Cookies

Waar kan ik het omstandig omschreven standpunt van de Autoriteit vinden?

De aanbeveling uit eigen beweging van de Autoriteit nr. 01/2015 van 4 februari 2015 over het gebruik van cookies vind u hier terug . De eigenlijke aanbeveling wordt verder aangevuld met nog drie meer gedetailleerde bijlagen.

Wat is een cookie?

Oorspronkelijk was een cookie een minibestandje dat werd opgeslagen op de werkpost van een websitebezoeker om de communicatie tussen het apparaat van de bezoeker en de server van de website te vergemakkelijken. Het cookie kreeg in zijn strikte betekenis een standaarddefinitie (RFC 6262 van Internet Engineering Task Force) en vervult de rol van een getuige van een transactie door bepaalde informatie op te slaan.

Ondertussen worden de cookies, dankzij de technologische evolutie, aangewend voor andere doeleinden: prestatievermogen van een server, kijkdichtheid van de website, statistieken, geheugenopslag van de voorkeuren, gerichte reclame.

Niettegenstaande deze bredere aanwendingen, stelt de Autoriteit dat de juridische beginsels van toepassing blijven op alle bestanden die uittreksels opslaan van informatie die tijdens een berichtenuitwisseling werden overgedragen of gegenereerd tussen een website en zijn bezoekers, ongeacht of die worden opgeslagen op de werkpost van de bezoeker of op een server.

Daarom groepeert de Autoriteit onder dit concept alle metabestanden, die overgedragen of gegenereerde informatie-uittreksels opslaan tijdens een uitwisseling tussen een website en zijn bezoeker - ongeacht of die nu op de werkpost van de bezoeker worden opgeslagen dan wel op een server – en informatie vrijgeven over de context, inhoud, vorm of omstandigheden van die communicatie Die bestanden zijn onderworpen aan dezelfde juridische regels ongeacht de plaats waar die informatie wordt opgeslagen.

De cookies die van nature anoniem zijn, worden toch persoonsgegevensbestanden van zodra ze in verband kunnen worden gebracht met een rechtstreeks of onrechtstreeks identificeerbare persoon, bijvoorbeeld via het IP-adres van de werkpost van de internetgebruiker.

Is een cookie een persoonsgegeven?

Het spreekt vanzelf dat cookies (en alle andere sporen van een communicatie) persoonsgegevens zijn aangezien ze gelinkt kunnen worden aan een IP-adres en meer specifiek aan de werkpost van de internetgebruiker, bezoeker van de website. Het is maar in uitzonderlijke gevallen dat bepaalde sporen inderdaad anoniem zijn en daarom dan niet aan de privacywet onderworpen zijn.

Wie is de verantwoordelijke voor de verwerking als er cookies worden gebruikt?

De verantwoordelijke voor de verwerking is meestal de eigenaar van de website (domein of sub-domein of meer in het algemeen een deel van de website) die de functionaliteiten van de website of een deel van de website bepaalt.  Onder bepaalde omstandigheden kunnen ook alle andere actoren verantwoordelijke voor de verwerking worden en verplicht worden hun verantwoordelijkheid te nemen (de uitgever van en website, de administrator of de websitebeheerder, de webhost, de adverteerder op een website of het sociale netwerk dat op de website aanwezig is).

Wat betekent een beveiligings- en vertrouwelijkheidsbeleid voor cookies?

Een beveiligings- en vertrouwelijkheidsbeleid is een geheel van regels die de verantwoordelijke voor de verwerking vastlegt om aan te tonen dat hij bereid is de wettelijke principes en goede praktijken inzake de bescherming van de persoonlijke levenssfeer en persoonsgegevens na te leven. Dit beleid bepaalt de principes die alle personen - die onder het gezag van de verantwoordelijke voor de verwerking staan - moeten volgen.

Dit beleid slaat ook op de regels die moeten worden gevolgd bij cookies. Uittreksels van dit beleid of de regels in verband met cookies moeten op de website beschikbaar zijn. Via deze tekst op de website krijgt de internetgebruiker een volledige uitleg over de verschillende, per doeleinde aangewende cookies (bewaartermijn), de te ondernemen acties om de opgeslagen informatie te wissen, welke informatie er aan derden wordt verstrekt en de garanties die de website-eigenaar aan bezoeker biedt dat hij die regels op zijn website eerbiedigt.

Welk juridisch kader regelt in België het gebruik van cookies?

