Informatie Cookies

Home > Alg. VoorWaarden > Informatie Cookies

Informatie Cookies

Ontwerp van aanbeveling uit eigen beweging betreffende het gebruik van cookies voorgelegd voor publieke bevraging (CO-A-2012-004)

Al enkele maanden ontvangt de Commissie voor de bescherming van de persoonlijke levenssfeer steeds meer vragen en klachten over het gebruik van cookies door websiteontwikkelaars. Zoals wordt uitgelegd in de inleiding, stelt zij ook een technische evolutie vast waarbij een technische mechanisme worden ingezet die noodzakelijk is voor het concept ervan; zo werden nieuwe aanwendingen vastgesteld die niet alle rechtmatig zijn en die de privacy van de internetgebruiker aantasten.

Vooraleer een aanbeveling uit eigen beweging uit te brengen over dit breed thema in volle ontwikkeling, wenst de Commissie advies en suggesties inwinnen van de diverse betrokken gemeenschappen: de internetgebruikers die al dan niet slachtoffer zijn van deze praktijken, de ontwikkelaars van software voor inhoudbeheer op websites, de adverteerders en andere professionele gebruikers van cookies en alle andere betrokken personengroepen. Dit is dus een oproep naar hun reacties maar deze staan het standpunt niet in de weg dat de Commissie later zal innemen.

Deze reacties zullen ook bijdragen tot het opstellen van praktische raadgevingen, gegroepeerd volgens de verschillende betrokken factoren: verantwoordelijken voor de verwerking, websitebeheerders, internetgebruikers, diverse operatoren of beroepssectoren.

Deze raadpleging, bekend gemaakt op 24 april 2014, wordt afgesloten op 31 juli 2014. Daarna zal de Commissie alle opmerkingen evalueren en ze synthetiseren in een aanbeveling uit eigen beweging.

Alle adviezen, opmerkingen of andere voorstellen worden gericht aan de Privacycommissie per post (Drukpersstraat 35, 1000 Brussel) of per mail (commission@privacycommission.be).

Het voorliggend ontwerp van aanbeveling bestaat uit 3 delen:

I. Definities, context en algemene beschouwingen

II. Het juridisch kader met een reeks aanbevelingen

III. De praktische en technische overwegingen met voorbeelden van een cookiesbeleid.

Betreft: aanbeveling uit eigen beweging over het gebruik van cookies (CO-AR-2012-004)

De Commissie voor de bescherming van de persoonlijke levenssfeer;

Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 30;

Gelet op de aanvraag van ontvangen op ;

Gelet op het verslag van de heer Eric Gheur;

Brengt op de volgende aanbeveling uit:

INLEIDING EN DOELSTELLINGEN VAN DE AANBEVELING

1. Context

Met het oog op het creëren van een jurisprudentie, keurde de Groep van het Artikel 29 (Adviesverstrekkende groep, opgericht door artikel 29 van de Richtlijn 95/46/EG over de bescherming van de persoonsgegevens, die de Europese controleautoriteiten samenbrengt) op 2 oktober 2013 een

document goed met richtsnoeren (Working Document 02/2013 providing guidance on obtaining consent for cookies: https://eu.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf) voor het verkrijgen van de toestemming van de internetgebruiker voor het memoriseren van cookies op de individuele werkpost. Dit juridisch document bepaalt de voorwaarden en modaliteiten van het verkrijgen van de toestemming om bepaalde cookies te kunnen gebruiken.

De Commissie wil dit onderwerp uitdiepen, en antwoord geven op meerdere concrete vragen die zowel worden gesteld door juristen als technici en websiteontwikkelaars, met name over de aspecten inzake adverteren en direct marketingpraktijken. Met deze uitgezette krijtlijnen wil de Commissie de websiteontwikkelaars en de adverteerders helpen misbruiken te voorkomen die de privacy aantasten; er waren reeds klachten over dergelijke misbruiken en ze zijn strafbaar krachtens de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

2. Uitbreiding van het concept

Cookies bevatten informatie (mini-bestanden) die bij communicatie wordt overgebracht en worden gereguleerd door verschillende technische normen, maar zijn ook onderworpen aan wettelijke vereisent zoals de Wet van 10 juli 2012 betreffende elektronische communicatie. De Commissie stelt vast dat de functies van cookies steeds meer worden gerealiseerd met technische varianten, wat vragen doet rijzen over de toepasbaarheid van de telecomwet en over de toestemming van de internetgebruiker in het bijzonder. Cookies of de tools die ze vervangen zijn echter in het algemeen persoonsgegevens waarop de Wet van 8 december 1992 van toepassing is, wat de technische implementatie ervan ook is.

