BESLISBOOM COOKIEWETGEVING

Transcriptie

1 BESLISBOOM COOKIEWETGEVING De nieuwe cookieregels: beslis wat u moet doen! 2 BESLISBOOM COOKIEWETGEVING 4 BESLISBOOM - Meer informatie 5 Overige informatie 20

2 De nieuwe cookieregels: beslis wat u moet doen! De nieuwe cookieregels, onderdeel van de nieuwe Telecomwet, zijn een feit. De Eerste Kamer ging op 8 mei 2012 akkoord met de nieuwe regels. U moet de consument voortaan in een groot aantal gevallen voorlichten over de cookies die uw website plaatst op zijn of haar computer, tablet of smartphone en daarvoor toestemming vragen. Het kan dus grote gevolgen hebben voor u als ondernemer! Thuiswinkel.org hoopt u door middel van deze beslisboom verder te helpen. Hiermee kunt u beoordelen wat u moet doen om met uw webwinkel te voldoen aan de nieuwe eisen. Cookies in alle soorten en maten Voordat u deze beslisboom invult raden wij u aan om voor uzelf inzichtelijk te maken welke cookies uw website op dit moment gebruikt, en voor welke doeleinden. Zoals u waarschijnlijk weet bestaan er cookies in alle soorten en maten. De nieuwe wetgeving ziet overigens niet alleen op het plaatsen van cookies, maar ook op het uitlezen daarvan. Let op: De nieuwe regels gaan niet alleen over cookies. De wet ziet ook op andere vormen van het plaatsen en uitlezen van informatie op de computer van de gebruiker. Denk hierbij aan device fingerprinting, java-scripts, webtaps, spionagesoftware, dialerprogramma s, inbelprogrammas s, etc. Als we het in deze beslisboom over cookies hebben, dan bedoelen we ook dat soort gegevens. Verder gaat het niet alleen om het plaatsen en uitlezen van informatie op computers, maar ook om het plaatsen en uitlezen van gegevens op allerlei andere (rand)apparatuur van de gebruiker die met internet is verbonden, zoals smartphones, internet-tv s, printers, camera s en dergelijke. Wat moet u doen? De Telecommunicatiewet eist dat u: 1. de gebruiker van uw website informeert over de cookies die uw website plaatst op zijn of haar computer en/of daarvan uitleest; én 2. dat u van de gebruiker daarvoor toestemming hebt verkregen: dus voordat u de cookies plaatst! 1.Informatieplicht U bent verplicht de gebruiker vooraf (!) te informeren over de cookies die uw website plaatst op zijn of haar computer en/of daarvan uitleest. De wet eist dat de informatie voldoet aan de eisen die de Wet Bescherming Persoonsgegevens daaraan stelt. Het is dus belangrijk dat de consument weet welke functie/doel de cookies hebben. De gebruiker moet kunnen begrijpen welke risico s er aan het accepteren van cookies kunnen zijn verbonden. Ook dient u informatie te verschaffen over de periode dat de cookie actief blijft. Voorts is het zinvol om te melden welke cookies van uzelf zijn (first-party cookies) en welke via uw website eventueel door andere partijen worden geplaatst (third party cookies). De informatie moet goed vindbaar, duidelijk en begrijpelijk zijn. Een enkele link vanaf uw website naar een algemeen privacystatement is daarom onvoldoende. 2.Toestemming Naast het geven van informatie over de cookies bent u verplicht om de gebruiker om toestemming te vragen vóórdat u cookies plaatst op of uitleest van zijn of haar computer. Toestemming moet vrij zijn, specifiek en op informatie berusten. U hoeft niet voor iedere cookie afzonderlijk toestemming te vragen; dat kan in één keer gebeuren. Dit is echter ook een commerciële afweging. Soms kan het misschien juist wel verstandig zijn om afzonderlijke toestemming te vragen. U kunt niet voor meerdere websites of diensten tegelijkertijd om toestemming vragen. 2

3 De wijze waarop u de toestemming verkrijgt is in principe vormvrij, maar de bewijslast dat u de toestemming verkregen heeft ligt wel bij u. Dat betekent dat u de toestemming op een of andere wijze moet vastleggen. Momenteel wordt door het WorldWideWeb Consortium (W3C) gewerkt aan een uniforme standaard waarmee browsers dit kunnen doen, maar tot het zover is ligt de verantwoordelijkheid dus bij u en dient u daarvoor een oplossing te vinden. Toestemming kan te allen tijde door de gebruiker worden ingetrokken. Dit is bijvoorbeeld het geval als een gebruiker de cookies handmatig of met een cookieverwijderaar van zijn computer verwijdert. In dat geval moet u dus opnieuw toestemming vragen als u de cookies wilt terugplaatsen. Uitzonderingen U hoeft de gebruiker niet te informeren of om toestemming te vragen als de cookies strikt noodzakelijk zijn voor de uitvoering van de communicatie of voor een door de gebruiker gevraagde dienst (van de informatiemaatschappij). Denk hierbij bijvoorbeeld aan cookies die de inhoud van een winkelmandje bijhouden of cookies die de logingegevens of voorkeursinstellingen van de gebruiker onthouden. Het wettelijk vermoeden: omkering van bewijslast Het is zeer essentieel om te weten of u door het plaatsen of uitlezen van cookies het gedrag van de klant over meerdere websites volgt of in kaart brengt (profilering). In dat geval wordt aangenomen dat u door middel van het plaatsen en/of uitlezen van cookies ook persoonsgegevens verwerkt (het wettelijk vermoeden). Naast de Telecomwet is dan ook de Wet Bescherming Persoonsgegevens (WBP) van toepassing. De WBP eist, en dat is het het nadrukkelijke verschil met cookies waarbij persoonsgegevens geen rol spelen, dat de toestemming ondubbelzinnig is verkregen; dat wil zeggen dat de toestemming op een robuuste wijze tot stand moet komen. Denk daarbij aan expliciete toestemming (bijv. door het aanklikken van een tickbox) of op een andere wijze waaruit de toestemming van de gebruiker kan worden afgeleid. Verwerken van persoonsgegevens In alle gevallen is de WBP zelfstandig naast de bepalingen van de Telecomwet van toepassing. U moet dus steeds nagaan of u door middel van het plaatsen of uitlezen van cookies ook persoonsgegevens verwerkt, dat wil zeggen: gegevens die tot een geïdentificeerde of identificeerbare persoon herleidbaar zijn. Het wettelijk vermoeden draait de bewijslast om. Als het wettelijk vermoeden van toepassing is, ligt de bewijslast dat u geen persoonsgegevens verwerkt bij u. Is het wettelijk vermoeden niet van toepassing is, dan ligt de bewijslast dat u wel persoonsgegevens verwerkt, bij de gebruiker en het College Bescherming Persoonsgegevens (CBP). Los van de vraag of het wettelijk vermoeden van toepassing is op uw cookiebeleid, moet u nagaan of u ook persoonsgegevens verwerkt en dus aan de WBP moet voldoen. Best practices Wij zijn op zoek naar goede voorbeelden, best practices om elkaar te inspireren. Een van de doelen van Thuiswinkel.org is om het vertrouwen in kopen op afstand te bevorderen. U kunt hieraan meehelpen door uw branchegenoten van kennis te voorzien. Zo maken we onze branche sterker! Denk daarbij aan oplossingen voor de volgende vragen: Hoe kan ik mijn klanten op een zo goed mogelijke manier informeren? Hoe kan ik op een goede manier mijn klanten om toestemming vragen om cookies te plaatsen of persoonsgegevens te gebruiken? 3

