Weblog-post bekijken

01-12-2009 Weblog

Webshop en wet: een eerste blik op de nieuwe cookie-regels

Eerder deze maand werd door de EU een aantal nieuwe regels aangenomen, die de rechten van online consumenten beter moeten beschermen. De meest opvallende is de toegenomen aandacht voor cookies, die veel websites meestal ongemerkt op de computer van de bezoeker opslaan. Voor webshops gebeurt dat in de meeste gevallen om de afzonderlijke klanten tijdens hun bezoek te volgen, en om bijvoorbeeld bij te houden welke producten zij in hun winkelwagen stopten. De nieuwe regels mikken op een nadrukkelijke(re) toestemming van de bezoeker om een cookie te plaatsen; een potentiële drempel die een webwinkelier niet graag opwerpt. Huisjurist Arnoud Engelfriet neemt de nieuwe cookie-regel speciaal voor Shopner onder de loep.

Grote veranderingen

Onlangs is een heel pakket nieuwe Europese regels aangenomen. De complete tekst vind je hier, maar dit persbericht zegt er ook iets over. Deze regels gaan grote veranderingen veroorzaken in het telecommunicatierecht, en internetdiensten vallen daar meestal ook onder. In één van deze nieuwe regels staat dat je alleen cookies mag aanbieden als:

the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia about the purposes of the processing.

'Consent' is een heel stuk sterker dan 'information', de eis die er vroeger stond. Je kunt als website dus niet meer volstaan met een standaardriedel “Wat zijn cookies en waarom slaan we die op op je PC” in je privacyverklaring. Je moet nu ook toestemming hebben om dit te mogen doen. En het aanbieden van een privacystatement is onvoldoende om toestemming te mogen claimen.

Floepvensters

Het lijkt me niet dat iemand er echt op zit te wachten dat iedere website met floepvensters (popups) of andere technieken moet werken om te vragen of er cookies op de PC gezet mogen worden. Het is helaas nog te vroeg om met zekerheid te kunnen zeggen hoe deze regel uit zal pakken. Wel staat er een escape clausule:

Where it is technically possible and effective, in accordance with the relevant provisions of Directive 95/46/EC, the user’s consent to processing may be expressed by using the appropriate settings of a browser or other application.

Dit lijkt te betekenen (je weet het nooit met dat bureaucratisch-juridische taaltje) dat een browserinstelling van bijvoorbeeld 'Accepteer alle cookies' mag worden geïnterpreteerd als toestemming om cookies op te mogen slaan. Ofwel: wie zijn browser openzet voor cookies, moet niet zeuren als er cookies langskomen.

Het is mogelijk dat het dus allemaal met een sisser afloopt omdat moderne browsers dit allang doen. Maar het zou kunnen dat je als website eerst moet controleren wat voor browser iemand heeft, en als dat een rare oude browser is dan moet je mensen misschien toch een toestemmingsformulier onder de neus voor de muis schuiven.

Arnoud Engelfriet is ICT-jurist en partner bij juridisch adviesbureau ICTRecht.nl in Amsterdam. Hij adviseert over webwinkels, e-commerce, licenties en andere aspecten van ICT- en internetrecht.

Trefwoorden: wet, europese unie, cookie, privacyverklaring, privacy statement