Juridische vraag: wanneer valt site onder cookiewet?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Ik vroeg me af wanneer een website nu wel of niet onder de cookiewet valt. Wat is beslissend: de extensie (.nl of .com), de taal, waar de server staat of iets anders?
Antwoord: Sinds enige tijd geldt de zogeheten cookiewet. Een ietwat misleidende naam, want het gaat niet alleen over cookies in die wet. Elk lezen of schrijven van data op randapparatuur van eindgebruikers is verboden, tenzij daar toestemming voor is gegeven of dit noodzakelijk is voor een door de gebruiker gewenste dienst.
De cookiewet komt uit Europa maar is omgezet in een Nederlandse wet. En daar is ook nog eens een Nederlands sausje overheen gedaan om het privacytechnisch net wat strenger te krijgen. Zo is het bij ons verplicht om expliciet toestemming te vragen, terwijl je in Engeland mag volstaan met "hoi wij zetten cookies, wilt u dat niet dan moet u dat even uitzetten".
Je valt onder de Nederlandse wet wanneer je je met je website "richt op Nederland". Daar is niet één criterium voor. Je moet de gehele website en alle bijkomstige omstandigheden bekijken en dan een inschatting maken. De Nederlandse taal is niet genoeg (want België), maar onze taal plus iDeal-betalingen plus de tekst "gratis levering in heel Nederland" zou ik wel genoeg vinden.
Ook als de extensie .com was en de servers in zeg Duitsland staan. Niemand kan met droge ogen beweren dat Bol.com een buitenlandse website is. En voor Facebook durf ik die discussie ook wel aan, met hun Nederlandstalige interface en marketing alhier.
Omgekeerd valt een Engelstalige .com site met een 1-800 nummer en prijzen in dollars niet onder de Nederlandse wet, ook niet als ze zeggen "worldwide shipping, ask for rates" of Nederland hebben staan in die bekende dropdown van drie kilometer (want stel je hebt een keer een Afghaan met internet).
Bovenstaande is hoe het Europese Hof van Justitie de regels invult. De OPTA heeft voor de cookiewet echter nog een extra argument gevonden: in de cookiewet staat "degene die gegevens wil lezen dan wel opslaan", en dat geldt dus zodra het randapparaat in Nederland staat, ongeacht waar "degene" gevestigd is en ongeacht of hij zich op Nederland richt zoals het Hof dat bedoelt. Dus ook Amazon.com moet zich aan de Nederlandse cookiewet houden. Of dát opgaat zal de rechter moeten beslissen, en dat zal nog wel even duren want ik zie de OPTA niet snel Amazon een boete opleggen hier.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Mag dat? Lijkt me in principe niet, dan is die hele wetgeving waardeloos. Aan de andere kant heb je denk ik geen "recht" op het bezoeken van een website.
Voorbeeld: stel dat ik op zo'n buitenlandse site een blog of forum aanmaak in het Nederlands, terwijl de host zelf niet de Nederlandse taal ondersteunt. Ik richt mij ook tot het Nederlandse publiek, maar de webhost plaatst cookies voor hun advertenties, en ik heb geen mogelijkheid om dit op enige wijze te beinvloeden. Ik moet mij aan de wet houden maar kan dat niet met deze host. De host hoeft zich niet aan de wet te houden want ze richten zich niet specifiek op Nederlanders. Dus hoe moet dat dan?
Lijkt mij tenminste, maar laat ik toch maar even Arnoud's antwoord afwachten.)
In 11.7a [1] lees ik:
"[...] een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker:"
[1] http://wetten.overheid.nl/cgi-bin/deeplink/law1/bwbid=BWBR0009950/article=11.7a
inmiddels ben ik op verschillende website al verschillende manieren tegen gekomen waarbij website omspringen met de "cookiewetgeving". Zo ook deze variant:
"Door gebruik te maken van de website gaat u akkoord"
Terwijl deze melding pas in beeld verschijnt nadat de website is ingeladen. In mijn optiek wordt hiermee de gebruiker het onmogelijk gemaakt om eventueel te weigeren en is er geen sprake van een keuze moment.
ik vraag me dan ook af of de dit een rechtsgeldige wijze is om iemand akkoord te laten gaan met de voorwaarde.
forum.fok.nl/
"Sorry dat we je zo bruut lastigvallen. De overheid wil echter graag dat we je melden dat we op FOK.nl cookies gebruiken. Met het drukken op de groene knop hieronder sluit je deze melding en ga je akkoord met het ontvangen van cookies en bezoeken van FOK.nl. Scroll omlaag om hier meer over te lezen. Veel plezier op FOK.nl.