4 BESLISBOOM COOKIEWETGEVING 1 Mijn website of elektronische dienst plaatst bestanden/ inhoud op de randapparatuur van de consument of leest daarop gegevens uit. Nee De cookieregels zijn niet op u van toepassing. Er wijzigt voor u niets. 2 Mijn website of elektronische dienst plaatst cookies of leest gegevens uit die strikt noodzakelijk zijn voor het aangaan of de afwikkeling van een overeenkomst met de klant. cookies op de randapparatuur van Ja Udeplaatst consument of leest daarop gegevens uit. De nieuwe cookiewet is voor u van toepassing. Uw advies 2 Uw advies 1 cookies vallen onder de uitzonderingen. Voor het Ja Deze gebruik van deze cookies hoeft u niets te wijzigen. Mijn website of dienst plaatst/leest ook andere cookies. Nee 3 Mijn website of elektronische dienst plaatst cookies of leest gegevens uit die noodzakelijk zijn voor de levering van een door de gebruiker gevraagde dienst. cookies vallen onder de uitzonderingen. Voor het Ja Deze gebruik van deze cookies hoeft u niets te wijzigen. Uw advies 3 Mijn website of dienst plaatst/leest ook andere cookies. Nee 4 Mijn website of elektronische dienst plaatst cookies of leest gegevens uit die tot doel hebben om communicatie over een elektronisch netwerk mogelijk te maken. cookies vallen onder de uitzonderingen. Voor het Ja Deze gebruik van deze cookies hoeft u niets te wijzigen. Uw advies 4 Mijn website of dienst plaatst ook andere cookies. Nee 5 Mijn website of elektronische dienst plaatst cookies of leest gegevens uit waarmee het gedrag van de consument op mijn eigen website of dienst wordt gevolgd. Deze cookies bevatten echter geen persoonsgegevens en leiden ook niet anderszins tot de verwerking van persoonsgegevens. dit soort cookies is de Telecomwet van toepassing. Dit betekent dat u de Ja Op consument vóór het plaatsen moet informeren en om toestemming moet vragen. De Wet Bescherming Persoonsgegevens is op dit soort cookies niet van toepassing omdat u (eenvoudig) hebt vastgesteld dat het hier niet om persoonsgegevens gaat. Uw advies 5 Mijn website of dienst plaatst ook andere cookies. Nee 6 Ik heb meerdere websites of elektronische diensten die dezelfde cookies gebruiken of informatie uitlezen waarmee ik het gedrag van de consument over die websites of diensten volg. Deze cookies bevatten echter geen persoonsgegevens en leiden ook niet op een andere manier tot de verwerking van persoonsgegevens. deze cookies is het wettelijk vermoeden van de Telecomwet dat u Ja Op persoonsgegevens verwerkt van toepassing. U moet daarom ook aan de Wet Bescherming Persoonsgegevens voldoen, tenzij u kunt aantonen dat het hier niet om persoonsgegevens gaat. Uw advies 6 Mijn website of dienst plaatst ook andere cookies. Nee 7 Mijn website of elektronische dienst plaatst cookies van derden of derden kunnen informatie uitlezen van de gebruiker van mijn website, waardoor (vermoedelijk) het gedrag van de consument over meerdere websites (niet alleen die van mezelf) kan worden gevolgd. website of dienst verwerkt zogeheten third party cookies. Op deze cookies is het Ja Uw wettelijk vermoeden van de Telecomwet dat persoonsgegevens worden verwerkt van toepassing. U hebt echter formeel met betrekking tot deze cookies geen verplichtingen; de informatieplicht en het toestemmingsvereiste rusten op de aanbieder/gebruiker van de cookies. Het is echter wel verstandig om in uw cookiebeleid hierover een informatieve passage op te nemen, bijvoorbeeld wie de partijen zijn die die cookies plaatsen en hoe de gebruiker die kan bereiken. Uw advies 7 Mijn website of dienst plaatst ook andere cookies. Nee 8 Mijn website of elektronische dienst plaatst cookies of leest gegevens uit waarmee het gedrag van de consument wordt gevolgd. Deze cookies bevatten persoonsgegevens, of het plaatsen of uitlezen daarvan leidt op een andere manier tot verwerking van persoonsgegevens. dit soort cookies is de Telecommunicatiewet van toepassing. Dit Ja Op betekent dat u de consument vóór het plaatsen moet informeren en om toestemming moet vragen. Daarnaast is ook de Wet Bescherming Persoonsgegevens van toepassing. De toestemming voor het plaatsen of uitlezen van de cookies moet ondubbelzinnig zijn, tenzij u zich kunt beroepen op een andere grondslag, die genoemd worden in artikel 8 WBP (dat mag overigens niet snel worden aangenomen). Voorts moet u aan alle overige vereisten van de WBP voldoen. Uw advies 8 Mijn website of dienst plaatst ook andere cookies. Nee 9 Mijn website of elektronische dienst plaatst cookies of leest gegevens uit voor andere dan hiervoor benoemde doeleinden (dus niet het volgen van het gedrag van de klant, het aangaan of sluiten van een overeenkomst, het leveren van een door de consument gevraagde dienst of het mogelijk maken van de communicatie over het netwerk). Deze cookies bevatten geen persoonsgegevens en leiden ook niet anderszins tot de verwerking van persoonsgegevens. Uw advies 9 dit soort cookies is de Telecomwet van toepassing. Dit betekent dat u de consument Ja Op vóór het plaatsen moet informeren en om toestemming moet vragen. De Wet Bescherming Persoonsgegevens is op dit soort cookies niet van toepassing omdat u (eenvoudig) hebt vastgesteld dat het hier niet om persoonsgegevens gaat. Mijn website of dienst plaatst ook andere cookies, waarbij wel sprake is van verwerking van persoonsgegevens. Nee 10 Mijn website of elektronische dienst plaatst cookies of leest gegevens uit voor andere dan de hiervoor doeleinden (dus niet het volgen van het gedrag van de klant, het aangaan of sluiten van een overeenkomst, het leveren van een door de consument gevraagde dienst of het mogelijk maken van de communicatie over het netwerk). Deze cookies bevatten persoonsgegevens, of het plaatsen of uitlezen van deze cookies leidt op een andere manier tot de verwerking van persoonsgegevens. dit soort cookies is de Telecomwet van toepassing. Dit betekent dat u de consument Ja Op vóór het plaatsen moet informeren en om toestemming moet vragen. Daarnaast is ook de Wet Bescherming Persoonsgegevens van toepassing. De toestemming voor het plaatsen c.q. uitlezen van de cookies moet ondubbelzinnig zijn, tenzij u zich kunt beroepen op een andere grondslag, die genoemd worden in artikel 8 WBP (mag overigens niet snel worden aangenomen). Voorts moet u aan alle overige vereisten van de WBP voldoen. Uw advies 10 Nee U heeft waarschijnlijk een stap gemist in de beslisboom. Ga terug naar de vorige stap of begin opnieuw. Mocht u ondanks het invullen toch geen antwoord krijgen dat past bij uw situatie, dan verzoeken wij u hierover contact met ons op te nemen. Wij helpen u graag verder.