Wanneer er cookies worden gebruikt moet de Privacywet worden toegepast omdat het  hier gaat om een verwerking van persoonsgegevens.

Een gegevensverwerking moet rechtmatig zijn. Het gebruik van cookies kan in regel slechts  rechtmatig zijn op grond van de toestemming van de betrokkene.

De wet van 13 juni 2005 betreffende de elektronische communicatie is van toepassing op de cookies. Artikel 129 van die wet vereist in de meeste gevallen waar websites cookies gebruiken, de voorafgaandelijke en geïnformeerde toestemming van de bezoekers en maakt maar twee uitzonderingen op dit toestemmingsbeginsel. Trouwens, de wet van 13 juni 20015 betreffende de elektronische communicatie breidt ook de toestemmingsvereiste uit voor de opslag op de werkpost van de bezoeker, zelfs al zijn het geen persoonsgegevens.

Wanneer is de Belgische wetgeving betreffende cookies van toepassing?

De Belgische wetgeving is van toepassing wanneer:

  • gebruik wordt gemaakt van cookies bij de activiteiten van een vestiging van een verantwoordelijke voor de verweking op het Belgisch grondgebied
  • de opslag/lezing van de cookies op de werkpost die zich op het Belgische grondgebied bevindt wordt verricht door een verantwoordelijke voor de verwerking die geen vestiging heeft op het grondgebied van de Europese Unie.
Wanneer moet bij het gebruik van cookies de voorafgaande toestemming worden verkregen van de bezoeker?

Tenzij slechts gebruik wordt gemaakt van essentiële cookies (zie FAQ “welke cookies worden vrijgesteld van de voorafgaande toestemming bij cookiegebruik”?), is de toestemming het fundament van de toelaatbaarheid van de verwerking. Die toestemming moet specifiek zijn voor de verschillende, nagestreefde doeleinden. De toestemming moet gegeven vooraleer een verwerking met cookies plaatsvindt: creatie, opslag, communicatie, enz.

Welke cookies worden vrijgesteld van de voorafgaande toestemming?

De essentiële cookies zijn vrijgesteld van de voorafgaande toestemming van de bezoeker. Een cookie is essentieel als het strikt noodzakelijk is voor de communicatie of voor het aanleveren van een dienst waarom een websitebezoeker uitdrukkelijk heeft verzocht (bijv. formulier of winkelmandje). Let wel, de wet van 13 juni 2005 betreffende de elektronische communicatie geeft geen vrijstelling van de voorafgaandelijke toestemmingsverplichting voor cookies voor statistieken, kijkcijfers of bezoekherkomst van de website (analyse van het surfgedrag en het soort publiek).

Voorbeelden:

  • technische cookies: de noodzakelijke vermeldingen bij cijferuitwisselingen en identificatie van de transactie,
  • cookies over de inhoud zelf van de transactie: de taalkeuze, de inhoud van een formulier of een winkelmandje; er kan gesteld worden dat deze cookies in feite gedekt zijn door de impliciete toestemming van de betrokken persoon, op voorwaarde dat die persoon geïnformeerd is over het gebruik en dat ze niet langer worden bewaard dan de tijd die nodig is of dat ze door de bezoeker zelf kunnen gewist worden.
Welke zijn de kenmerken van een verplichte toestemming bij het gebruik van cookies?

Een toestemming die beantwoordt aan de wettelijke voorwaarden is de uitdrukking van een wilsuiting van een persoon via een expliciete actie, zoals het aanvinken van een hokje of via een impliciete actie, bijvoorbeeld verdergaan met surfen nadat een duidelijke verwittiging verscheen. De cookies voor doelgerichte reclame of direct marketing vereisen altijd een uitdrukkelijke toestemming.

