Cookies

Waar kan ik het omstandig omschreven standpunt van de Autoriteit vinden?

De aanbeveling uit eigen beweging van de Autoriteit nr. 01/2015 van 4 februari 2015 over het gebruik van cookies vind u hier terug . De eigenlijke aanbeveling wordt verder aangevuld met nog drie meer gedetailleerde bijlagen.

Wat is een cookie?

Oorspronkelijk was een cookie een minibestandje dat werd opgeslagen op de werkpost van een websitebezoeker om de communicatie tussen het apparaat van de bezoeker en de server van de website te vergemakkelijken. Het cookie kreeg in zijn strikte betekenis een standaarddefinitie (RFC 6262 van Internet Engineering Task Force) en vervult de rol van een getuige van een transactie door bepaalde informatie op te slaan.

Ondertussen worden de cookies, dankzij de technologische evolutie, aangewend voor andere doeleinden: prestatievermogen van een server, kijkdichtheid van de website, statistieken, geheugenopslag van de voorkeuren, gerichte reclame.

De rechtsbeginselen blijven van toepassing op alle bestanden die gegevens opslaan die worden overgedragen of gegenereerd bij de uitwisseling van gegevens tussen een website en de bezoekers daarvan (ongeacht of deze gegevens worden opgeslagen op het werkstation van de bezoeker of op een server) en die informatie bieden over de context of de inhoud van de communicatie of over de vorm of de omstandigheden van de communicatie.

Met cookies kunnen persoonsgegevens worden verzameld wanneer ze direct of indirect met een identificeerbaar persoon in verband zijn gebracht, bijvoorbeeld via het IP-adres van het werkstation van de internetgebruiker.

Wat is het verband tussen cookies en de AVG?

Met cookies kunnen persoonsgegevens worden verzameld, want die gegevens zijn te verbinden met een IP-adres, het unieke nummer van het werkstation van de internetgebruiker die de website bezoekt. De verzamelde gegevens kunnen dus worden verbonden met een concrete persoon.

Wie is de verantwoordelijke voor de verwerking als er cookies worden gebruikt?

De verantwoordelijke voor de verwerking is meestal de eigenaar van de website (domein of sub-domein of meer in het algemeen een deel van de website) die de functionaliteiten van de website of een deel van de website bepaalt.  Onder bepaalde omstandigheden kunnen ook alle andere actoren verantwoordelijke voor de verwerking worden en verplicht worden hun verantwoordelijkheid te nemen (de uitgever van en website, de administrator of de websitebeheerder, de webhost, de adverteerder op een website of het sociale netwerk dat op de website aanwezig is).

Wat is een cookieverklaring (of beveiligings- en privacyverklaring ten aanzien van cookies)?

Een beveiligings- en privacyverklaring is een document dat aan internetgebruikers ter beschikking wordt gesteld door degenen die verantwoordelijk zijn voor websites die gebruikmaken van cookies en waarin staat wat voor soort cookies op hun apparaat wordt geplaatst, op welke manier de met behulp van deze cookies verzamelde gegevens worden gebruikt, aan welke derden de gegevens worden verstrekt, enzovoort.

Wat is in België het wettelijk kader dat het gebruik van cookies regelt?

Voor zover het plaatsen van cookies leidt tot het verzamelen van persoonsgegevens en de mogelijk biedt ze te hergebruiken, is er sprake van “verwerking van persoonsgegevens” en moet de AVG worden nageleefd.

Een van de bepalingen van de AVG is dat het verzamelen (en hergebruiken) van persoonsgegevens moet zijn gebaseerd op een rechtsgrond. Wat betreft het gebruik van functionele cookies (die bedoeld zijn om voor een optimale navigatie te zorgen) kan deze rechtsgrond vaak zijn “dat het in het gerechtvaardigde belang is” van de internetgebruiker of van degene die verantwoordelijk is voor de website. Wat betreft het gebruik van niet-functionele cookies (die niet nodig zijn voor het goed functioneren van de website) is de enige geldige rechtsgrond de toestemming van de betreffende persoon.