Hiermee geconfronteerd wil de Commissie de juridische bakens opnieuw uitzetten, in het bijzonder wat de voorwaarden betreft voor rechtmatigheid van de verwerkingen volgens het gebruik of doeleinde.

De Commissie beoogt dus niet enkel cookies zoals ze algemeen gekend zijn, maar ook alle soorten bestanden of informatie die de rol van cookies zouden opnemen of aanvullen. In het kader van deze aanbeveling en bij gebrek aan bestaande terminologie, zal de Commissie deze verschillende informatica-objecten aanduiden als "meta-bestanden".

I. DEFINITIES, CONTEXT EN ALGEMENE BESCHOUWINGEN

1 COOKIES EN SPOREN

1.1 Historische oorsprong

1. Wanneer een internetgebruiker zich op het net aanmeldt, wisselt hij elektronische berichten uit met de server die met het “web” verbonden is: deze initieert de verbinding door een request te sturen (via de identificatie van het URL-adres van de server) en de server antwoordt daarop door de homepagina of de specifiek, opgevraagde pagina op te zenden. De conversatie wordt voortgezet door informatie terug te sturen naar de server door al dan niet gebruik te maken van de informatie op de pagina die de server heeft ontvangen of door de informatie aan te vullen met de informatie die door het klavier werd ingetikt of opgezocht op de computer van de internetgebruiker. De berichten moeten elektronisch uitgewisseld worden tussen de partners.

De mogelijke verschillende berichtvormen zijn gestandaardiseerd en dragen de naam van het communicatieprotocol waarvan de identifier in principe het eerste opschrift is van ieder bericht: HTTP, HTTPS, MMS, etc.

2. Om bruikbaar te zijn moet het bericht ook velerlei andere informatie bevatten: details over het beveiligingsprotocol (SSL), de adressen van de afzender en de ontvanger van het bericht, het soort inhoud, indicatoren over de eventuele codeerwijze, etc. Bepaalde elementen van die technische voor de communicatie noodzakelijke informatie, worden samengebracht in een minibestand, de zogenaamde cookies (voor een volledige technische definitie zie RFC 6265 van de Werkgroep Internet Engineering Task Force (IETF): https://tools.ietf.org/html/rfc6265. De RFC is “Request for Comment” wordt beschouwd als een technische norm), die aan de ene kant beheerd worden door de software van de servers en de andere door de communicatie- en navigatiesoftware van de gebruiker (de gebruiker die surft op het internet). De initiële rol bestond erin om in te staan voor de continuïteit van de uitwisselingen (alles samen “transactie” genoemd waarvan het cookie de “getuige” is), bijvoorbeeld wanneer het nodig is dat een communicatie geauthentiseerd wordt of om toegang te hebben tot de websitepagina’s voorbehouden aan geregistreerde leden. Voor een goede communicatie worden deze cookies voorlopig opgeslagen in de computers van de communicatiepartners en beheerd door navigatiesoftware.

3. De hoeveelheid informatie van de basiscookies is beperkt, en bedraagt zelden meer dan een honderdtal karakters. Ze worden in principe geïdentificeerd met de naam van het domein dat bezocht wordt (of aan de hand van de URL), om de toegang tot de cookies van andere bezochte sites te vermijden maar deze toegangsbeperking kan evenwel omzeild worden. De opgeslagen en meegedeelde informatie is verbonden met de partners van de communicatie en laten toe persoonsgegevens impliciet te beheren: het internetadres (IP-adres) van de gebruiker of de ingewonnen informatie op zijn PC kan in verband worden gebracht met een geïdentificeerde of identificeerbare persoon. De WVP is bijgevolg van toepassing.

4. De cookies die bij een zending naar de internetgebruiker gedeponeerd worden, kunnen ook gelezen, gewijzigd en gerecupereerd worden door de ebsite. Eens opgeslagen op de computer van de internetgebruiker, kunnen ook andere websites er later toegang tot hebben, wanneer er tussen deze verschillende sites conversaties ontstaan. Deze cookies worden beheerd door de courante browsers van de computers. Maar mobiele apparaten (smartphones, tabletten,…) gebruiken echter andere browsertechnieken (buiten de traditionele browsers op de smartphone. Zie hiervoor Working Paper on Web Tracking and Privacy: Respect for context, transparency and control remains essential (15-16 April 2013, Prague (Czech Republic)), van de International Working Group on Data Protection in Telecommunications (gekend onder de naam “Groep van Berlijn”): https://www.datenschutzberlin.de/attachements/949/675.46.13.pdf) die niet zullen worden besproken in deze aanbeveling.