5 BESLISBOOM - Meer informatie 1. U plaatst geen bestanden/inhoud op de randapparatuur van consumenten en leest daarop ook geen gegevens uit. Voor u hebben de nieuwe cookieregels daarom geen gevolgen. Mocht u plannen hebben om dit binnenkort wel te doen, dan bevelen wij u aan om de regelgeving goed te lezen en deze beslisboom in te vullen voor het soort cookies dat u van plan bent te gaan gebruiken. Let op: Wij willen benadrukken dat de cookieregels niet uitsluitend over cookies gaan, maar ook over het uitlezen van gegevens op de apparatuur van de consumenten. De regels hebben dus betrekking op fingerprinting, java-scripts, webtaps, spionagesoftware, dialerprogramma s, inbelprogrammas s, etc. Voorts gaat het niet alleen om computers, maar ook om andere apparatuur van de gebruiker, zoals smartphones (apps!), digitale camera s, internet-tv s, settop boxen, en andersoortige randapparatuur met de mogelijkheid tot opslag van informatie. * Aan het door ons gegeven advies kunt u geen rechten ontlenen. U blijft als eigenaar van een website te allen tijde zelf verantwoordelijk voor het naleven van de wet. Door middel van dit advies proberen wij u slechts zo goed mogelijk te informeren over de nieuwe cookiewet. Vraag bij twijfel advies aan een specialist op dit gebied. 5

6 2. Uw website of elektronische dient plaatst op dit moment cookies of leest gegevens uit van gebruikers die strikt noodzakelijk zijn voor het aangaan of de afwikkeling van een overeenkomst met de klant. Voorbeeld: een cookie die de inhoud van een winkelmandje bijhoudt of die nodig is voor de afwikkeling van de betaling. Volgens de nieuwe cookieregels hoeft u voor het plaatsen van deze cookies geen toestemming te vragen en hoeft u hem hierover ook niet te informeren. Wees alert! Voor andere cookies moet u wellicht wel toestemming vragen en de gebruiker erover informeren. Als u (in de toekomst) dergelijke cookies wilt gaan gebruiken, vul dan (te zijner tijd) deze beslisboom nogmaals in, zodat u a) weet of het is toegestaan voor dit doel en b) weet hoe u dit moet aanpakken. * Aan het door ons gegeven advies kunt u geen rechten ontlenen. U blijft als eigenaar van een website te allen tijde zelf verantwoordelijk voor het naleven van de wet. Door middel van dit advies proberen wij u slechts zo goed mogelijk te informeren over de nieuwe cookiewet. Vraag bij twijfel advies aan een specialist op dit gebied. 6

7 3. Uw website of elektronische dienst plaatst cookies of leest gegevens uit ten behoeve van de levering van een door de gebruiker gevraagde dienst. Voorbeelden: cookies die de door de gebruiker ingestelde voorkeuren met betrekking tot de inhoud van de website onthouden (bijv. het plaatselijke weerbericht), of cookies die de login gegevens van de gebruiker onthouden nadat de gebruiker dat heeft aangegeven. Volgens de nieuwe cookieregels hoeft u voor het plaatsen van deze cookies geen toestemming te vragen en hoeft u hem hierover ook niet te informeren. Wees alert! Voor andere cookies moet u wellicht wel toestemming vragen en de gebruiker erover informeren. Als u (in de toekomst) dergelijke cookies wilt gaan gebruiken, vul dan (te zijner tijd) deze beslisboom nogmaals in, zodat u a) weet of het is toegestaan voor dit doel en b) weet hoe u dit moet aanpakken. * Aan het door ons gegeven advies kunt u geen rechten ontlenen. U blijft als eigenaar van een website te allen tijde zelf verantwoordelijk voor het naleven van de wet. Door middel van dit advies proberen wij u slechts zo goed mogelijk te informeren over de nieuwe cookiewet. Vraag bij twijfel advies aan een specialist op dit gebied. 7