De toestemming die internetgebruikers moeten geven voor het plaatsen (en raadplegen) van dit soort cookies is alleen geldig indien is voldaan aan de algemene voorwaarden voor rechtmatigheid van de toestemming zoals vastgelegd in de AVG.

  • De toestemming moet het resultaat zijn van een actie van de gebruiker.

Een actie kan een klik zijn of het scrollen om een toets te activeren. De toestemming is dus niet geldig als die wordt verkregen door middel van een vakje dat aangevinkt is en dat de gebruiker moet afvinken om zijn toestemming te weigeren.

  • De toestemming moet geïnformeerd zijn.

Dit impliceert dat de actie die van de gebruiker wordt gevraagd, moet worden voorafgegaan door duidelijke en volledige informatie over het geplaatste soort cookies en de gevolgen van de plaatsing van die cookies in termen van toekomstig gebruik van de persoonsgegevens van de surfer.

  • De toestemming moet specifiek zijn.

Het feit dat een gebruiker bijvoorbeeld een knop activeert om deel te nemen aan een spel, een aankoop te bevestigen of algemene voorwaarden te aanvaarden, volstaat niet om aan te nemen dat hij geldig zijn toestemming heeft gegeven voor de plaatsing van cookies.

  • De toestemming moet vrij zijn en zonder enige dwang.

Deze vereiste impliceert met name dat de gebruiker geen diensten of voordelen worden ontzegd omdat hij geen toestemming heeft gegeven voor het gebruik van niet-functionele cookies.

Wanneer moet bij het gebruik van cookies de voorafgaande toestemming worden verkregen van de bezoeker?

De toestemming van de bezoeker is noodzakelijk als niet alleen gebruik wordt gemaakt van functionele cookies (vgl. de FAQ “Voor welke cookies is geen voorafgaande toestemming van de bezoeker vereist?”).

Voor welke cookies is geen voorafgaande toestemming van de bezoeker vereist?

Voor functionele cookies is geen voorafgaande toestemming van de bezoeker vereist. Een cookie wordt aangemerkt als functioneel indien de cookie noodzakelijk is voor de communicatie of voor het verlenen van een dienst waar de bezoeker van de website expliciet om heeft gevraagd (bijvoorbeeld cookies waarmee een formulier of winkelwagentje kan worden bewaard of weergegeven). Er wordt aangenomen dat de betreffende persoon impliciet toestemming geeft voor dit soort cookies, op voorwaarde dat deze persoon wordt gemeld dat ze worden gebruikt en dat ze niet langer dan nodig worden bewaard of door de bezoeker zelf kunnen worden gewist. Voor het plaatsten van statistische cookies om informatie te verkrijgen over het publiek dat de website bezoekt en de manier waarop bezoekers op de website terechtkomen (analyse van de navigatie en het soort publiek) is wel voorafgaande toestemming vereist.

Voorbeelden van functionele cookies:

  • technische cookies: cookies die de weergave mogelijk maken van indicaties die nodig zijn bij versleutelde gegevensuitwisseling en van de identificatoren van een transactie
  • cookies ten aanzien van de inhoud zelf van een transactie: cookies waarmee de keuze van een taal dan wel de inhoud van een formulier of een winkelwagentje kan worden onthouden en gereproduceerd.

 

Welke zijn de kenmerken van een verplichte toestemming bij het gebruik van cookies?

Deze toestemming voldoet alleen aan de wettelijke voorwaarden indien de toestemming uitdrukking geeft aan de wil die de betreffende persoon kenbaar heeft gemaakt door middel van een uitdrukkelijke handeling zoals het aanvinken van een hokje of het activeren van een knop door te swipen.