5. Om bepaalde meer specifieke functies mogelijk te maken, kunnen cookies ook parameters bevatten en informatie eigen aan de software die intervenieert in de communicatie. Het is deze mogelijkheid die heel veel wordt gebruikt en die de deur opent voor illegaal gegevensgebruik. De rol die aan cookies is toegevallen, staat aldus los van zijn eerste bestemming of fysieke locatie.

1.2 De ontstane dynamiek

6. Toen het internet nog aan het begin stond, waren cookies de enige mogelijkheid om met een internetgebruiker te interageren en bepaalde informatie in een vaste structuur op te slaan. Maar door de ontwikkeling van dynamische functies van de gebruikte taal ontstonden er nieuwe mogelijkheden, met name door actieve bestanddelen die rechtstreeks interageren met het systeem van de internetgebruiker. Zo zien we dat de oude cookiefuncties vandaag progressief verricht worden door andere technische middelen die groter profijt trekken uit de mogelijkheden van de computers met betrekking tot de capaciteit van de verwerking en het memoriseren.

7. Hoewel de technische mogelijkheden veranderd zijn, wijzigt dit in niets de problematiek met betrekking tot het beheer van de informatie die op de computer van de internetgebruiker wordt opgeslagen, meestal zonder zijn medeweten.

8. Deze dynamiek zette zich ook verder op de servers, die een spiegel kunnen bewaren van de informatie die bij de internetgebruiker zit opgeslagen of van de voorbije gebeurtenissen: cookies, browserhistoriek, inhoud van de uitgewisselde pagina’s, etc.

9. De cloud en mobiele accounts stellen de providers ook in staat om op afstand bestanden en persoonlijke parameters op te slaan, zoals de favorieten, de cookiebestanden, de bestanden van de browserhistoriek of andere informatie die de computer van de internetgebruiker heeft ingewonnen.

1.3 De recentste evoluties in cookiegebruik

10. Naarmate de behoeften van het internetgebruik evolueerden, vonden ook de aanwendingen

van het cookie, als noodzakelijk deel van de communicatie, verdere uitbreiding: van een

eenvoudige technische rol, wordt het cookie meer en meer gebruikt als informatiedrager die

nuttig is voor de transactie zelf. Het cookie evolueerde van een “syntactische’ naar een

“semantische” rol: het cookie is een minibestand dat bijvoorbeeld de datum van de laatste

aankoop opslaat, het totale bedrag van een winkelmandje of de lijst van de laatste

gedownloade bestanden.

Uitgaande van deze uitbreiding, zijn er nieuwe gevaren ontstaan voor de privacybescherming:

de informatie van een cookie kan worden aangevuld met informatie uit applicaties die de

communicatie tot stand brengen om vervolgens door het cookie hergebruikt te worden, zowel

door de server als door de gebruiker. Door deze behoefte aan informatie moeten er ook meer

karakters worden doorgezonden, en dat kan tot honderdduizenden oplopen. Omdat cookies hun

beperkingen hebben, worden steeds meer andere technieken ingezet en dit voor zeer diverse

aanwendingen. Zo wordt de rol van het cookie overgenomen door andere informatiegroepen

waarin meestal de inhoud zelf van het bericht wordt opgeslagen, die beheerd worden door

aanvullende, specifieke software (modules, add-ons, plug-ins, ActiveX controle,…). Deze

bijkomende modules worden, meestal zonder medeweten van de gebruiker, geïntegreerd in de

browsers of in de software die de toegang tot het internet regelt bijvoorbeeld tijdens een

update of meer dynamisch, bij de toegang tot bepaalde media (video’s “flash”,…).

11. Neem het voorbeeld van de toegang tot de verschillende media (video’s, muziek,…) die een

module nodig heeft om het mediaformat te kunnen decoderen en die eveneens instaat voor de

verwerking van cookies. Op die manier is het principe van het cookie uitgebreid naar de opslag

in albums van de lijst van de bezochte of gedownloadde media.

12. Dit voorbeeld toont aan dat het “cookie” voor meerdere doelen kan worden aangewend, die erg

verschillen van het initiële, technische doeleinde en dat de verwerkingswijze van het cookie Aanbeveling / - 8/62

gevarieerder wordt naargelang het buiten het strikte kader van communicatienormen en –

protocollen wordt aangewend.

13. De diversiteit en complexiteit van de aanwendingen van het cookie, vergt een veralgemeende

benadering van het cookieprincipe. Dit is noodzakelijk wil men opnieuw een coherent juridisch

debat voeren. Deze benadering zal ook de betrokken personen - niet technici - toelaten een

betere controle te hebben over hun persoonsgegevens.