8 4. Uw website of elektronische dienst plaatst op dit moment cookies of leest gegevens uit van de klant met als doel communicatie over een elektronisch netwerk uit te voeren. Voorbeeld: een cookie die onthoudt dat de gebruiker al is ingelogd. Volgens de nieuwe cookieregels hoeft u voor het plaatsen van deze cookies geen toestemming te vragen en hoeft u hem hierover ook niet te informeren. Wees alert! Voor andere cookies moet u wellicht wel toestemming vragen en de gebruiker erover informeren. Als u (in de toekomst) dergelijke cookies wilt gaan gebruiken, vul dan (te zijner tijd) deze beslisboom nogmaals in, zodat u a) weet of het is toegestaan voor dit doel en b) weet hoe u dit moet aanpakken. * Aan het door ons gegeven advies kunt u geen rechten ontlenen. U blijft als eigenaar van een website te allen tijde zelf verantwoordelijk voor het naleven van de wet. Door middel van dit advies proberen wij u slechts zo goed mogelijk te informeren over de nieuwe cookiewet. Vraag bij twijfel advies aan een specialist op dit gebied. 8

9 5. Uw website of elektronische dienst plaatst op dit moment cookies of leest gegevens waarmee het gedrag van de consument uitsluitend op uw eigen website of elektronische dienst wordt gevolgd. Deze cookies bevatten echter geen persoonsgegevens en leiden ook anderszins niet tot de verwerking van persoonsgegevens. Op dit soort cookies is de Telecommunicatiewet van toepassing. Dit houdt in dat u: de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en vóóraf toestemming moet hebben van de gebruiker. Informeren De inhoud van de informatie moet voldoen aan de eisen van de Wet Bescherming Persoonsgegevens. Dit betekent dat de gebruiker moet kunnen begrijpen welke risico s er aan het accepteren van cookies kunnen zijn verbonden. U moet de gebruiker daarom ten minste informeren over: De identiteit van de organisatie die verantwoordelijk is voor het plaatsen en/of uitlezen van de cookies (uw bedrijf dus); De functie van cookies, oftewel: waarom u de cookie wenst te plaatsen of uit te lezen (art. 11.7a lid 1 sub a Telecommunicatiewet); Overige informatie waaruit blijkt dat u zorgvuldig omgaat met de cookies en de verkregen informatie, zoals bijvoorbeeld de periode gedurende welke de cookie actief blijft en de eventuele categorieën van personen/organisaties die toegang hebben tot die informatie of aan wie die informatie wordt verstrekt (bijvoorbeeld een webanalytics service). Ten slotte is het zinvol om te melden welke cookies van u zelf zijn (first-party cookies) en welke via uw website eventueel door andere partijen worden geplaatst (third party cookies). De informatie moet makkelijk vindbaar, duidelijk en begrijpelijk zijn. Een enkele link vanaf uw website naar een algemeen privacy statement is waarschijnlijk onvoldoende. Toestemming vragen Naast het geven van informatie over de cookies bent u verplicht om de gebruiker om diens toestemming te vragen alvorens u cookies plaatst op of uitleest van zijn of haar computer. Toestemming moet een vrije wilsuiting zijn en gebaseerd zijn op volledige informatie. Bovendien moet deze toestemming specifiek zijn, dat wil zeggen: het moet duidelijk zijn waarvoor de klant toestemming geeft en aan wie (met naam en toenaam). U hoeft niet voor iedere cookie afzonderlijk toestemming te vragen; dat kan in één keer gebeuren. Ook hoeft u de toestemming niet elke keer te vragen als de gebruiker uw website bezoekt; één keer is genoeg. U kunt echter niet voor meerdere websites of diensten tegelijk toestemming vragen. De wijze waarop u de toestemming verkrijgt is in beginsel vormvrij. Technisch gezien kunt u dit op verschillende manieren vormgeven. Zo kunt u bij het openen van de pagina een pop-up tonen waarmee om toestemming wordt gevraagd. Maar de bewijslast dat de toestemming bestaat, ligt bij u. Dat betekent dat u de toestemming op een of andere wijze moet vastleggen, bijvoorbeeld in uw database met gebruikersprofielen. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd! Toestemming kan te allen tijde door de gebruiker worden ingetrokken. Dit is bijvoorbeeld het geval als een gebruiker de cookies handmatig of met een cookieverwijderaar van zijn computer verwijdert. In dat geval moet dus weer opnieuw toestemming worden verkregen alvorens de cookie op de computer terug te plaatsen. 9

10 U doet er voorts verstandig aan om voor de zekerheid na te gaan of u mogelijk toch persoonsgegevens verwerkt en of dus de Wet Bescherming Persoonsgegevens (WBP) van toepassing is. Kunt u echter (eenvoudig) vaststellen dat het hier niet om een verwerking van persoonsgegevens gaat, dan is de WBP ook niet van toepassing. Dat laat echter onverlet dat het College Bescherming Persoonsgegevens (CBP) of de gebruiker bewijs kan leveren van het tegendeel. * Aan het door ons gegeven advies kunt u geen rechten ontlenen. U blijft als eigenaar van een website te allen tijde zelf verantwoordelijk voor het naleven van de wet. Door middel van dit advies proberen wij u slechts zo goed mogelijk te informeren over de nieuwe cookiewet. Vraag bij twijfel advies aan een specialist op dit gebied. 10