Een geldige toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn:

  • vrij: dit wil zeggen zonder dwang of met het zicht op een “beloning” (loterijbiljet, etc.): de gebruiker moet een keuze kunnen maken zonder dat er voor hem ernstig negatieve gevolgen vasthangen als hij zijn toestemming niet geeft.
  • specifiek: voorafgaand aan de toestemming moet er nauwkeurige informatie gegeven worden over de doeleinden van de cookies. De toestemming kan uitsluitend worden gegeven voor verwerkingen waarvan zowel de gegevens als de nagestreefde doeleinden nauwkeurig zijn omschreven. Een kan geen toestemming worden gegeven voor uitsluitend het gebruik van cookies zonder dat er verdere informatie is verstrekt over gegevens en verwerkingen.
  • geïnformeerd: vooraleer de toestemming wordt verkregen, moet er informatie worden verstrekt over het gebruik van cookies (de informatie is een voorafgaande verplichting)
  • ondubbelzinnig: de procedure om de toestemming te verkrijgen mag geen enkele twijfel laten over de bedoeling van de gebruiker om zijn toestemming te geven. Het kan zijn dat de ondubbelzinnige toestemming van de gebruiker blijkt uit bepaalde acties die hij verricht (bijvoorbeeld verdergaan met surfen). Het niet uitvoeren van een actie of passiviteit van de gebruiker kan daarentegen niet gezien worden als een geldige toestemming.

In de praktijk moet de verantwoordelijke voor de verwerking de wilsuiting van de betrokken persoon kunnen bewijzen, hetzij via traceringsinformatie van de actie (logs of andere traceerbestanden van de transacties), hetzij omdat het vanzelfsprekend is (verdergaan met surfen).

Op welke manier moet de website de toestemming verkrijgen van de bezoeker als er gebruik wordt gemaakt van cookies?

De zone voor de informatieverstrekking en het verkrijgen van de voorafgaande toestemming moet een duidelijk, zichtbaar en begrijpelijk bericht zijn waarin het gebruik van cookies wordt uitgelegd. De bezoeker moet de mogelijkheid krijgen om bepaalde cookies te aanvaarden dan wel te weigeren, bij voorkeur met aparte vragen voor elk doeleinde, zeker als de website cookies aanwendt voor doelgerichte reclame (advertentiecookies en trackingcookies die gebruikt worden voor direct marketing).

Zolang de bezoeker geen positieve actie heeft verricht (aanvaarden of weigeren), moet het bericht zichtbaar blijven.

De toestemming van de gebruiker moet na een redelijke termijn opnieuw worden gevraagd als de toestemming impliciet werd verkregen (verdergaan met surfen) of als de toestemming betrekking heeft op metabestanden voor tracering.

Wat met de bezoeker die verder surft op een website die cookies gebruikt?

Het verder surfen kan gezien worden als een geldige toestemming voor een specifieke, toegelicht doeleinde als de zone voor informatieverstrekking en de voorafgaande toestemming duidelijk zichtbaar wordt getoond op de homepagina, zodanig dat er niet naast kan worden gekeken en als er wordt vermeld dat verdergaan met surfen wordt gezien als een toestemming. De zone voor informatievertrekking en de voorafgaande toestemming moet zichtbaar blijven zolang de gebruiker geen keuze heeft gemaakt of een equivalente, positieve acties heeft ondernemen zoals het sluiten van het bericht.

Kan de manier waarop de internetgebruiker de parameters voor cookies instelt, gelden als een toestemming?

Er kan uit de ingestelde parameters in de browser van de gebruiker niet worden opgemaakt dat hij een keuze heeft gemaakt om cookies te aanvaarden behalve als hij heeft beslist alle cookies uit te sluiten. De parameters laten immers niet toe een keuze te nuanceren naargelang de doeleinden van de cookies.

Welke rechten heeft een bezoeker van een website die cookies gebruikt?

De bezoeker heeft in ieder geval het recht om geïnformeerd te worden over de verwerkingen die met zijn gegevens worden verricht zodra hij een website bezoekt: categorieën van de opgeslagen informatie en de doeleinden per categorie, de bewaartermijn per categorie, de manier om de gegevens te wissen en zich te verzetten, de mededelingen aan derden,…

De bezoeker moet zijn geïnformeerde, vrije, specifieke, ondubbelzinnige en voorafgaande toestemming geven voor het gebruik van cookies of andere metabestanden die niet essentieel zijn.

De bezoeker moet zijn instemming gratis en gemakkelijk kunnen intrekken.

Omdat het recht op toegang tot de cookies moeilijk is, moet hij uitleg krijgen over de manier waarop hij de cookies kan wissen.

Welke middelen heeft de websitebezoeker om de cookies te beperken, te vermijden of te wissen?

Om meer delicate opzoekingen te doen, kan de bezoeker onder de bestaande mogelijkheden ook gebruik maken van de privésurfmethodes die de belangrijkste browsers aanbieden (Internet Explorer, Chrome, Firefox, Safari).