1.4 Het metabestand : veralgemening van het concept cookie

14. Deze aanbeveling beoogt alle informatiebundels die gebruikt worden bij een communicatie en

die niet uitsluitend deel uitmaken van de inhoud van de communicatie, maar die informatie

bevatten over de context of over de inhoud van de communicatie. Bij gebrek aan specifieke

terminologie, wordt de term "meta-bestanden" gebruikt ; op die manier wordt het mogelijk het

concept eenvormig te maken zonder te moeten uitweiden over gedetailleerde technische

elementen, die steeds evolueren.

15. In de redenering hieronder, is het cookie, het initiële cookie maar ook iedere afgeleide vorm

door zijn doeleinden, zijn inhoud of het verwerkings- en opslagproces, zoals de

“metabestanden” of de “minibestanden”.

16. Het bestaan van een metabestand, ongeacht de manier waarop deze technisch werd

geconcretiseerd, roept geen juridische problemen op maar het is de wijze waarop het wordt

samengesteld, gebruikt of opgeslagen die vragen oproept rond de bescherming van

persoonsgegevens en dus van de privacy van de internetgebruiker.

1.5 De risico’s voor de betrokken personen

Identificatie van de risico’s

17. Cookies zijn passieve informatiebestanden en vormen van zichzelf geen risico. Hun gebruik kan

evenwel op verschillende manieren de privacy aantasten:

 door informatie voor bepaalde doeleinden op te slaan op de werkpost van de

internetgebruiker om die informatie vervolgens opnieuw te gebruiken voor anderen doelen.

 door het surfgedrag te traceren om er een profiel uit af te leiden die de latere dialogen

zullen beïnvloeden ten nadele van de internetgebruiker;

 door derden de opgeslagen cookies te laten zoeken om de opgeslagen informatie opnieuw

te kunnen gebruiken; Aanbeveling / - 9/62

 door de opgeslagen informatie te recupereren of te verdraaien met de bedoeling de

beveiliging aan te tasten;

 door de codes of parameters op te slaan die later gebruikt zullen worden door actieve

schadelijke bestanddelen.

De strikt technische informatie

18. De informatie die noodzakelijk is voor de communicatie (in al zijn vormen, cookies of andere,

persoonlijk of niet), vanaf de verzender tot aan de ontvanger die vervolgens wordt gewist

zonder eigenlijk echt verwerkt te zijn voor andere doeleinden, veroorzaakt geen enkel

probleem. Omdat zij noodzakelijk zijn voor een enig doel, nl. de communicatie, is er geen

toestemming vereist van de betrokken persoon noch enige andere bijzondere regeling.

De voor andere doelen aangewende informatie

19. Alle andere persoonlijke informatie die voor andere doelen wordt aangewend (opvolging van de

transactie voor authenticatie, winkelmandjes, etc.) vertonen risico’s die de privacy aantasten en

is onderworpen aan de WVP.

Nevenrisico’s

20. Alle persoonlijke informatie kan op een frauduleuze manier worden verzameld door “het

netwerk “af te luisteren”, of hacken van systemen. Dergelijke risico’s moeten op een globalere

manier worden behandeld en zullen hier niet binnen het afgebakend cookiekader worden

besproken.

1.6 Categorieën cookies

21. De cookies worden naargelang hun gebruik op verschillende wijze gekwalificeerd en de

terminologie staat nog niet vast (een raadpleging van het cookiebeleid op websites toont aan dat de gebruikte terminologie niet eenvormig is. Deze laatste heeft geen gevolgen het voorliggend ontwerp van aanbeveling. Het staat iedere websitebeheerder vrij om in zijn policy de gebruikte categorieën cookies te herdefiniëren); eenzelfde cookie kan dienen voor meerdere onderscheiden

doeleinden. Om de juridische concepten dichter te brengen bij de technische implementeringen, onderscheiden we hieronder bepaalde categorieën cookies, al naargelang de mogelijkheden die zij bieden:

Verbindingscookies

22. Dit zijn cookies en metabestanden die de communicatie op het netwerk ondersteunen (routeren

van de berichten, coderingsinformatie,…).

Essentiële cookies

23. Dit zijn cookies die noodzakelijk zijn voor een goede communicatie en ze vergemakkelijken het

navigeren: bijvoorbeeld naar een vorige pagina terugkeren, etc.

De hieronder omschreven cookies zijn essentiële cookies.