11 6. U heeft meerdere websites of elektronische diensten die dezelfde cookies gebruiken of informatie uitlezen waarmee u het gedrag van de gebruiker over die websites of diensten kan volgen of u plaatst cookies via websites of elektronische diensten van derden ten einde het gedrag van de gebruiker te kunnen volgen (bijvoorbeeld door het plaatsen van een advertentie anders dan via een ad-network). Deze cookies bevatten echter geen persoonsgegevens en leiden ook anderszins niet tot een verwerking van persoonsgegevens. Op dit soort cookies is de Telecommunicatiewet van toepassing. Dit houdt in dat u: de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en vóóraf toestemming moet hebben van de gebruiker. Daarnaast is het wettelijk vermoeden van de Telecommunicatiewet dat u persoonsgegevens verwerkt van toepassing. U moet daarom ook aan de Wet Bescherming Persoonsgegevens voldoen, tenzij u kunt aantonen dat het hier niet om persoonsgegevens gaat. Eisen Telecommunicatiewet U moet: de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en vóóraf toestemming hebben van de gebruiker. Informeren De inhoud van de informatie moet voldoen aan de eisen van de Wet Bescherming Persoonsgegevens. Dit betekent dat de gebruiker moet kunnen begrijpen welke risico s er aan het accepteren van cookies kunnen zijn verbonden. U moet de gebruiker daarom ten minste informeren over: De identiteit van de organisatie die verantwoordelijk is voor het plaatsen en/of uitlezen van de cookies (uw bedrijf dus); De functie van cookies, oftewel: waarom u de cookie wenst te plaatsen of uit te lezen (art. 11.7a lid 1 sub a Telecommunicatiewet); Overige informatie waaruit blijkt dat u zorgvuldig omgaat met de cookies en de verkregen informatie, zoals bijvoorbeeld de periode gedurende welke de cookie actief blijft en de eventuele categorieën van personen/organisaties die toegang hebben tot die informatie of aan wie die informatie wordt verstrekt (bijvoorbeeld een webanalytics service). Ten slotte is het zinvol om te melden welke cookies van u zelf zijn (first-party cookies) en welke via uw website eventueel door andere partijen worden geplaatst (third party cookies). De informatie moet makkelijk vindbaar, duidelijk en begrijpelijk zijn. Een enkele link vanaf uw website naar een algemeen privacy statement is waarschijnlijk onvoldoende. Toestemming vragen Naast het geven van informatie over de cookies bent u verplicht om de gebruiker om diens toestemming te vragen alvorens u cookies plaatst op of uitleest van zijn of haar computer. Toestemming moet een vrije wilsuiting zijn en gebaseerd zijn op volledige informatie. Bovendien moet deze toestemming specifiek zijn, dat wil zeggen: het moet duidelijk zijn waarvoor de klant toestemming geeft en aan wie (met naam en toenaam). U hoeft niet voor iedere cookie afzonderlijk toestemming te vragen; dat kan in één keer gebeuren. Ook hoeft u de toestemming niet elke keer te vragen als de gebruiker uw website bezoekt; één keer is genoeg. U kunt echter niet voor meerdere websites of diensten tegelijk toestemming vragen. 11

12 De wijze waarop u de toestemming verkrijgt is in beginsel vormvrij. Technisch gezien kunt u dit op verschillende manieren vormgeven. Zo kunt u bij het openen van de pagina een pop-up tonen waarmee om toestemming wordt gevraagd. Maar de bewijslast dat de toestemming bestaat, ligt bij u. Dat betekent dat u de toestemming op een of andere wijze moet vastleggen, bijvoorbeeld in uw database met gebruikersprofielen. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd! Toestemming kan te allen tijde door de gebruiker worden ingetrokken. Dit is bijvoorbeeld het geval als een gebruiker de cookies handmatig of met een cookieverwijderaar van zijn computer verwijdert. In dat geval moet dus weer opnieuw toestemming worden verkregen alvorens de cookie op de computer terug te plaatsen. Het wettelijk vermoeden: verwerking van persoonsgegevens Omdat er in uw situatie volgens de Telecommunicatiewet een wettelijk vermoeden is dat er sprake is van een verwerking van persoonsgegevens, doet u er verstandig aan bewijs vast te leggen dat u geen persoons-gegevens verwerkt (bijvoorbeeld een advies ter zake van een advocaat). Als u namelijk niet kunt aantonen dat u door middel van de cookies geen persoonsgegevens verwerkt, heeft dat als consequentie dat OPTA en/of het College Bescherming Persoonsgegevens (CBP) er van zal uitgaan dat de Wet Bescherming Persoonsgegevens (WBP) van toepassing was op uw cookiebeleid, dus ook op het verkrijgen van toestemming voor het plaatsen en uitlezen van cookies. Uiteraard bestaat er altijd de kans dat OPTA en/of het CBP uw bewijs niet accepteert en dat het wettelijk vermoeden dus in stand blijft. De WBP eist in dat geval dat de hierboven genoemde toestemming ondubbelzinnig moet zijn verkregen; dat wil zeggen dat de toestemming op een robuuste wijze tot stand moet komen, bijvoorbeeld door het aanklikken van een tickbox of op een andere wijze waaruit de toestemming van de gebruiker kan worden afgeleid. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd! Voorts zou u in dat geval aan alle overige verplichtingen van de WBP moeten voldoen. Zo mag u onder meer de informatie niet langer bewaren dan noodzakelijk, u moet passende beschermingsmaatregelen treffen tegen verlies of onrechtmatige verwerking van de informatie en eventueel een melding doen bij het CBP. Voorts moet u in dat geval de toestemming van de ouder of voogd verkrijgen als u cookies zou willen plaatsen of uitlezen van een computer of smartphone van een kind jonger dan 16 jaar. Let op: Als u het wettelijk vermoeden van de Telecommunicatiewet niet kunt weerleggen, overtreedt u zeer waarschijnlijk in dat geval ook de WBP omdat u in uw bedrijfsvoering waarschijnlijk geen maatregelen voor naleving van de WBP hebt getroffen. Dit kan leiden tot een last onder dwangsom van het CBP. Voorts zult u naar alle waarschijnlijkheid ook geen melding van een verwerking van persoonsgegevens bij het CBP hebben gedaan. In dat geval pleegde u tevens een strafbaar feit dat thans met maximaal euro boete kan worden bestraft. Het is dus belangrijk dat u bewijs vastlegt dat het wettelijk vermoeden niet van toepassing is op uw situatie (bijvoorbeeld een advies ter zake van een advocaat). * Aan het door ons gegeven advies kunt u geen rechten ontlenen. U blijft als eigenaar van een website te allen tijde zelf verantwoordelijk voor het naleven van de wet. Door middel van dit advies proberen wij u slechts zo goed mogelijk te informeren over de nieuwe cookiewet. Vraag bij twijfel advies aan een specialist op dit gebied. 12

13 7. Uw website of elektronische dienst plaatst cookies van derden of derden kunnen informatie uitlezen van de gebruiker van uw website, waardoor (vermoedelijk) het gedrag van de consument over meerdere websites (niet alleen die van uzelf) kan worden gevolgd. Uw website of dienst verwerkt zogeheten third party cookies. Op deze cookies is het wettelijk vermoeden van de Telecommunicatiewet dat persoonsgegevens worden verwerkt van toepassing. U hebt echter formeel met betrekking tot deze cookies geen verplichtingen; de informatieplicht en het toestemmingsvereiste rusten op de aanbieders/gebruikers van de cookies (de derden dus). Het is echter wel verstandig om in uw cookiebeleid hierover een informatieve passage op te nemen, bijvoorbeeld wie de partijen zijn die die cookies plaatsen en hoe de gebruiker die kan bereiken. * Aan het door ons gegeven advies kunt u geen rechten ontlenen. U blijft als eigenaar van een website te allen tijde zelf verantwoordelijk voor het naleven van de wet. Door middel van dit advies proberen wij u slechts zo goed mogelijk te informeren over de nieuwe cookiewet. Vraag bij twijfel advies aan een specialist op dit gebied. 13

