CNIL (de Franse toezichthoudende autoriteit) geeft de GBA aan dat de voortzetting van het surfen door de gebruiker niet voldoende is om een geldige toestemming in de zin van de GDPR te verkrijgen.

Er is een actie van de betrokkene nodig, zoals een aanvinkvakje (vooraf aangevinkte vakjes zijn niet voldoende), het aanklikken van een knop of het slepen van de cursor.

Uitzondering op toestemming. De uitzondering blijft onveranderd: enkel voor zogenaamde functionele cookies is geen voorafgaande toestemming van de betrokkene nodig. Ze zijn cookies die noodzakelijk zijn om het verzenden van een communicatie via een elektronisch communicatienetwerk uit te voeren of om een dienst te verlenen waarom de gebruiker van de website of toepassing uitdrukkelijk heeft gevraagd.In de richtlijnen van de GBA staat ook dat functionele cookies beperkt moeten zijn, ofwel tot de duur van de sessie ofwel tot een iets langere duur.

De GBA geeft voorbeelden waarin: sessiecookies (of permanente cookies die beperkt zijn tot enkele uren) die worden gebruikt om informatie op te slaan die de gebruiker heeft ingevoerd bij het invullen van online formulieren op meerdere pagina’s of om artikelen op te slaan die de gebruiker heeft geselecteerd in het winkelwagentje; authenticatiecookies die voor de duur van een sessie worden gebruikt voor geauthenticeerde diensten zoals e-payment of e-banking; sessiecookies gemaakt door een mediaspeler (bijvoorbeeld flash player cookies), voor de duur van een sessie; of permanente cookies voor het personaliseren van de gebruikersinterface, voor de duur van een sessie (of een iets langere periode), zoals cookies met betrekking tot de taalvoorkeur of het weergeven van de resultaten. Als dergelijke personalisatiecookies bedoeld zijn om (veel) langer te duren dan de sessie van de gebruiker, is voorafgaande toestemming vereist.

WAARSCHUWING: indien er geen voorafgaande toestemming nodig is voor het plaatsen en lezen van functionele cookies, blijft de verplichting bestaan om de gebruiker duidelijke en precieze informatie te verstrekken over dergelijke cookies en hun doeleinden.  

Sociale netwerk-plug-ins. De voorafgaande toestemming van de gebruiker moet geldig worden verzameld voordat een sociale netwerk-plug-in op de website of toepassing wordt geactiveerd. Dergelijke plug-ins (de “Vind ik leuk” of “Delen” knop op Facebook, Instagram, Twitter, LinkedIn, etc.) maken het inderdaad mogelijk om gegevens te verzamelen, zelfs als de gebruiker geen account heeft op de sociale netwerken die aan deze plug-ins verbonden zijn. 

Cookiebeleid. Het plaatsen en uitlezen van cookies op het apparaat van de gebruiker moet het voorwerp van duidelijke en precieze informatie uitmaken, ongeacht of het al dan niet om functionele cookies gaat. De uitdaging voor de exploitant van cookies is om deze informatie, die deels (zeer) technisch is, in een gemakkelijk toegankelijke taal voor de betrokkene over te brengen.

Nogmaals, dit is niets nieuws. De exploitant van een website of toepassing die gebruik maakt van cookies moet een cookiebeleid publiceren. Of dit cookiebeleid nu wel of niet deel uitmaakt van het algemene privacybeleid van de website of toepassing, het moet ten minste de volgende informatie bevatten: identiteit en contactgegevens van de verwerkingsverantwoordelijke (en van de DPO indien van toepassing); identificatie van de gebruikte soorten cookies, hun doel en de duur van de werking; of derden al dan niet toegang hebben tot de cookies en de identificatie van deze derden indien van toepassing; hoe de gebruiker de cookies kan verwijderen; de rechtsgrondslag voor de verwerking via cookies (dit zal noodzakelijkerwijs de toestemming zijn voor niet-functionele cookies); de duur van het bewaren van de gegevens (deze moet in alle gevallen beperkt blijven tot de tijd die nodig is om het beoogde doel te bereiken); de rechten van de gebruiker en de wijze waarop deze kunnen worden uitgeoefend, zoals het recht om de toestemming te allen tijde in te trekken of een klacht in te dienen bij de GBA; en het bestaan van geautomatiseerde besluitvorming (bijvoorbeeld in het geval van profilering). 

In de praktijk, wordt het gebruiken van cookies aangekondigd, tijdens het eerste bezoek of nadat de gebruiker de cookies uit de browser heeft verwijderd, in een cookie banner of een speciaal venster (pop-up), dat verwijst naar het cookiebeleid. Voor zover verder surfen niet meer voldoende is voor het verzamelen van toestemming voor het plaatsen van niet-functionele cookies, moet de exploitant van de cookies de gebruiker op dit moment in staat stellen om zijn/haar toestemming te geven, door middel van een actieve aanpak (zie de hierboven twee beschreven informatielagen en de graduele keuze per cookie). De meest gebruikte methode is het weergeven van een tabel met de gebruikte en per type gerangschikte cookies, met voor elk type de mogelijkheid om het plaatsen ervan te aanvaarden of te weigeren door middel van een aanvinkvakje. 

Het staat nu vast dat volgende algemene tekst op de homepage niet langer voldoende is om te voldoen aan de toestemmingsvereiste krachtens de GDPR: “Door actief verder te gaan met uw bezoek aan deze website, stemt u in met het gebruiken van cookies om uw browse-ervaring te verbeteren”. Het plaatsen van andere dan functionele cookies die uitsluitend op deze formule zijn gebaseerd, is onwettig en kan daarom worden bestraft. De sancties zijn niet langer louter hypothetisch zoals het geval onder de vroegere Privacywet van 8 december 1992 was. Bij besluit van 17 december 2019, heeft de GBA een administratieve boete van 15 000,00 EUR opgelegd aan de beheerder van een website voor het gebruiken van cookies die niet in overeenstemming met de GDPR was.

De regulering van het gebruiken van cookies is een goed voorbeeld van de confrontatie tussen recht en technologie en de praktische problemen die daaruit voortvloeien. Het instellen van een cookiepraktijk die in overeenstemming is met de GDPR en aanverwante bepalingen, is niet eenvoudig en kan omslachtig zijn. Wij blijven uiteraard ter uwer beschikking om uw eventuele vragen te beantwoorden.