Cookies voor functionaliteit van de browser of gebruiksvriendelijkheid

24. Bepaalde cookies memoriseren de dialoogtaal, of laten toe een pagina te personaliseren door

rekening te houden met de vorige opzoekingen of dialogen. Het eerste doeleinde van deze

cookies bestaat erin om de dialogen gebruiksvriendelijker te maken.

Zij kunnen ook nuttige informatie bevatten, zoals de lopende aankopen (winkelmandje), de

gememoriseerde documentenlijst in een persoonlijke ruimte, etc. Deze cookies worden gewist

na een surfsessie of zij worden integendeel bewaard om te worden aangevuld of opgefrist bij

latere bezoeken.

Tijdelijke en permanente cookies

25. Cookies bestaan maar zolang als de uitwisseling of de conversatie duurt met de website

(maximum enkele uren) en ze worden gewist zodra de internetgebruiker de browser verlaat; zij

worden tijdelijke cookies genoemd.

De andere cookies kunnen een langere vastgestelde levensduur hebben of vastzitten aan een

vervaldatum; het betreffen permanente cookies. Ze worden pas gewist door een nieuw cookie

dat afkomstig is van de server die ze creëerde, desgevallend met nieuwe vervaldatum. Zij

kunnen ook worden gewist als de gebruiker hiertoe een uitdrukkelijke handeling stelt door de

historiek te wissen of de software die de cookies surveilleert. Deze handelingen van de

gebruiker wissen niet noodzakelijk alle cookies en metabestanden die op de werkpost zijn

opgeslagen.

Eerste partij of derde partijcookies

26. De tijdens de dialoog gememoriseerde cookies kunnen worden beheerd door de bezochte

website, dit zijn cookies die eigen zijn aan de bezochte site (eerste partijcookies).

Een cookie kan ook nader bepaald worden door een andere dan de bezochte website. Zo

genereert de “I like” knop op een pagina van een bezochte site een cookie dat door Facebook wordt geïdentificeerd; Facebook kan het op een later tijdstip lezen en wijzigen. Deze cookies

worden derde partijcookies genoemd; zij kunnen informatie bevatten over de open uitwisseling,

zoals het IP-adres van de internetgebruiker, het adres van de bezochte pagina of ieder andere

informatie.

Sommige websites gebruiker derde partijcookies voor de functionaliteit zelf van de

uitwisselingen, bijvoorbeeld de webmails Hotmail, MSN en Windows Live Mail. Wanneer de

derde partijcookies uitgeschakeld wordend door de parameters van de browser te weigeren,

kunnen er communicatieproblemen met deze website ontstaan.

27. De derde partijcookies maken het dus mogelijk dat er persoonsgegevens worden verzonden

naar derden, hetzij direct (bijv. door een actief bestanddeel dat aan een banner is gekoppeld of

een spionpixel), hetzij indirect door cookies te plaatsen die toegankelijk zijn voor andere

websites dan deze van de adverteerder. Deze gegevensdoorgiftes zijn impliciet en gebeuren

tijden het opladen van de pagina en dus zonder medeweten van de internetgebruiker.

Klaviervriendelijke Cookies

28. De op het toetsenbord opgestelde teksten om formulieren in te vullen worden bewaard in

cookies of in andere op de computer bewaarde metabestanden: zij doen automatische

tekstvoorstellen (identificatie, adres, paswoorden,…). Deze informatie blijft beschikbaar voor de

later bezochte websites. Er bestaan in de browsers diverse mogelijkheden om de opslag van

dergelijke informatie te beheersen, de meest zekere is het gebruik van een virtueel klavier.

Statistische of analytische cookies

29. Deze cookies verzamelen informatie over de technische gegevens van de uitwisseling of over

het gebruik van de website (bezochte pagina’s, gemiddelde duur van het bezoek,…) om

werking ervan te verbeteren.

De gegevens die op die manier door de website worden verzameld, zijn in principe

samengevoegd en worden anoniem verwerkt maar kunnen ook voor andere doeleinden worden

verwerkt.

Cookies voor websiteprestaties

30. Dit zijn analytische cookies die technische informatie over de uitwisseling vervoeren die

bijvoorbeeld nuttig zijn voor een goede routering van de pagina’s op het net of om

communicatie-incidenten of -fouten te onthouden (met name om het aantal foute

authenticaties te tellen). Tot deze categorie behoren ook de load balancing cookies waarmee requests kunnen worden

verdeeld in functie van het gebruik dat van de website wordt gemaakt (bezochte pagina’s,…).

De gegevens die op die manier worden verzameld, worden in principe samengevoegd en

anoniem gemaakt maar kunnen ook voor andere doeleinden aangewend worden.