14 8. Uw website of elektronische dienst plaatst cookies of leest gegevens uit waarmee het gedrag van de consument wordt gevolgd. De cookies worden geplaatst via uw eigen website of elektronische dienst dan wel anders dan via een ad-network via een website of elektronische dienst van derden (bijvoorbeeld via een advertentie). Deze cookies bevatten persoonsgegevens dan wel het plaatsen of uitlezen daarvan leidt anderszins tot verwerking van persoonsgegevens. Op dit soort cookies is de Telecommunicatiewet van toepassing. Dit houdt in dat u: de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en vóóraf toestemming moet hebben van de gebruiker. Voorts moet u aan alle eisen van de Wet Bescherming Persoonsgegevens voldoen. Eisen Telecommunicatiewet U moet: de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en vóóraf toestemming hebben van de gebruiker. Informeren De inhoud van de informatie moet voldoen aan de eisen van de Wet Bescherming Persoonsgegevens. Dit betekent dat de gebruiker moet kunnen begrijpen welke risico s er aan het accepteren van cookies kunnen zijn verbonden. U moet de gebruiker daarom ten minste informeren over: De identiteit van de organisatie die verantwoordelijk is voor het plaatsen en/of uitlezen van de cookies (uw bedrijf dus); De functie van cookies, oftewel: waarom u de cookie wenst te plaatsen of uit te lezen (art. 11.7a lid 1 sub a Telecommunicatiewet); Overige informatie waaruit blijkt dat u zorgvuldig omgaat met de cookies en de verkregen informatie, zoals bijvoorbeeld de periode gedurende welke de cookie actief blijft en de eventuele categorieën van personen/organisaties die toegang hebben tot die informatie of aan wie die informatie wordt verstrekt (bijvoorbeeld een webanalytics service). Ten slotte is het zinvol om te melden welke cookies van u zelf zijn (first-party cookies) en welke via uw website eventueel door andere partijen worden geplaatst (third party cookies). De informatie moet makkelijk vindbaar, duidelijk en begrijpelijk zijn. Een enkele link vanaf uw website naar een algemeen privacy statement is waarschijnlijk onvoldoende. Toestemming vragen Naast het geven van informatie over de cookies bent u verplicht om de gebruiker om diens toestemming te vragen alvorens u cookies plaatst op of uitleest van zijn of haar computer. Toestemming moet een vrije wilsuiting zijn en gebaseerd zijn op volledige informatie. Bovendien moet deze toestemming specifiek zijn, dat wil zeggen: het moet duidelijk zijn waarvoor de klant toestemming geeft en aan wie (met naam en toenaam). U hoeft niet voor iedere cookie afzonderlijk toestemming te vragen; dat kan in één keer gebeuren. Ook hoeft u de toestemming niet elke keer te vragen als de gebruiker uw website bezoekt; één keer is genoeg. U kunt echter niet voor meerdere websites of diensten tegelijk toestemming vragen. 14

15 De wijze waarop u de toestemming verkrijgt is in beginsel vormvrij. Technisch gezien kunt u dit op verschillende manieren vormgeven. Zo kunt u bij het openen van de pagina een pop-up tonen waarmee om toestemming wordt gevraagd. Maar de bewijslast dat de toestemming bestaat, ligt bij u. Dat betekent dat u de toestemming op een of andere wijze moet vastleggen, bijvoorbeeld in uw database met gebruikersprofielen. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd! Toestemming kan te allen tijde door de gebruiker worden ingetrokken. Dit is bijvoorbeeld het geval als een gebruiker de cookies handmatig of met een cookieverwijderaar van zijn computer verwijdert. In dat geval moet dus weer opnieuw toestemming worden verkregen alvorens de cookie op de computer terug te plaatsen. Wet bescherming persoonsgegevens U heeft vastgesteld dat u door het plaatsen van cookies of het uitlezen van informatie tevens persoonsgegevens verwerkt. Dat betekent dat ook de Wet Bescherming Persoonsgegevens (WBP) van toepassing is op uw situatie. De WBP eist dat de hierboven genoemde toestemming ondubbelzinnig is verkregen; dat wil zeggen dat de toestemming op een robuuste wijze tot stand moet komen, bijvoorbeeld door het aanklikken van een tickbox of op een andere wijze waaruit de toestemming van de gebruiker kan worden afgeleid. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd! Voorts moet u aan alle overige verplichtingen van de WBP voldoen. Zo mag u onder meer de informatie niet langer bewaren dan noodzakelijk, u moet passende beschermingsmaatregelen treffen tegen verlies of onrechtmatige verwerking van de informatie en eventueel een melding doen bij het College Bescherming Persoonsgegevens (CBP). Voorts moet u in dat geval de toestemming van de ouder of voogd verkrijgen als u cookies zou willen plaatsen of uitlezen van een computer of smartphone van een kind jonger dan 16 jaar. Let op: Als u in uw situatie artikel 11.7a van de Telecommunicatiewet niet naleeft, kan dit in theorie voor uw onderneming vérstrekkende gevolgen hebben. Niet alleen riskeert u een bestuurlijke boete van maximaal euro van de OPTA, ook overtreedt u in dat geval de Wet Bescherming Persoonsgegevens. Dit kan leiden tot een last onder dwangsom van het CBP. Als u daarnaast ook geen melding van een verwerking van persoonsgegevens bij het CBP heeft gedaan, pleegt u tevens een strafbaar feit dat thans met maximaal euro boete kan worden bestraft. * Aan het door ons gegeven advies kunt u geen rechten ontlenen. U blijft als eigenaar van een website te allen tijde zelf verantwoordelijk voor het naleven van de wet. Door middel van dit advies proberen wij u slechts zo goed mogelijk te informeren over de nieuwe cookiewet. Vraag bij twijfel advies aan een specialist op dit gebied. 15