Geldige toestemming is vrij, specifiek, geïnformeerd, van tevoren gegeven en onbetwijfelbaar/zeker:

  • Vrij: vrij van elke dwang of het vooruitzicht van een “beloning” of verlies van een voordeel: de gebruiker moet echt een keuze kunnen maken zonder dat het niet geven van zijn of haar toestemming tot negatieve consequenties leidt.
  • Specifiek: de toestemming moet zijn gegeven voor een duidelijk omlijnde (specifieke) en nauwkeurig vermelde gegevensverwerking. De toestemming mag niet zijn gegeven voor het “gebruik” van cookies zonder meer, zonder verdere precisering van het soort gegevens dat met de cookies wordt verzameld en van de manier waarop die gegevens worden gebruikt.
  • Geïnformeerd: de toestemming mag pas zijn gegeven nadat precies is gemeld wat voor soort cookies er wordt gebruikt, welke gegevens worden verzameld en wat ermee wordt gedaan.
  • Voorafgaand: de toestemming moet zijn gegeven voordat er cookies worden geplaatst.
  • Onbetwijfelbaar/zeker: bij de manier waarop toestemming wordt verkregen mag er geen enkele twijfel bestaan over de intentie van de gebruiker om zijn toestemming te geven. Dat de gebruiker verder gaat met navigeren vormt geen geldige toestemming. En als de gebruiker niets doet of passief is, kan dat evenmin worden beschouwd als het geven van geldige toestemming.

In de praktijk moet degene die verantwoordelijk is voor de website kunnen aantonen, aan de hand van trackinggegevens van de wilsuiting (logbestanden of andere trackingbestanden van de betreffende transacties), dat de betreffende persoon zijn wil kenbaar heeft gemaakt.

Op welke manier moet de website de toestemming verkrijgen van de bezoeker als er gebruik wordt gemaakt van cookies?

Het gedeelte voor informatieverstrekking en het verkrijgen van voorafgaande toestemming moet een duidelijk, goed zichtbaar en begrijpelijk bericht bevatten waarin het gebruik van cookies wordt uitgelegd (welke soorten cookies er worden gebruikt en met welk doel, welke gegevens er met de cookies worden verzameld en hoe die gegevens worden gebruikt). De bezoeker moet de mogelijkheid hebben om alle cookies te accepteren of te weigeren of om dat bij bepaalde soorten cookies te doen, bij voorkeur per soort cookie (op grond van het doel ervan), met name als de website gebruikmaakt van cookies voor gerichte reclame (reclamecookies en trackingcookies; cookies die worden gebruikt voor direct marketing).

Zolang de bezoeker zijn acceptatie nog niet kenbaar heeft gemaakt met een actieve handeling, moet het bericht zichtbaar blijven.

Kan men aannemen dat een gebruiker die verdergaat met surfen op een website toestemming heeft gegeven voor het gebruik van cookies?

Neen, verdergaan met surfen is geen geldige toestemming, noch voor de inzameling van persoonsgegevens via niet-functionele cookies, noch het hergebruik van die persoonsgegevens.

Om geldig te zijn, moet de toestemming die de gebruikers moeten geven vóór de verantwoordelijken van sites dit soort cookies mogen plaatsen (en de via deze cookies ingezamelde gegevens mogen gebruiken) inderdaad beantwoorden aan de algemene voorwaarden van de rechtmatigheid van de toestemming waarin de AVG voorziet.

Om geldig te zijn, moet een toestemming voldoen aan de volgende voorwaarden:

  • De toestemming moet het resultaat zijn van een actie van de gebruiker.

Een actie kan een klik zijn of het scrollen om een toets te activeren. De toestemming is dus niet geldig als die wordt verkregen door middel van een vakje dat aangevinkt is en dat de gebruiker moet afvinken om zijn toestemming te weigeren.

  • De toestemming moet geïnformeerd zijn.

Dit impliceert dat de actie die van de gebruiker wordt gevraagd, moet worden voorafgegaan door duidelijke en volledige informatie over het geplaatste soort cookies en de gevolgen van de plaatsing van die cookies in termen van toekomstig gebruik van de persoonsgegevens van de surfer.

  • De toestemming moet specifiek zijn.

Het feit dat een gebruiker bijvoorbeeld een knop activeert om deel te nemen aan een spel, een aankoop te bevestigen of algemene voorwaarden te aanvaarden, volstaat niet om aan te nemen dat hij geldig zijn toestemming heeft gegeven voor de plaatsing van cookies.

