De cookiewetgeving (ePrivacy-richtlijn)

De discussies over toestemming voor het gebruik van cookies en de 'cookiewetgeving' zijn begonnen nadat in mei 2011 de 'richtlijn betreffende privacy en elektronische communicatie' van de Europese Unie, ook bekend als de 'cookierichtlijn', van kracht werd.

Kort samengevat stelt de richtlijn dat voordat een individu of organisatie informatie kan opslaan of opvragen op een elektronisch apparaat zoals een computer of smartphone, de gebruiker daarvoor geïnformeerde toestemming moet geven.

De e-privacyrichtlijn is geen wet zelf, maar een richtlijn. Dat betekent dat elk van de lidstaten van de EU wetten moest invoeren om deze richtlijn te volgen. Het resultaat hiervan was een jungle van verschillende cookiewetten voor elke lidstaat, vergelijkbaar maar niet hetzelfde. Dit maakte het voor organisaties erg moeilijk om te interpreteren hoe ze om moesten gaan met de cookietoestemmingsvraag.

De richtlijn heeft betrekking op cookies en technologische verwanten

De e-privacyrichtlijn, waaruit alle cookiewetten zijn afgeleid, is ook van toepassing op soortgelijke opslagmechanismen. Dit omvat eTag, lokaal opgeslagen Flash-objecten, HTML5 lokale opslag, enz. Ze worden de cookiewetten genoemd omdat cookies de meest voorkomende van deze opslagobjecten zijn.

Een belangrijke mededeling over GDPR en ePrivacy

Het is belangrijk om te verduidelijken dat in de Algemene Gegevensbeschermingsverordening op geen enkele wijze melding wordt gemaakt van cookies. GDPR is van toepassing op de verwerking van persoonsgegevens, waaronder ook cookies die persoonsgegevens bevatten. Andere soorten cookies vallen onder de ePrivacy / Cookiewetgeving.

Een komende ePrivacywetgeving is onderweg

De Europese Commissie werkt momenteel aan een nieuwe ePrivacy-verordening die de huidige ePrivacy-richtlijn zal intrekken. Het doel van deze wetgeving is om een duidelijke, meer gedefinieerde regels op te stellen voor de manier waarop organisaties online met tracking en advertenties moeten omgaan. Deze Europese wetgeving wordt eind 2018 verwacht, maar kan opnieuw worden uitgesteld.

De ePrivacy-verordening is precies dat, een verordening. Dit betekent dat het een wet zelf is en direct als wet afdwingbaar wordt.

Handhaving & Boetes

De handhavingsactiviteiten tot nu toe liepen van land tot land sterk uiteen, maar in Spanje en Nederland zijn er zware boetes opgelegd wegens niet-naleving. In de nieuwe verordening werd voorgesteld dat organisaties die zich niet aan de regels houden, een boete kunnen krijgen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van wat het hoogste is.

In de afgelopen jaren zijn de toestemming voor het gebruik van cookies en informatie over het cookiebeleid gebruikelijker geworden en worden ze meestal op alle grote websites gezien. Deze cookie consent banners kunnen er voor veel bezoekers hetzelfde uitzien, maar kunnen worden onderverdeeld in verschillende soorten toestemmingsgroepen.

Verschillende soorten cookietoestemmingen

De ePrivacy-richtlijn en de eigen cookiewetgeving van elke lidstaat over de manier waarop organisaties moeten omgaan met de toestemming van gebruikers hebben geleid tot een breed scala aan oplossingen voor toestemming voor cookies. Dit artikel gaat niet in op de details over de interpretatie van de wetten en de gemeenschappelijke oplossingen. Echter, een snelle blik op elk van hen in opsommingstekens zal helpen.

Categorisering van cookies

Cookies kunnen in verschillende groepen worden ingedeeld op basis van hun beoogde doel. We hebben nog geen standaard, maar drie verschillende categorieën van cookies die vaak worden gebruikt. Deze groepen zijn:

• Strikt noodzakelijk
• Prestaties
• Targeting/Advertenties

De groep cookies die strikt noodzakelijk zijn, zijn vrijgesteld van de cookiewetgeving en vereisen geen toestemming van de wet en kunnen naar behoefte worden ingesteld. Zij omvatten:

user-input cookies (session-id) zoals first-party cookies om de input van de gebruiker bij te houden bij het invullen van online formulieren, winkelwagentjes, etc., voor de duur van een sessie of permanente cookies die in sommige gevallen beperkt zijn tot een paar uur.
authenticatie cookies, om de gebruiker te identificeren nadat hij is ingelogd, voor de duur van een sessie.
user-centric security cookies, gebruikt om misbruik van authenticatie op te sporen, voor een beperkte duur.
multimedia content player cookies, gebruikt om technische gegevens op te slaan om video- of audio-inhoud af te spelen, voor de duur van een sessie.
load-balancing cookies, voor de duur van de sessie.
gebruikersinterface aanpassen cookies zoals taal- of lettertypevoorkeuren, voor de duur van een sessie (of iets langer).
social plug-in content delen met derden cookies, voor ingelogde leden van een sociaal netwerk.
Volgens: ec.europa.eu

De andere drie groepen moeten informatie en details hebben over waarom ze worden gebruikt en ook de mogelijkheid om zich voor één of al deze groepen aan- en afmelden wanneer de gebruiker dat wil. Als de gegevens in de cookie persoonlijk zijn, moeten zij zich houden aan de GDPR-wetgeving.