16 9. Uw website of elektronische dienst plaatst cookies of leest gegevens uit voor andere dan de hiervoor doeleinden (dus niet het volgen van het gedrag van de klant, het aangaan of sluiten van een overeenkomst, het leveren van een door de consument gevraagde dienst of het mogelijk maken van de communicatie over het netwerk). Deze cookies bevatten echter geen persoonsgegevens en leiden ook niet anderszins tot de verwerking van persoonsgegevens. Op dit soort cookies is de Telecommunicatiewet van toepassing. Dit houdt in dat u: de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en vóóraf toestemming moet hebben van de gebruiker. Informeren De inhoud van de informatie moet voldoen aan de eisen van de Wet Bescherming Persoonsgegevens. Dit betekent dat de gebruiker moet kunnen begrijpen welke risico s er aan het accepteren van cookies kunnen zijn verbonden. U moet de gebruiker daarom ten minste informeren over: De identiteit van de organisatie die verantwoordelijk is voor het plaatsen en/of uitlezen van de cookies (uw bedrijf dus); De functie van cookies, oftewel: waarom u de cookie wenst te plaatsen of uit te lezen (art. 11.7a lid 1 sub a Telecommunicatiewet); Overige informatie waaruit blijkt dat u zorgvuldig omgaat met de cookies en de verkregen informatie, zoals bijvoorbeeld de periode gedurende welke de cookie actief blijft en de eventuele categorieën van personen/organisaties die toegang hebben tot die informatie of aan wie die informatie wordt verstrekt (bijvoorbeeld een webanalytics service). Ten slotte is het zinvol om te melden welke cookies van u zelf zijn (first-party cookies) en welke via uw website eventueel door andere partijen worden geplaatst (third party cookies). De informatie moet makkelijk vindbaar, duidelijk en begrijpelijk zijn. Een enkele link vanaf uw website naar een algemeen privacy statement is waarschijnlijk onvoldoende. Toestemming vragen Naast het geven van informatie over de cookies bent u verplicht om de gebruiker om diens toestemming te vragen alvorens u cookies plaatst op of uitleest van zijn of haar computer. Toestemming moet een vrije wilsuiting zijn en gebaseerd zijn op volledige informatie. Bovendien moet deze toestemming specifiek zijn, dat wil zeggen: het moet duidelijk zijn waarvoor de klant toestemming geeft en aan wie (met naam en toenaam). U hoeft niet voor iedere cookie afzonderlijk toestemming te vragen; dat kan in één keer gebeuren. Ook hoeft u de toestemming niet elke keer te vragen als de gebruiker uw website bezoekt; één keer is genoeg. U kunt echter niet voor meerdere websites of diensten tegelijk toestemming vragen. De wijze waarop u de toestemming verkrijgt is in beginsel vormvrij. Technisch gezien kunt u dit op verschillende manieren vormgeven. Zo kunt u bij het openen van de pagina een pop-up tonen waarmee om toestemming wordt gevraagd. Maar de bewijslast dat de toestemming bestaat, ligt bij u. Dat betekent dat u de toestemming op een of andere wijze moet vastleggen, bijvoorbeeld in uw database met gebruikersprofielen. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd! Toestemming kan te allen tijde door de gebruiker worden ingetrokken. Dit is bijvoorbeeld het geval als een gebruiker de cookies handmatig of met een cookieverwijderaar van zijn computer verwijdert. In dat geval moet dus weer opnieuw toestemming worden verkregen alvorens de cookie op de computer terug te plaatsen. 16

17 U doet er voorts verstandig aan om voor de zekerheid na te gaan of u mogelijk toch persoonsgegevens verwerkt en of dus de Wet Bescherming Persoonsgegevens (WBP) van toepassing is. Kunt u echter (eenvoudig) vaststellen dat het hier niet om een verwerking van persoonsgegevens gaat, dan is de WBP ook niet van toepassing. Dat laat onverlet dat het CBP of de gebruiker bewijs kan leveren van het tegendeel. * Aan het door ons gegeven advies kunt u geen rechten ontlenen. U blijft als eigenaar van een website te allen tijde zelf verantwoordelijk voor het naleven van de wet. Door middel van dit advies proberen wij u slechts zo goed mogelijk te informeren over de nieuwe cookiewet. Vraag bij twijfel advies aan een specialist op dit gebied. 17

18 10. Uw website of elektronische dienst plaatst cookies of leest gegevens uit voor andere dan de hiervoor doeleinden (dus niet het volgen van het gedrag van de klant, het aangaan of sluiten van een overeenkomst, het leveren van een door de consument gevraagde dienst of het mogelijk maken van de communicatie over het netwerk). Deze cookies bevatten persoonsgegevens dan wel het plaatsen of uitlezen van deze cookies leidt anderszins tot de verwerking van persoonsgegevens. Op dit soort cookies is de Telecommunicatiewet van toepassing. Dit houdt in dat u: de gebruiker vóór het plaatsen van de cookies of het lezen van de gegevens moet informeren, en vóóraf toestemming moet hebben van de gebruiker. Informeren De inhoud van de informatie moet voldoen aan de eisen van de Wet Bescherming Persoonsgegevens. Dit betekent dat de gebruiker moet kunnen begrijpen welke risico s er aan het accepteren van cookies kunnen zijn verbonden. U moet de gebruiker daarom ten minste informeren over: De identiteit van de organisatie die verantwoordelijk is voor het plaatsen en/of uitlezen van de cookies (uw bedrijf dus); De functie van cookies, oftewel: waarom u de cookie wenst te plaatsen of uit te lezen (art. 11.7a lid 1 sub a Telecommunicatiewet); Overige informatie waaruit blijkt dat u zorgvuldig omgaat met de cookies en de verkregen informatie, zoals bijvoorbeeld de periode gedurende welke de cookie actief blijft en de eventuele categorieën van personen/organisaties die toegang hebben tot die informatie of aan wie die informatie wordt verstrekt (bijvoorbeeld een webanalytics service). Ten slotte is het zinvol om te melden welke cookies van u zelf zijn (first-party cookies) en welke via uw website eventueel door andere partijen worden geplaatst (third party cookies). De informatie moet makkelijk vindbaar, duidelijk en begrijpelijk zijn. Een enkele link vanaf uw website naar een algemeen privacy statement is waarschijnlijk onvoldoende. Toestemming vragen Naast het geven van informatie over de cookies bent u verplicht om de gebruiker om diens toestemming te vragen alvorens u cookies plaatst op of uitleest van zijn of haar computer. Toestemming moet een vrije wilsuiting zijn en gebaseerd zijn op volledige informatie. Bovendien moet deze toestemming specifiek zijn, dat wil zeggen: het moet duidelijk zijn waarvoor de klant toestemming geeft en aan wie (met naam en toenaam). U hoeft niet voor iedere cookie afzonderlijk toestemming te vragen; dat kan in één keer gebeuren. Ook hoeft u de toestemming niet elke keer te vragen als de gebruiker uw website bezoekt; één keer is genoeg. U kunt echter niet voor meerdere websites of diensten tegelijk toestemming vragen. De wijze waarop u de toestemming verkrijgt is in beginsel vormvrij. Technisch gezien kunt u dit op verschillende manieren vormgeven. Zo kunt u bij het openen van de pagina een pop-up tonen waarmee om toestemming wordt gevraagd. Maar de bewijslast dat de toestemming bestaat, ligt bij u. Dat betekent dat u de toestemming op een of andere wijze moet vastleggen, bijvoorbeeld in uw database met gebruikersprofielen. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd! Toestemming kan te allen tijde door de gebruiker worden ingetrokken. Dit is bijvoorbeeld het geval als een gebruiker de cookies handmatig of met een cookieverwijderaar van zijn computer verwijdert. In dat geval moet dus weer opnieuw toestemming worden verkregen alvorens de cookie op de computer terug te plaatsen. 18

