De cookiewetgeving (ePrivacy-richtlijn)

Disclaimer: Dit is geen juridisch advies. De auteurs van deze tool zijn geen leken. Wij raden de engelse versie van deze site aan, omdat het de eerste taal van de auteur is. Er zijn verschillende onderdelen die moeten worden behandeld om GDPR Compliance te bereiken, cookies zijn slechts een klein onderdeel. Neem contact op met een leek voordat u een oplossing implementeert.

De richtlijn heeft betrekking op cookies en technologische verwanten

De e-privacyrichtlijn, waaruit alle cookiewetten zijn afgeleid, is ook van toepassing op soortgelijke opslagmechanismen. Dit omvat eTag, lokaal opgeslagen Flash-objecten, HTML5 lokale opslag, enz. Ze worden de cookiewetten genoemd omdat cookies de meest voorkomende van deze opslagobjecten zijn.

Een belangrijke mededeling over GDPR en ePrivacy

Het is belangrijk om te verduidelijken dat in de Algemene Gegevensbeschermingsverordening op geen enkele wijze melding wordt gemaakt van cookies. GDPR is van toepassing op de verwerking van persoonsgegevens, waaronder ook cookies die persoonsgegevens bevatten. Andere soorten cookies vallen onder de ePrivacy / Cookiewetgeving.

Een komende ePrivacywetgeving is onderweg

De Europese Commissie werkt momenteel aan een nieuwe ePrivacy-verordening die de huidige ePrivacy-richtlijn zal intrekken. Het doel van deze wetgeving is om een duidelijke, meer gedefinieerde regels op te stellen voor de manier waarop organisaties online met tracking en advertenties moeten omgaan. Deze Europese wetgeving wordt eind 2018 verwacht, maar kan opnieuw worden uitgesteld.

De ePrivacy-verordening is precies dat, een verordening. Dit betekent dat het een wet zelf is en direct als wet afdwingbaar wordt.

Handhaving & Boetes

De handhavingsactiviteiten tot nu toe liepen van land tot land sterk uiteen, maar in Spanje en Nederland zijn er zware boetes opgelegd wegens niet-naleving. In de nieuwe verordening werd voorgesteld dat organisaties die zich niet aan de regels houden, een boete kunnen krijgen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van wat het hoogste is.

In de afgelopen jaren zijn de toestemming voor het gebruik van cookies en informatie over het cookiebeleid gebruikelijker geworden en worden ze meestal op alle grote websites gezien. Deze cookie consent banners kunnen er voor veel bezoekers hetzelfde uitzien, maar kunnen worden onderverdeeld in verschillende soorten toestemmingsgroepen.

Verschillende soorten cookietoestemmingen

De ePrivacy-richtlijn en de eigen cookiewetgeving van elke lidstaat over de manier waarop organisaties moeten omgaan met de toestemming van gebruikers hebben geleid tot een breed scala aan oplossingen voor toestemming voor cookies. Dit artikel gaat niet in op de details over de interpretatie van de wetten en de gemeenschappelijke oplossingen. Echter, een snelle blik op elk van hen in opsommingstekens zal helpen.

Categorisering van cookies

Cookies kunnen in verschillende groepen worden ingedeeld op basis van hun beoogde doel. We hebben nog geen standaard, maar drie verschillende categorieën van cookies die vaak worden gebruikt. Deze groepen zijn:

De groep cookies die strikt noodzakelijk zijn, zijn vrijgesteld van de cookiewetgeving en vereisen geen toestemming van de wet en kunnen naar behoefte worden ingesteld. Zij omvatten:

user-input cookies (session-id) zoals first-party cookies om de input van de gebruiker bij te houden bij het invullen van online formulieren, winkelwagentjes, etc., voor de duur van een sessie of permanente cookies die in sommige gevallen beperkt zijn tot een paar uur.
authenticatie cookies, om de gebruiker te identificeren nadat hij is ingelogd, voor de duur van een sessie.
user-centric security cookies, gebruikt om misbruik van authenticatie op te sporen, voor een beperkte duur.
multimedia content player cookies, gebruikt om technische gegevens op te slaan om video- of audio-inhoud af te spelen, voor de duur van een sessie.
load-balancing cookies, voor de duur van de sessie.
gebruikersinterface aanpassen cookies zoals taal- of lettertypevoorkeuren, voor de duur van een sessie (of iets langer).
social plug-in content delen met derden cookies, voor ingelogde leden van een sociaal netwerk.
Volgens: ec.europa.eu

De andere drie groepen moeten informatie en details hebben over waarom ze worden gebruikt en ook de mogelijkheid om zich voor één of al deze groepen aan- en afmelden wanneer de gebruiker dat wil. Als de gegevens in de cookie persoonlijk zijn, moeten zij zich houden aan de GDPR-wetgeving.