De cookies van bezoekherkomst

31. Door de cookies die de gebruiker terugstuurt, weet een website of de bezoeker van een andere

website komt (bovenaan het request met een derde partijcookie) of als hij zijn bezoek op

dezelfde site verderzet (bovenaan met het cookie eigen aan de website) waardoor de website

du het aantal gelezen pagina’s per bezoek kan tellen. Dit laat de websitebeheerder ook toe om

de herkomst van het bezoek te kennen, bijvoorbeeld de bezoeken die gegenereerd werden via

een opzoeking op een zoekmachine. Het is dus ook een manier om de doelmatigheid te meten

van de hits van de zoekmachine. De meeste webhosts journaliseren deze cookies ook om aan

hun klanten statistieken te kunnen leveren.

Bezoek- op opvolgingscookies

32. Bezoekcookies zijn eigen cookies die toelaten het surftraject op de website te volgen. Ze zijn

nuttig voor de ontwikkeling van de website, om de kliks te tellen of de andere functies die

bezoeker activeerde.

Kijkcijfercookies

33. De cookies die met een website worden uitgewisseld bevatten het IP-adres van de gebruiker en

dus informatie over de geografische locatie maar ook andere informatie. Een consolidering van

die informatie maakt het mogelijk om bezoekers te catalogeren en het kijkcijfer van de website

te analyseren. Het is ook een middel om de bezoekers te profileren, per categorie of per IP-adres. Dergelijke profileringen zijn alleen toegestaan binnen de grenzen van de WVP. De cookies van bezoekherkomst kunnen ook dienen om de kijkcijfercookies verder te verfijnen.

Trackingcookies

34. De derde partij trackingcookies worden gebruikt door adverteerders en andere derden om het

surfen op te volgen. Ze kunnen zich op de werkpost van de internetgebruiker opstapelen

waarna de website ze vergelijkt. Het betreft hier het nagaan van het surfgedrag van een

internetgebruiker. Het is informatie die adverteerders gebruiken om hun reclame af te stellen

op basis van de gewoontes van de internetgebruiker. Ook spammers zijn natuurlijk uit op deze informatie om hun ongewenste berichten verder te kunnen optimaliseren. De “Do not Track”-

optie van bepaalde browsers of websites vermelden dat een internetgebruiker een tracking

weigert maar het verhindert de tracking niet: het staat de bezochte website namelijk vrij om die

wens al dan niet te respecteren.

Advertentiecookies

35. Veel commerciële websites bevatten reclameberichten, meestal onder de vorm van banners die

cookies opslaan op de werkpost van de internetgebruiker. Deze cookies kunnen door de pagina

zelf gegenereerd worden op het ogenblik dat de banner wordt getoond tijdens het vluchtig

overlopen van het scherm of door expliciet te klikken.

Deze cookies bevatten informatie over het surfgedrag van de gebruiker en heeft als doel hen

reclame aan te bieden die binnen hun interessesfeer valt.

Referentiecookies

36. Commerciële websites kunnen ook samenwerken met derde partijen voor het leveren van

bijkomende diensten. Deze derde partijen leveren hun eigen cookies die door de partnersite

gegenereerd worden als derde partijcookies. De derde adverteerders en de andere organisaties

gebruiken op die manier de bezochte website om hun eigen cookies te creëren voor het opslaan

van informatie over de activiteiten op de bezochte website.

De derde adverteerder gebruikt vervolgens deze informatie om reclame te verspreiden op de

bezochte websites of op andere website waarmee deze derde een overeenkomst heeft

gesloten: andere partners die u volgens hen zouden kunnen interesseren, gelet op de inhoud

die u hebt geraadpleegd. De derde adverteerders kunnen ook deze informatie gebruiken om de

doeltreffendheid van hun reclame te meten en om hun controleveld uit te breiden via

cascadeovereenkomsten.

Bijvoorbeeld, de icoontjes van sociale netwerken op een online shoppingsite, geeft aan die

netwerken toegang tot de lijst van de aankopen van de shopper door gebruik te maken van de

referentiecookies.

Cookies voor multimediadragers

37. Een multimediaweergave die begrijpelijk is voor de gebruiker vergt kennis van

multimediaparameters: het type te downloaden bestand, gebruikte compressiewijze, duur van

de weergave, afmetingen van het weergavevenster, manier waarop de intellectuele rechten

worden beschermd, etc. Dergelijke informatie is in principe anoniem en wordt voorlopig

opgeslagen op de werkpost van de gebruiker, zonder persoonlijke gegevens.