19 Wet Bescherming Persoonsgegevens U heeft vastgesteld dat de u door middel van het plaatsen van cookies of het uitlezen van informatie van de computer van de gebruiker tevens persoonsgegevens verwerkt. Dat betekent dat ook de Wet Bescherming Persoonsgegevens (WBP) van toepassing is op uw situatie. De WBP eist dat de hierboven genoemde toestemming ondubbelzinnig is verkregen; dat wil zeggen dat de toestemming op een robuuste wijze tot stand moet komen, bijvoorbeeld door het aanklikken van een tickbox of op een andere wijze waaruit de toestemming van de gebruiker kan worden afgeleid. NB. Het accepteren van een vooraf aangevinkt hokje wordt niet als een geldige toestemming beschouwd! Voorts moet u aan alle overige verplichtingen van de WBP voldoen. Zo mag u onder meer de informatie niet langer bewaren dan noodzakelijk, u moet passende beschermingsmaatregelen treffen tegen verlies of onrechtmatige verwerking van de informatie en eventueel een melding doen bij het College Bescherming Persoonsgegevens (CBP). Voorts moet u in dat geval de toestemming van de ouder of voogd verkrijgen als u cookies zou willen plaatsen of uitlezen van een computer of smartphone van een kind jonger dan 16 jaar. Let op: Als u in uw situatie artikel 11.7a van de Telecommunicatiewet niet naleeft, kan dit in theorie voor uw onderneming vérstrekkende gevolgen hebben. Niet alleen riskeert u een bestuurlijke boete van maximaal euro van de OPTA, ook overtreedt u in dat geval de Wet Bescherming Persoonsgegevens. Dit kan leiden tot een last onder dwangsom van het CBP. Als u daarnaast ook geen melding van een verwerking van persoonsgegevens bij het CBP heeft gedaan, pleegt u tevens een strafbaar feit dat thans met maximaal euro boete kan worden bestraft. * Aan het door ons gegeven advies kunt u geen rechten ontlenen. U blijft als eigenaar van een website te allen tijde zelf verantwoordelijk voor het naleven van de wet. Door middel van dit advies proberen wij u slechts zo goed mogelijk te informeren over de nieuwe cookiewet. Vraag bij twijfel advies aan een specialist op dit gebied. 19

20 Overige informatie Randapparatuur Computerapparatuur van de consument. (Uit)lezen van gegevens Dit betreft het uitlezen van gegevens, bestanden of inhoud die zich bevindt op de randapparatuur van de consument. De nieuwe regels gaan dus niet alleen over cookies. Onder het uitlezen van gegevens vallen technieken als device fingerprinting, java-scripts, webtaps, spionagesoftware, dialerprogramma s en inbelprogramma s, etc. Cookies Alle gegevens/bestanden/inhoud (hoe ook genaamd) die op de randapparatuur van de consument worden geplaats. Belangrijk: Volgen van gedrag Het verzamelen, combineren of analyseren van gegevens over het gebruik van diensten op internet door de consument voor commerciële, charitatieve of ideële doeleinden. (art. 11.7a lid 1 sub 2 Tcw). Persoonsgegevens Gegevens die herleidbaar zijn tot geïdentificeerde of identificeerbare natuurlijke persoon (dus niet een rechtspersoon) (art. 1 sub a WBP). Verwerking van persoonsgegevens Het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, het afschermen, uitwissen, vernietigen of andere mogelijke handelingen met persoonsgegevens. (art. 1 sub b WBP). Ondubbelzinnige toestemming Elke vrije, specifieke en op informatie berustende ondubbelzinnige wilsuiting waarmee de betrokkene aanvaardt dat zijn persoonsgegevens worden verwerkt. De OPTA heeft bepaald dat dit minimaal door middel van opt-in gedaan moet worden. Opt-out (een aangevinkt hokje) wordt niet als ondubbelzinnig beschouwd. OPTA De onafhankelijke Post en Telecommunicatie Autoriteit. Deze organisatie controleert of marktpartijen (bedrijven) de wet naleven om consumenten te beschermen en heeft de bevoegdheid om sancties op te leggen. Expliciet De consument moet weten aan wie en waarvoor hij toestemming geeft. Vrije wilsuiting De consument mag niet verplicht worden tot het geven van toestemming. CBP Het College bescherming persoonsgegevens. Deze organisatie ziet erop toe dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd en dat privacy ook in de toekomst gewaarborgd blijft. De organisatie heeft de bevoegdheid om sancties op te leggen. 20

21 Toestemming Elke vrije, specifieke en op basis van informatie gedane wilsuiting. De wijze van toestemming is vormvrij. Opt-in Toestemming geven vooraf, dus voordat de cookie wordt geplaatst. Opt-out Bezwaar tegen het verwerken van informatie, bijvoorbeeld door middel van het verwijderen van een vinkje dat automatisch aanstaat. Device fingerprinting Een techniek waarbij computers op basis van specifieke eigenschappen en instellingen, zoals de versiestrings, ingestelde tijdzone, lettertypes en plugins, een unieke ID toegewezen krijgen. Zo kunnen personen geïndentificeerd worden en kan een interesseprofiel bijgehouden worden. 21