  • De toestemming moet vrij zijn en zonder enige dwang.

Deze vereiste impliceert met name dat de gebruiker geen diensten of voordelen worden ontzegd omdat hij geen toestemming heeft gegeven voor het gebruik van niet-functionele cookies.

Kan de manier waarop de internetgebruiker de parameters voor cookies instelt, gelden als een toestemming?

Er kan uit de ingestelde parameters in de browser van de gebruiker niet worden opgemaakt dat hij een keuze heeft gemaakt om cookies te aanvaarden behalve als hij heeft beslist alle cookies uit te sluiten. De parameters laten immers niet toe een keuze te nuanceren naargelang de doeleinden van de cookies.

Welke rechten heeft een bezoeker van een website die cookies gebruikt?

De bezoeker heeft bovenal het recht om vanaf het moment dat hij een website bezoekt te worden geïnformeerd over de manier waarop zijn persoonsgegevens worden verwerkt: welke soorten gegevens er worden opgeslagen en hoe de verschillende soorten gegevens worden gebruikt, hoelang de verschillende soorten gegevens worden bewaard, hoe ze kunnen worden gewist en op welke manier bezwaar kan worden gemaakt tegen verwerking ervan, aan welke derden ze eventueel worden verstrekt, enzovoort.

Het gebruik van cookies of andere metabestanden die als niet-essentieel worden beschouwd is alleen toegestaan als de bezoeker daarvoor zijn geïnformeerde, vrije, specifieke, onbetwijfelbare en voorafgaande toestemming heeft gegeven.

De bezoeker moet zijn toestemming gratis en op eenvoudige wijze kunnen intrekken.

Omdat het in de praktijk lastig blijkt te zijn gebruik te maken van het recht op inzage ten aanzien van cookies, moet worden uitgelegd op welke manier cookies kunnen worden gewist.

Welke middelen heeft de websitebezoeker om de cookies te beperken, te vermijden of te wissen?
  • Navigeren in de incognitomodus

De bezoeker kan onder meer navigeren in de “incognitomodus” die beschikbaar is in de meestgebruikte browsers voor pc of mobiele apparaten (zoals Edge, Internet Explorer, Chrome, Firefox, Safari en Opera).

De navigatiegegevens (wachtwoord, cookies, formulieren, cache-inhoud en de verschillende geschiedenislijsten) worden in dat geval gewist wanneer u de browser sluit. Daarmee wordt dus voorkomen dat er trackinggegevens over uw surfgedrag achterblijven op uw computer (of mobiele apparaat) wanneer u stopt met internetten. Met de incognitomodus voorkomt u dus niet dat er tijdens het navigeren cookies worden geplaatst en gelezen, en evenmin worden de trackinggegevens gewist die na eerdere internetsessies zijn achtergebleven.

Daarvoor kunt u gebruikmaken van andere mogelijkheden die browsers bieden.

  • Configuratie-instellingen van de browser

In de configuratie-instellingen van zijn browser kan de gebruiker permanent toestemming geven voor het in de toekomst opslaan en lezen van cookies op zijn apparaat of dit permanent weigeren. Hoe specifiek die keuze kan zijn (cookies van derden, first-party cookies, bewaartermijn, enzovoort) hangt af van de gebruikte browser en het besturingssysteem.

De keuze heeft geen gevolgen voor informatie die reeds is opgeslagen, maar kan dat wel hebben voor de gegevens van de verbinding met bepaalde websites, waardoor bepaalde functies niet meer werken en opnieuw verbinding moet worden gemaakt met deze websites of opnieuw moet worden ingelogd.
De gebruiker kan echter eveneens in zijn configuratie-instellingen de navigatiegegevens wissen die reeds op zijn apparaat staan (waaronder cookies).

Afhankelijk van de browser is het mogelijk om gegevens te wissen op grond van ouderdom, aard en/of bezochte website. Het is niet bij alle browsers mogelijk om een gedetailleerd overzicht te krijgen van opgeslagen cookies en om ze afzonderlijk te verwijderen.