Cookies voor multimediagebruik

38. De meeste bestanddelen die multimediaweergave mogelijk maken hebben functionaliteiten ten

behoeve van de gebruiksvriendelijkheid voor de gebruiker: onthouden van de recent bekeken of

beluisterde media, klassement in albums per auteur, etc. Deze informatie kan worden

onthouden in een cookievorm, in metabestanden of op een meer intelligente manier beheerd

worden binnen de gegevensbank die op de werkpost van de gebruiker werd gecreëerd. Deze

informatiegegevens op zich, zijn geen persoonsgegevens maar kunnen voor andere doeleinden

opnieuw gebruikt worden, bijvoorbeeld om een profiel te maken van de gebruiker (met name

het definiëren van zijn smaak en soort gedrag op grond van de bezochte media).

“Flash” of “LSO”- cookies

39. Veel websites maken gebruik van een “Adobe Flash Player”-extensie om animaties of video-

inhoud af te spelen. Deze extensie genereert bijzondere cookies (Local Shared Objects). Dit zijn

cookies voor multimediadragers maar ze bieden ook andere cookies aan voor

multimediagebruik. Deze cookies worden niet beheerd door browsersopties (Adobe biedt een blz. aan met uitleg: https://www.adobe.com/security/flashplayer/articles/lso. Het beheer van die cookies

vergt een toegang tot het configuratiepaneel “Global Storage Settings panel” dat uitsluitend toegankelijk is op de website zelf

van Adobe: https://www.macromedia.com/support/documentation*en/flashplayer/help/settings_manager03.html).

Cookies voor delen van inhoud

40. De sociale netwerken zijn talrijk en gevarieerd, bijvoorbeeld: Facebook, Google+, Twitter,

Tumblr, Myspace, Linkedin, Viadeo, Xing. Zij bieden meestal knoppen aan voor delen van

inhoud (van het type “vind ik leuk”, “g+1”, “Tweeter”, “YouTube”,…) en gebruiken cookies om

hun diensten te kunnen verstrekken. Deze cookies worden beheerd door softwaremodules, met

name plug-ins, die zij zelf ter beschikking stellen of die al dan niet gratis worden aangeboden

door de ontwikkelaars. Deze modules worden aangeboden als eigen versie of open source en

bieden niet noodzakelijk een elementaire garantie op wettelijke overeenstemming.

41. Het tonen van deze knoppen genereert impliciet verschillende requests op de sociale

netwerksites en een informatie-uitwisseling, meestal zonder medeweten van de gebruiker. Deze

voor de gebruiker stille dialoog genereert vanzelfsprekend standaard communicatiecookies,

eigen aan sociale netwerksites maar zijn derde partij ten aanzien van de getoonde website die

de internetgebruiker bezoekt. Bovendien veroorzaakt een klik op de knop een reeks communicaties met het sociaal netwerk

en worden er geassocieerde cookies gebruikt. Welnu, hoewel die expliciete klik een

toestemming uitdrukt voor de gekende functie van de knop, is dit niet noodzakelijk het geval

voor de onderliggende of verborgen verwerkingen.

42. De Commissie merkt ook op dat de knop meestal samengaat met een teller (kliks, stemmen,

aantal lezingen,…). Deze informatie levert op zich geen problemen. Maar een artificiële

verhoging van de teller (door de websitebeheerder of robots) kan de perceptie of de

beoordeling van de gelezen pagina beïnvloeden en zou dus misleidend zijn.

Webbaken

43. De web bug heeft diverse namen: web bug, webbeacon, tracking bug, clear gif, pixeltag. Het is

een beeldje van 1 pixel, transparant en dus onzichtbaar op de pagina. Hij dekt de softwarecode

die de functies samenbrengt van derde partij cookies, cookies voor delen van inhoud en het

referentiecookie (voorbeeld uit Facebook: https://www.facebook.com/help/236257763148568:

“Pixeltags (ook wel 'clear GIF's', webbeacons of pixels genoemd) zijn kleine blokken code op een webpagina waarmee

websites dingen doen zoals het lezen en plaatsen van cookies. De hieruit voortkomende verbinding kan gegevens bevatten

zoals het IP-adres van de persoon, de tijd dat de persoon de pixel heeft bekeken en het type browser dat werd gebruikt.

