image

Juridische vraag: wanneer valt site onder cookiewet?

woensdag 15 augustus 2012, 07:25 door Arnoud Engelfriet, 18 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Ik vroeg me af wanneer een website nu wel of niet onder de cookiewet valt. Wat is beslissend: de extensie (.nl of .com), de taal, waar de server staat of iets anders?

Antwoord: Sinds enige tijd geldt de zogeheten cookiewet. Een ietwat misleidende naam, want het gaat niet alleen over cookies in die wet. Elk lezen of schrijven van data op randapparatuur van eindgebruikers is verboden, tenzij daar toestemming voor is gegeven of dit noodzakelijk is voor een door de gebruiker gewenste dienst.

De cookiewet komt uit Europa maar is omgezet in een Nederlandse wet. En daar is ook nog eens een Nederlands sausje overheen gedaan om het privacytechnisch net wat strenger te krijgen. Zo is het bij ons verplicht om expliciet toestemming te vragen, terwijl je in Engeland mag volstaan met "hoi wij zetten cookies, wilt u dat niet dan moet u dat even uitzetten".

Je valt onder de Nederlandse wet wanneer je je met je website "richt op Nederland". Daar is niet één criterium voor. Je moet de gehele website en alle bijkomstige omstandigheden bekijken en dan een inschatting maken. De Nederlandse taal is niet genoeg (want België), maar onze taal plus iDeal-betalingen plus de tekst "gratis levering in heel Nederland" zou ik wel genoeg vinden.

Ook als de extensie .com was en de servers in zeg Duitsland staan. Niemand kan met droge ogen beweren dat Bol.com een buitenlandse website is. En voor Facebook durf ik die discussie ook wel aan, met hun Nederlandstalige interface en marketing alhier.

Omgekeerd valt een Engelstalige .com site met een 1-800 nummer en prijzen in dollars niet onder de Nederlandse wet, ook niet als ze zeggen "worldwide shipping, ask for rates" of Nederland hebben staan in die bekende dropdown van drie kilometer (want stel je hebt een keer een Afghaan met internet).

Bovenstaande is hoe het Europese Hof van Justitie de regels invult. De OPTA heeft voor de cookiewet echter nog een extra argument gevonden: in de cookiewet staat "degene die gegevens wil lezen dan wel opslaan", en dat geldt dus zodra het randapparaat in Nederland staat, ongeacht waar "degene" gevestigd is en ongeacht of hij zich op Nederland richt zoals het Hof dat bedoelt. Dus ook Amazon.com moet zich aan de Nederlandse cookiewet houden. Of dát opgaat zal de rechter moeten beslissen, en dat zal nog wel even duren want ik zie de OPTA niet snel Amazon een boete opleggen hier.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (18)
15-08-2012, 09:08 door Anoniem
Wat ik me afvraag, is hoe het nu precies zit met die toestemming. Ik zie veel sites die geen toestemming vragen, maar in principe zeggen: Wij plaatsen cookies, wilt u dit niet, dan is dat uw goed recht, maar dan geen toegang voor u.
Mag dat? Lijkt me in principe niet, dan is die hele wetgeving waardeloos. Aan de andere kant heb je denk ik geen "recht" op het bezoeken van een website.
15-08-2012, 09:36 door Anoniem
Wis al je cookies met het afsluiten van je browser, dan ben je er toch ook?
15-08-2012, 10:19 door Anoniem
Moet ik met mijn Nederlandse site, die ook beschikbaar is in het Engels, nu ook toestemming vragen aan Amerikaanse bezoekers van mijn website?
15-08-2012, 10:25 door Wim ten Brink
Maar hoe zit het eigenlijk met b.v. een Engelstalige website waar bezoekers hun eigen sites kunnen aanmaken in hun eigen taal? Denk bijvoorbeeld aan het voormalige Geocities of bloghost Wordpress. Okay, Wordpress.com heeft weer een Nederlandse interface, en valt dus eigenlijk wel onder de cookie-wet. Maar wat als Wordpress zelf geen Nederlandse interface had, maar er bloggers zijn die van hun host gebruik maken om Nederlandstalige blogs te maken? (Dus geen self-hosting zoals Arnouds blog, maar op de servers van Wordpress.)

Voorbeeld: stel dat ik op zo'n buitenlandse site een blog of forum aanmaak in het Nederlands, terwijl de host zelf niet de Nederlandse taal ondersteunt. Ik richt mij ook tot het Nederlandse publiek, maar de webhost plaatst cookies voor hun advertenties, en ik heb geen mogelijkheid om dit op enige wijze te beinvloeden. Ik moet mij aan de wet houden maar kan dat niet met deze host. De host hoeft zich niet aan de wet te houden want ze richten zich niet specifiek op Nederlanders. Dus hoe moet dat dan?
15-08-2012, 10:28 door Morbius
Dan zou Wordpress de aanbieder van de diensten zijn, en, zoals in jouw voorbeeld, zich niet specifiek richten op Nederland. En dus niet onder de wetgeving vallen.