Je ontvangt deze melding maar één keer per browser. In geval van problemen kun je mailen naar itbeheer[at]fok.nl
DEZE MELDING SLUITEN EN NIET MEER WEERGEVEN
of klik hier om verder te gaan met cookies"
Ze stellen dat de overheid graag wil dat het gemeld wordt, terwijl er juist individuele toestemming nodig is.
Ook leuk dat ze op het eind je twee keuzes geven, duidelijk bedoeld voor mensen die niet lezen en lekker doorklikken:
DEZE MELDING SLUITEN EN NIET MEER WEERGEVEN (en daarmee cookies accepteren)
of klik hier om verder te gaan met cookies (hier mag je ook op klikken, en cookies accepteren)
Dwaling?
@WorkshopAlex: In die situatie is het jouw site, en als die zich op Nederland richt moet jij je aan de Nederlandse wet houden. Dat je dat niet kunt, is jouw probleem. Je kunt dan dus niet met Wordpress.com werken.
@Predjuh: Het is niet legaal om te zeggen "door deze site te gebruiken gaat u akkoord met cookies". De toestemming moet expliciet verkregen worden. Er moet dus iets te klikken, aanvinken of iets dergelijks zijn.
Mag dat? Lijkt me in principe niet, dan is die hele wetgeving waardeloos."
Hoezo, als een bedrijf zichzelf in de vingers wil snijden door op die manier klanten te verliezen, dan heeft de wetgever daar toch weinig mee te maken ? Jij bent niet verplicht hun website te gebruiken, of artikelen bij hen te bestellen, en er worden op deze manier zoals de wet voorschrijft geen cookies geplaatst zonder jouw toestemming ?
Omdat de uitkomst dan exact hetzelfde is als zonder cookie-wetgeving. Een website met cookies, of niets.
Ik had uit het NOS-journaal destijds vernomen dat de wet toestemming vereist van de eindgebruiker. Dat is iets anders dan het gebruik van cookies melden. Dan hadden ze de wetgeving beter kunnen omkeren, en de eindgebruiker vereisen cookies te accepteren, of anders geen website. Want daar komt het dan op neer.
....en daar ben ik weer. Je hebt helemaal gelijk (maar dat wist je natuurlijk al), Juist omdat de huidige wet een aanscherping is van eerdere wetgeving, en gaat van een informatieplicht naar toestemmingsplicht, leek het mij vreemd dat zonder toestemming, een site zich simpelweg op slot gooit.
Op de website van de opta staat in het FAQ document cookiewetgeving:
Q: Mag ik de toegang tot mijn website ontzeggen aan mensen die geen toestemming geven?
Als een gebruiker geen toestemming geeft voor het plaatsen van een cookie is het mogelijk dat een
website niet goed werkt. Het is voor een website niet verplicht een gebruiker toegang te geven en die
toegang kan afhankelijk worden gemaakt van het accepteren van een cookie.
Ik blijf het een vreemd idee vinden dat deze wetgeving het toestemming moeten vragen verplicht stelt, maar
dat een website in de praktijk gewoon alleen draait voor de mensen die daarmee akkoord gaan.
(Vrijwel iedereen dus, immers slikken of stikken.)
@Predjuh: Het is niet legaal om te zeggen "door deze site te gebruiken gaat u akkoord met cookies". De toestemming moet expliciet verkregen worden. Er moet dus iets te klikken, aanvinken of iets dergelijks zijn.
Bedankt voor je antwoord, ik vermoedde al dat dat niet helemaal de juiste manier is ....
dat een website in de praktijk gewoon alleen draait voor de mensen die daarmee akkoord gaan.
(Vrijwel iedereen dus, immers slikken of stikken.)
- Waar moet ik toestemming voor vragen?
In principe alle niet functionele cookies. In de praktijk zijn dat vaak cookies van derden waaronder Google Analytics, Facebook like buttons, Google + buttons, Adsense en Twitter.
- Aan wie moet ik toestemming vragen?
De Nederlandse wet geldt in principe voor iedereen die de site aan Nederlanders aanbied. Je moet dus alle Nederlanders om toestemming vragen. Een Amerikaanse bezoeker behoeft geen toestemming. Richt je je op andere landen dan kan daar natuurlijk andere wetgeving gelden.
- Moeten buitenlandse bedrijven ook toestemming vragen?
Als ze zich richten op het Nederlandse publiek wel, officieel zouden Google en Facebook dus gewoon zelf toestemming moeten vragen.
- Is alleen toestemming vragen voldoende?
Nee, denk er ook aan dat u de toestemming moet loggen en moet documenteren dat de bezoeker toestemming heeft gegeven.
Ter duidelijkheid, ben geen jurist, maar bovenstaande is wat ik met het lezen van veel stof rondom de cookiewet heb geconcludeerd.
Lijkt mij als je iDeal gebruikt en het moet melden dat dat an ook geld voor DigiD.
Vind het maar een vreemde wet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