  • Installatie van extensies of add-ons

De gebruiker kan op zijn computer extensies en add-ons installeren die via zijn browser toegankelijk zijn om hem te helpen bij het beheren van cookies en andere trackers en om inbreuk op zijn privacy te voorkomen.

  • Gebruik van een browser die de privacy van de gebruiker beschermt

Op mobiele apparaten (Android en iOS) kan de gebruiker een browser installeren die zijn privacy beter beschermt (een privacy browser).

  • Aanvullende adviezen

Hoewel Flash Player steeds minder wordt gebruikt op het web, is het nuttig om te wijzen op het gebruik ervan op websites voor de weergave van multimedia-inhoud. De cookies die bij gebruik van Flash Player worden geplaatst zijn niet zichtbaar voor de browser, die ze dus niet kan beheren of wissen. Door de gebruikte technologie (local shared objects) zorgen deze cookies voor een verhoogd risico van inbreuk op de privacy van de gebruiker. U kunt de privacyvoorkeuren instellen via een specifieke applicatie die beschikbaar is op de website van Adobe.

Reclamenetwerken hebben samen het platform http://www.youronlinechoices.com opgezet. Via dit platform kunt u op een gecentraliseerde manier bepaalde voorkeuren beheren ten aanzien van reclame op basis van surfgedrag.

Welke verantwoordelijkheid draagt de eigenaar van een website die gebruik maakt van cookies?

De eigenaar van de website is ervoor verantwoordelijk dat de manier waarop zijn website cookies of metabestanden plaatst (en de manier waarop de door deze bestanden verzamelde gegevens vervolgens worden gebruikt) voldoet aan de reglementering. Tevens is hij verantwoordelijk voor de overgedragen en op het werkstation van de bezoeker opgeslagen gegevens, die op frauduleuze wijze door derden kunnen worden ingezien en gebruikt.

De eigenaar van de website moet tevens gepaste instructies geven aan iedereen die onder zijn verantwoordelijkheid valt.

Adverteerders en sociale netwerken zijn samen met de eigenaar van de website verantwoordelijk voor de manier waarop gegevens die afkomstig zijn van cookies worden gebruikt voor advertenties of plugins voor het delen van inhoud/tracking.

Welke verplichtingen heeft de website-eigenaar bij het gebruik van cookies?

Hij moet ervoor zorgen dat de cookies op een wettige manier door zijn website worden geplaatst, of het nu gaat om cookies die direct worden geplaatst of via reclamebedrijven, adverteerders of sociale media.

In dit verband moet hij de ontwerper en de beheerder van zijn website gepaste instructies geven.

Hij moet erop toezien dat de servicecontracten die worden gesloten met reclamenetwerken, adverteerders en sociale netwerken de vereiste garantie bieden dat de verplichtingen op het gebied van bescherming van persoonsgegevens worden nagekomen.

Hij moet de onbetwijfelbare, vrije, specifieke en geïnformeerde toestemming van de gebruiker verkrijgen voor het plaatsen van cookies en bij voorkeur de mogelijkheid bieden van een afzonderlijke keuze voor elk van de verschillende soorten cookies.

Hij moet zorgen voor een cookieverklaring die makkelijk toegankelijk is via een koppeling op de ontvangstpagina en waarin de bezoekers met name wordt gemeld welke soorten cookies worden geplaatst en met welke doel, aan welke derden hun gegevens eventueel worden verstrekt en hoe ze de trackinggegevens van hun bezoek aan de website kunnen wissen en ervoor kunnen zorgen dat ze er in de toekomst niet meer mee worden geconfronteerd.

Hij is niet verantwoordelijk voor de verwerking van persoonsgegevens die zijn verzameld met cookies die niet op grond van zijn instructies zijn gemaakt door de andere actoren die bij de website zijn betrokken; hij dient dan echter wel aan te tonen dat het betreffende feit hem niet aan te rekenen valt.

Hoe de plugins van sociale netwerken gebruiken?