Lijkt mij tenminste, maar laat ik toch maar even Arnoud's antwoord afwachten.)
15-08-2012, 10:44 door Anoniem
Waar staat die quote "degene die gegevens wil lezen dan wel opslaan" in de wet?

In 11.7a [1] lees ik:

"[...] een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker:"


[1] http://wetten.overheid.nl/cgi-bin/deeplink/law1/bwbid=BWBR0009950/article=11.7a
15-08-2012, 11:05 door Wim ten Brink
Ik denk dat dat juist is. Maar ik als gebruiker val weer wel onder de Nederlandse wet, en daarmee dus ook het blog/forum/site dat ik op die buitenlandse server aanmaak. Strict genomen zou ik dan die site niet kunnen gebruiken...
15-08-2012, 11:11 door Preddie
Beste Arnoud, bij deze weer hartelijk dank voor het geen wat je weer voor ons geschreven hebt.

inmiddels ben ik op verschillende website al verschillende manieren tegen gekomen waarbij website omspringen met de "cookiewetgeving". Zo ook deze variant:

"Door gebruik te maken van de website gaat u akkoord"

Terwijl deze melding pas in beeld verschijnt nadat de website is ingeladen. In mijn optiek wordt hiermee de gebruiker het onmogelijk gemaakt om eventueel te weigeren en is er geen sprake van een keuze moment.

ik vraag me dan ook af of de dit een rechtsgeldige wijze is om iemand akkoord te laten gaan met de voorwaarde.
15-08-2012, 11:38 door Morbius
Mooi voorbeeld hiervan:

forum.fok.nl/

"Sorry dat we je zo bruut lastigvallen. De overheid wil echter graag dat we je melden dat we op FOK.nl cookies gebruiken. Met het drukken op de groene knop hieronder sluit je deze melding en ga je akkoord met het ontvangen van cookies en bezoeken van FOK.nl. Scroll omlaag om hier meer over te lezen. Veel plezier op FOK.nl.

Je ontvangt deze melding maar één keer per browser. In geval van problemen kun je mailen naar itbeheer[at]fok.nl


DEZE MELDING SLUITEN EN NIET MEER WEERGEVEN


of klik hier om verder te gaan met cookies"

Ze stellen dat de overheid graag wil dat het gemeld wordt, terwijl er juist individuele toestemming nodig is.

Ook leuk dat ze op het eind je twee keuzes geven, duidelijk bedoeld voor mensen die niet lezen en lekker doorklikken:

DEZE MELDING SLUITEN EN NIET MEER WEERGEVEN (en daarmee cookies accepteren)

of klik hier om verder te gaan met cookies (hier mag je ook op klikken, en cookies accepteren)

Dwaling?
15-08-2012, 11:41 door Arnoud Engelfriet
@Anoniem 9:08: Ja, je mag bezoekers weigeren als die cookies weigeren. Je moet wel vooraf melden dat dat de consequentie zal zijn. Hoezo maakt dat de wet waardeloos? Die zegt alleen dat je geen gegevens op je harde schijf mag krijgen zonder jouw toestemming.

@WorkshopAlex: In die situatie is het jouw site, en als die zich op Nederland richt moet jij je aan de Nederlandse wet houden. Dat je dat niet kunt, is jouw probleem. Je kunt dan dus niet met Wordpress.com werken.

@Predjuh: Het is niet legaal om te zeggen "door deze site te gebruiken gaat u akkoord met cookies". De toestemming moet expliciet verkregen worden. Er moet dus iets te klikken, aanvinken of iets dergelijks zijn.
15-08-2012, 12:00 door Anoniem
"Wat ik me afvraag, is hoe het nu precies zit met die toestemming. Ik zie veel sites die geen toestemming vragen, maar in principe zeggen: Wij plaatsen cookies, wilt u dit niet, dan is dat uw goed recht, maar dan geen toegang voor u.
Mag dat? Lijkt me in principe niet, dan is die hele wetgeving waardeloos."

Hoezo, als een bedrijf zichzelf in de vingers wil snijden door op die manier klanten te verliezen, dan heeft de wetgever daar toch weinig mee te maken ? Jij bent niet verplicht hun website te gebruiken, of artikelen bij hen te bestellen, en er worden op deze manier zoals de wet voorschrijft geen cookies geplaatst zonder jouw toestemming ?
15-08-2012, 12:08 door Anoniem
Door Arnoud Engelfriet: @Anoniem 9:08: Ja, je mag bezoekers weigeren als die cookies weigeren. Je moet wel vooraf melden dat dat de consequentie zal zijn. Hoezo maakt dat de wet waardeloos? Die zegt alleen dat je geen gegevens op je harde schijf mag krijgen zonder jouw toestemming.

Omdat de uitkomst dan exact hetzelfde is als zonder cookie-wetgeving. Een website met cookies, of niets.