De bezoeker kan ook gebruik maken van de middelen die de browsers aanbieden om cookies te wissen of hij kan ervoor kiezen dat bepaalde cookies automatisch worden gewist. Die handeling heeft niet noodzakelijk een invloed op de surfhistoriek of bewaarde bestanden maar kan wel een invloed hebben op de verbindingsgegevens voor bepaalde websites waardoor het nodig zal zijn om zich opnieuw te verbinden met die website of zich opnieuw identificeren op die website.

Er bestaat veiligheidssoftware waarmee het mogelijk is om privé te surfen omdat de cookies worden opgeslagen in een tijdelijke, virtuele ruimte (ruimte met alle surfgegevens die worden gewist zodra de browser wordt afgesloten).

Ook is er software op de markt waarmee men kan zien welke cookies worden geplaatst (bijv. Cookieviz, aangeboden door de Franse gegevensbeschermingsautoriteit, de CNIL) of andere software om de surfgegevens te wissen.
Reclamenetwerken groepeerden zich rond een platform waarmee men centraal bepaalde voorkeuren kan vastleggen over op surfgedrag gebaseerde reclame.

Weet wel dat alle systemen talrijke manieren aanbieden om metabestanden op te slaan en dat geen enkele software kan garanderen dat alle cookies die tijdens een communicatie werden gegenereerd, gewist zijn.

Welke verantwoordelijkheid draagt de eigenaar van een website die gebruik maakt van cookies?

De eigenaar van de website is de eindverantwoordelijke voor ieder gebruik van cookies en metabestanden die zijn website opmaakt en verwerkt. Hij is ook verantwoordelijk voor de informatie die naar de werkpost van de bezoeker werd overgebracht en opgeslagen waar derden (andere websites) er toegang tot zouden kunnen hebben en frauduleus zouden kunnen verwerken.

Overeenkomstig artikel 16, §2  en 3 van de Privacywet moet de eigenaar ervoor instaan dat de wet wordt nageleefd en daarom moet hij de gepaste instructies geven aan alle personen die onder zijn verantwoordelijkheid vallen. Die instructies kan hij verstrekken via zijn informatiebeveiligingsbeleid.

Daarnaast is er een gedeelde verantwoordelijkheid voor het reclamenetwerk, de adverteerder of het sociale netwerk, voor de cookies die gebruikt worden in advertenties of plugins voor delen van inhoud/sporen.

De eigenaar is daarentegen niet verantwoordelijk voor het onrechtmatig gebruik, het misbruik of de inbreuken op de contractuele bepalingen inzake cookies die werden afgesloten met andere actoren die betrokken zijn bij het bestaan van de website. Hij moet overeenkomstig artikel 15bis van de Privacywet evenwel bewijzen dat hij niet aansprakelijk is.

Welke verplichtingen heeft de website-eigenaar bij het gebruik van cookies?

Hij is de eindverantwoordelijke voor de cookies die op zijn website worden gebruikt, als het nu gaat over rechtstreeks geplaatste cookies of geplaatst via tussenkomst van reclamebureaus, adverteerders of sociale netwerken.

Daarom moet hij gepaste instructies geven aan de uitgever en de beheerder van de website.

Hij moet ervoor instaan dat de dienstenovereenkomsten die hij afsloot met reclamenetwerken, adverteerders en sociale netwerken de noodzakelijk garanties bevatten dat de verplichtingen inzake bescherming van persoonsgegevens zullen worden nageleefd.

Hij moet de ondubbelzinnige, vrije, specifieke en geïnformeerde toestemming verkrijgen van de gebruiker en dit bij voorkeur voor iedere categorie cookies, en zeker voor de cookies die dienen voor doelgerichte reclame.

Hij moet via een link op de homepagina voor de gemakkelijk toegankelijke cookies een beleid bepalen dat inlichtingen verstrekt over de categorieën cookies, hun doeleinden, de eventuele doorgifte ervan aan derden en over de middelen om de sporen van een bezoek aan de website te wissen en er in de toekomst ook niet meer mee geconfronteerd te worden.

Hij is niet verantwoordelijk voor de verwerkingen van persoonsgegevens die voortkomen uit het gebruik van cookies door andere actoren - die betrokken zijn bij het bestaan van de website - zonder gedekt zijn door zijn instructies. Overeenkomstig artikel 15bis van de privacywet moet hij evenwel bewijzen dat hij niet aansprakelijk is.