De cookies die de sociale netwerkknoppen genereren (“vind ik leuk’, ‘Twitter”, “+1”) maken het mogelijk de gebruikers gedetailleerd te traceren, ook al hebben zij geen account op die platformen. Deze platformen kunnen die cookies verwerken zoals zij dat willen, alleen de bezochte sites zijn beperkt in hun mogelijkheden.

Voor die verwerkingen van persoonsgegevens, impliciet gegenereerd door die knoppen, is bijgevolg een specifieke toestemming nodig. Er wordt dus erg aanbevolen om die knoppen niet op de homepagina te zetten of om ze de deactiveren tot de toestemming werd gegeven.

Wat zijn de specifieke verplichtingen van de ontwerper van de website inzake het gebruik van cookies?

Hij moet erop toezien dat hij alleen handelt op grond van de instructies van de eigenaar van de website die zijn vastgelegd in een juridisch instrument (bijvoorbeeld in een onderaannemings- of dienstverleningsovereenkomst).

Hij is degene die het gedeelte voor informatieverstrekking en het verkrijgen van voorafgaande toestemming moet ontwerpen in overleg met de eigenaar van de website.

Hij mag alleen cookies gebruiken die nodig zijn voor de nagestreefde gerechtvaardigde doeleinden en ze niet langer bewaren dan de tijd die nodig is voor deze doeleinden.

Hij moet controleren dat de banners en plugins van sociale netwerken pas worden geactiveerd nadat de bezoeker daarvoor toestemming heeft gegeven.

De ontwerper moet maatregelen treffen waarmee de beveiligingen van persoonsgegevens wordt gegarandeerd en waarmee met name wordt voorkomen dat niet-geautoriseerde personen toegang krijgen tot deze gegevens.

Welke specifieke verplichtingen heeft de beheerder van de website bij het gebruik van cookies?

Hij moet handelen volgens de instructies van de eigenaar van de website. Die instructies worden omschreven in een gepast juridisch instrument.

Hij is zelf aansprakelijk als hij met behulp van cookies verwerkingen verricht zonder dat hij de eigenaar daarvan heeft verwittigd of zijn toestemming heeft verkregen.

Hij gaat na of de persoonsgegevens, cookies en andere minibestanden die eventueel op de server werden opgeslagen tijdig worden gewist.

Welke specifieke verplichtingen heeft de webhost van de website bij het gebruik van cookies?

Hij handelt als werknemer of als onderaannemer van degene die verantwoordelijk is voor de website.

Hij moet een contract met de eigenaar van de website sluiten die onderaannemingsbepalingen bevat waarvan de inhoud wordt beschreven in artikel 28 van de AVG.

Het is mogelijk dat de host trackinggegevens van de activiteiten op de website (statistieken, logbestanden, enzovoort) die persoonsgegevens kunnen bevatten ter beschikking stelt aan de beheerder van de website. Het is aan te raden het verschaffen van toegang tot deze gegevens te laten voorafgaan door een waarschuwing dat de gegevens moeten worden verwerkt overeenkomstig de AVG.

Voor openbare hostingbedrijven gelden specifieke regels, en ze staan onder toezicht van met name het Belgisch Instituut voor Postdiensten en Telecommunicatie (BIPT).

Wat zijn de specifieke verplichtingen van de reclamemaker en het sociale netwerkbij het gebruik van cookies?

De reclamemaker, meer bepaald de adverteerder of het reclamenetwerk, is de medeverantwoordelijke voor de verwerking van de verzamelde persoonsgegevens die hem via de bezochte website werden verstrekt. Hij deelt de verantwoordelijkheid van de website voor het verkrijgen van de voorafgaande toestemming en de informatie met de eigenaar.

De dienstenovereenkomsten die werden afgesloten tussen de eigenaar van de website en die actoren moeten ieders verantwoordelijkheid en verplichtingen op gebied van de voorafgaandelijke informatie en het verkrijgen van de toestemming nauwkeurig omschrijven. Zij moeten de doeleinden en de voorwaarden voor het hergebruik van de persoonsgegevens vastleggen zodat de uitgever van de website in zijn ontwerp de mogelijkheid kan inbouwen voor het verkrijgen van de noodzakelijke toestemming.