Ik had uit het NOS-journaal destijds vernomen dat de wet toestemming vereist van de eindgebruiker. Dat is iets anders dan het gebruik van cookies melden. Dan hadden ze de wetgeving beter kunnen omkeren, en de eindgebruiker vereisen cookies te accepteren, of anders geen website. Want daar komt het dan op neer.
15-08-2012, 13:03 door Arnoud Engelfriet
@Anoniem 12:08: De wet is bedoeld om het stiekem plaatsen van cookies te voorkomen. Het verbieden van cookies gaat nog een stap verder. Nu kan een website zelf besluiten dat ze cookies wel of neit nodig hebben. Een blog zou bv. best zonder Analytics kunnen werken, en dan hoeft ze geen bezoekers uit te sluiten.
15-08-2012, 14:47 door Anoniem
Door Arnoud Engelfriet: @Anoniem 12:08: De wet is bedoeld om het stiekem plaatsen van cookies te voorkomen. Het verbieden van cookies gaat nog een stap verder. Nu kan een website zelf besluiten dat ze cookies wel of neit nodig hebben. Een blog zou bv. best zonder Analytics kunnen werken, en dan hoeft ze geen bezoekers uit te sluiten.

....en daar ben ik weer. Je hebt helemaal gelijk (maar dat wist je natuurlijk al), Juist omdat de huidige wet een aanscherping is van eerdere wetgeving, en gaat van een informatieplicht naar toestemmingsplicht, leek het mij vreemd dat zonder toestemming, een site zich simpelweg op slot gooit.

Op de website van de opta staat in het FAQ document cookiewetgeving:

Q: Mag ik de toegang tot mijn website ontzeggen aan mensen die geen toestemming geven?
Als een gebruiker geen toestemming geeft voor het plaatsen van een cookie is het mogelijk dat een
website niet goed werkt. Het is voor een website niet verplicht een gebruiker toegang te geven en die
toegang kan afhankelijk worden gemaakt van het accepteren van een cookie.

Ik blijf het een vreemd idee vinden dat deze wetgeving het toestemming moeten vragen verplicht stelt, maar
dat een website in de praktijk gewoon alleen draait voor de mensen die daarmee akkoord gaan.
(Vrijwel iedereen dus, immers slikken of stikken.)
15-08-2012, 16:15 door Preddie
Door Arnoud Engelfriet:
@Predjuh: Het is niet legaal om te zeggen "door deze site te gebruiken gaat u akkoord met cookies". De toestemming moet expliciet verkregen worden. Er moet dus iets te klikken, aanvinken of iets dergelijks zijn.


Bedankt voor je antwoord, ik vermoedde al dat dat niet helemaal de juiste manier is ....
16-08-2012, 09:57 door Anoniem
Door Anoniem: Ik blijf het een vreemd idee vinden dat deze wetgeving het toestemming moeten vragen verplicht stelt, maar
dat een website in de praktijk gewoon alleen draait voor de mensen die daarmee akkoord gaan.
(Vrijwel iedereen dus, immers slikken of stikken.)

De vraag is natuurlijk of je op zo'n site wilt, wanneer die het slikken of stikken principe hanteert. Voor sites die niet van een leverancier van mij zijn, zal het toch echt stikken zijn. Wanneer iedereen dat zou doen, zouden ze zich echt wel aanpassen, omdat ze de bezoekersaantallen achteruit zien hollen.
23-08-2012, 12:33 door Anoniem
Via 123privacy.nl ontvangen we veel vragen, antwoord op een paar veelgestelde vragen:

- Waar moet ik toestemming voor vragen?
In principe alle niet functionele cookies. In de praktijk zijn dat vaak cookies van derden waaronder Google Analytics, Facebook like buttons, Google + buttons, Adsense en Twitter.

- Aan wie moet ik toestemming vragen?
De Nederlandse wet geldt in principe voor iedereen die de site aan Nederlanders aanbied. Je moet dus alle Nederlanders om toestemming vragen. Een Amerikaanse bezoeker behoeft geen toestemming. Richt je je op andere landen dan kan daar natuurlijk andere wetgeving gelden.

- Moeten buitenlandse bedrijven ook toestemming vragen?
Als ze zich richten op het Nederlandse publiek wel, officieel zouden Google en Facebook dus gewoon zelf toestemming moeten vragen.

- Is alleen toestemming vragen voldoende?
Nee, denk er ook aan dat u de toestemming moet loggen en moet documenteren dat de bezoeker toestemming heeft gegeven.


Ter duidelijkheid, ben geen jurist, maar bovenstaande is wat ik met het lezen van veel stof rondom de cookiewet heb geconcludeerd.
23-08-2012, 15:34 door Anoniem
Wat ik mij dan ook afvraag is, wanneer je zoekt bij overheid.nl, dan krijg ik ook cookies. hoeft de overheid hier geen toestemming voor te vragen? Belastingdienst, ook zo'n site.

Lijkt mij als je iDeal gebruikt en het moet melden dat dat an ook geld voor DigiD.

Vind het maar een vreemde wet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.