De aangepaste cookiewet is 11 maart in werking getreden. Dit leidde weer tot een stroom van berichten met het welbekende plaatje van chocolate chipkoekjes. Maar de aangepaste wet geldt zeker niet alleen voor cookies.
Toestemming vereist voor alle vormen van tracking
Device fingerprinting, pixel advertising, canvas fingerprinting, klikgedrag, HTML5, Javascripts: elke vorm van het opslaan van en (belangrijker nog) toegang krijgen tot informatie in de ‘randapparatuur’ valt onder deze wet. Dus elke vorm van tracking, profiling of anderszins opstellen van gebruikersprofielen.
Daarvoor is duidelijke, volledige informatie én toestemming vereist, te meer omdat er (al heel snel) privacygevoelige gegevens worden verwerkt. En randapparatuur is een ruim begrip: het betreft naast computers en websites uiteraard ook apps, smartphones, smart tv’s enzovoort.
Uitzondering
Geïnformeerde toestemming is alleen niet nodig zolang het opslag of toegang betreft (i) met het uitsluitende doel om communicatie over te brengen, (ii) die strikt noodzakelijk is om de gevraagde dienst te leveren en – de nieuwste uitzondering - (iii) die strikt noodzakelijk is om informatie over de kwaliteit of effectiviteit van de gevraagde dienst te verkrijgen (zolang de privacyimpact maar laag is).
Het gaat dan onder meer om analytics (over het privacyvriendelijk instellen van Google Analytics lees je hier meer). Zodra er echter voor andere doeleinden gebruik wordt gemaakt van de verkregen informatie (bijvoorbeeld het opstellen van bezoekersprofielen of het anderszins ‘volgen’ van gebruikers), gaat de uitzondering niet op en is geïnformeerde toestemming nodig.
Doorgaan is toestemming?
De toestemming voor opslag en toegang moet vrij, specifiek en geïnformeerd zijn. Volgens de wetgever kan dat op allerlei manieren: van akkoord klikken of aanvinken van een toestemmingstekst op banners, informatiebalken, pop-ups en cookiewalls.
Maar ook doordat een websitebezoeker ‘gebruik maakt van de overige delen van de website’, als bij aanvang van het bezoek aan de website maar duidelijk is aangegeven dat een dergelijk gebruik wordt beschouwd als toestemming, volgens de toelichting op de wet. Maar let op: als een websitebezoeker klikt op een link met ‘meer informatie’, dan wordt dat niet gezien als ‘doorgaan’ op de website. Er zal dan alsnog op een juiste manier toestemming moeten worden verkregen.
Informatieplicht
‘Geïnformeerd doorgaan” zou dus voldoende moeten zijn om toestemming te verkrijgen. Daarbij zal wel alles afhangen van de manier waarop invulling wordt gegeven aan de informatieplicht, met name in hoeverre dit ‘duidelijk en volledig’ is geweest.
Het wegstoppen van deze informatie in pagina’s lange voorwaarden of het vragen van toestemming via een niet direct vindbare informatiebalk zal dus niet volstaan. Ook zal duidelijke informatie moeten worden (door)gegeven over (en toestemming worden verkregen voor) het gebruik van technieken van derden.
Werk aan de winkel
'Nu de nieuwe kaders voor het toezicht helder zijn, gaat ACM handhaven', zo liet de toezichthouder recentelijk weten. De speeltijd is dus nu voorbij, het is tijd om spoedig de wijze waarop invulling wordt gegeven aan de 'Tracking'-wet onder de loep te nemen en deze waar nodig aan te passen.
Plaats als eerste een reactie
Ook een reactie plaatsen? Word lid van Adformatie!