Hoe de plugins van sociale netwerken gebruiken?

De cookies die de sociale netwerkknoppen genereren (“vind ik leuk’, ‘Twitter”, “+1”) maken het mogelijk de gebruikers gedetailleerd te traceren, ook al hebben zij geen account op die platformen. Deze platformen kunnen die cookies verwerken zoals zij dat willen, alleen de bezochte sites zijn beperkt in hun mogelijkheden. Voor die verwerkingen, impliciet gegenereerd door die knoppen, is bijgevolg een specifieke toestemming nodig. Er wordt dus erg aanbevolen om die knoppen niet op de homepagina te zetten of om ze de deactiveren tot de toestemming werd gegeven.

Welke verplichtingen heeft de uitgever van een website bij het gebruik van cookies?

Hij moet handelen volgens de instructies van de website-eigenaar. Die instructies worden omschreven in een juridisch instrument (bij voorbeeld een specifiek beveiligingsbeleid, een reglement of een arbeidsovereenkomst, een verwerkersovereenkomst).

Hij is het die in akkoord met de eigenaar van de website en conform de wettelijke verplichtingen als bedoeld in de wet van 13 juni 2005 betreffende de elektronische communicatie en de Privacywet, de voorafgaande informatie- en toestemmingszone ontwerpt. Die zone moet gemakkelijk toegankelijk zijn.

Hij maakt alleen gebruik van cookies die noodzakelijk zijn voor het gerechtvaardigd, nagestreefde doeleinde en bewaart deze slechts voor de tijd die nodig is om die doeleinden te verwezenlijken.

Hij gaat na of de banners en plugins van de sociale netwerken pas actief zijn nadat de bezoeker zijn toestemming heeft gegeven.

De uitgever beveiligt de persoonsgegevens zoals bedoeld in artikel 16, §4 van de privacywet, waardoor het voor niet gemachtigde personen niet mogelijk is om toegang te hebben tot de persoonsgegevens.

Welke specifieke verplichtingen heeft de beheerder van de website bij het gebruik van cookies?

Hij moet handelen volgens de instructies van de eigenaar van de website. Die instructies worden omschreven in een gepast juridisch instrument.

Hij is zelf aansprakelijk als hij met behulp van cookies verwerkingen verricht zonder dat hij de eigenaar daarvan heeft verwittigd of zijn toestemming heeft verkregen.

Hij gaat na of de persoonsgegevens, cookies en andere minibestanden die eventueel op de server werden opgeslagen tijdig worden gewist.

Welke specifieke verplichtingen heeft de webhost van de website bij het gebruik van cookies?

Hij handelt als aangestelde (bediende) of als verwerker van de verantwoordelijke voor de verwerking.

Iedere verwerker moet, overeenkomstig artikel 16 van de privacywet, met de eigenaar van de website de contractuele bepalingen voor de verwerking overeenkomen.

De openbare webhostoperatoren zijn onderworpen aan specifieke regels en worden gecontroleerd door het Belgisch Instituut voor de Postdiensten en de Telecommunicatie (BIPT). Zij zijn dus in principe in overeenstemming.

De webhost kan de sporen van de activiteit van de website verstrekken aan de beheerder van de website (statistieken, logs,…) en die kunnen persoonsgegevens bevatten. Het is aangewezen dat de toegang tot die gegevens wordt voorafgegaan door een bericht waarin wordt herinnerd aan de verplichting dat die gegevens overeenkomstig de privacywet moeten worden verwerkt.

Welke specifieke verplichtingen heeft de reclamemaker en het sociale netwerk bij het gebruik van cookies?

De reclamemaker, meer bepaald de adverteerder of het reclamenetwerk, is de medeverantwoordelijke voor de verwerking van de verzamelde gegevens die hem via de bezochte website werden verstrekt. Hij deelt de verantwoordelijkheid van de website voor het verkrijgen van de voorafgaande toestemming en de informatie met de eigenaar.

De dienstenovereenkomsten die werden afgesloten tussen de eigenaar van de website en die actoren moeten ieders verantwoordelijkheid op gebied van de voorafgaandelijke informatie en het verkrijgen van de toestemming nauwkeurig omschrijven. Zij moeten de doeleinden en de voorwaarden voor het hergebruik van de persoonsgegevens vastleggen zodat de uitgever van de website in zijn ontwerp de mogelijkheid kan inbouwen voor het verkrijgen van de noodzakelijke toestemming.