Zowel op als buiten Facebook maken we gebruik van pixels, bijvoorbeeld wanneer je onze site of de site van een van onze

partners bezoekt. Met pixels kunnen we bestaande Facebook-cookies lezen of nieuwe cookies in je browser of op je apparaat

plaatsen. We gebruiken pixeltags om je ervaring aan te passen en meer inzicht te krijgen in hoe mensen producten en

services gebruiken. We kunnen pixeltags bijvoorbeeld gebruiken om te kijken of een persoon met een bepaalde browser een

advertentie op Facebook heeft gezien en het product van die adverteerder heeft gekocht. Dit helpt ons aan te tonen aan

adverteerders dat de advertenties die ze op Facebook uitvoeren, effect hebben. Daarnaast kunnen we pixels gebruiken om

een advertentie op of buiten Facebook aan je te kunnen laten zien. Zo kan een partner een pixel gebruiken om ons te laten

weten wanneer je de site van de partner hebt bezocht, zodat we je later een advertentie op Facebook kunnen laten zien. We

gebruiken ook pixels om te weten of je Facebook-inhoud hebt gezien of er iets mee hebt gedaan, zoals wanneer je een emailmelding hebt gelezen die we je hebben gestuurd zodat we kunnen voorkomen dat we je dezelfde melding nog een keer laten zien wanneer je de Facebook-website of -app opent, of om op een andere manier onze services te meten, begrijpen en verbeteren”).

2 DE ACTOREN

44. Aangaande de verschillende verantwoordelijkheden worden hierna 5 rollen onderscheiden:

2.1 De internetgebruiker, de bezoeker van websites

45. De internetgebruiker wisselt via zijn browsersoftware informatie uit met de servers van

websites. De getoonde pagina’s bevatten actieve bestanddelen die kunnen interageren met het

systeem van zijn werkpost, met name door de informatie lokaal op te slaan. Deze bestanddelen

kunnen ook lokale informatie lezen en wijzigen. Maar de internetgebruiker is niet alleen maar

passief: hij activeert functies door te klikken op knoppen, op aanklikbare zones of hyperlinks;

bepaalde van die functie zijn echter voor hem verborgen. Deze informatie-uitwisseling bevat

ook persoonsgegevens over de bezoeker. Zo is de internetgebruiker ook deels aansprakelijk

voor de eventuele gevolgen van het surfen: door zijn handelingen, door het al dan niet correct

bijstellen van de browserparameters, door de verstrekte informatie in formulieren of door de

manier waarop de opgeslagen informatie op zijn werkpost wordt opgeslagen.

2.2 De eigenaar van de website

46. De eigenaar van de website is de verantwoordelijke voor de verwerking die de doeleinden zal

formuleren waarvoor zijn website zal worden gebruikt. Hij staat in voor iedere verwerking van

persoonsgegevens, met inbegrip van de cookies, metabestanden of de gewoonlijk, willekeurige

sporen. Het betreft dus een globale verantwoordelijkheid zonder evenwel de potentiële

verantwoordelijkheid van andere actoren uit te sluiten.

47. In regel moet de verantwoordelijke voor de verwerking om gebruik te mogen maken van een

metabestand, de toestemming verkrijgen van de internetgebruiker: de toestemming moet vrij,

geïnformeerd, specifiek en onbetwistbaar zijn.

48. De verantwoordelijke voor de verwerking kan intern zelf de website beheren of het beheer

ervan toevertrouwen aan een derde die zal handelen in de hoedanigheid van

gegevensverwerker als bedoeld in artikel 16 van de WVP.

2.3 Websitebeheerder

49. Het beheer van de website wordt toevertrouwd aan een websitebeheerder die moet instaan

voor het creëren en de werking van de website: een of meerdere technici van de organisatie,

een leverancier van software, een derde onderneming voor websitebeheer,… Deze beheerder

heeft ook een globale verantwoordelijkheid, die hierna genuanceerd zal worden. Hij moet

instaan voor iedere aanwending van persoonsgegevens.

50. Het is deze websitebeheerder die zal beslissen over de technische modaliteiten en dus het

gebruik van metabestanden. Wanneer het manipuleren van deze metabestanden een

verwerking van persoonsgegevens inhoudt, moet hij daarvan de verantwoordelijke voor de

verwerking verwittigen en mag hij uitsluitend handelen op zijn orders. Het gebruik van cookies

of andere metabestanden kan inderdaad vereisen dat de toepassing wordt aangepast,

bijvoorbeeld om de onbetwistbare toestemming te verkrijgen van de betrokken personen. De

beheerder krijgt meestal specifiekere beheerstaken toegewezen: beheer van de mailbox, beheer van de geregistreerde gebruikers, etc. Het is mogelijk dat deze verschillende functies

het beheer vereisen van metabestanden of bijzondere loggings.

51. In de meeste gevallen zal de beheerder ook voorzien in een logging van de communicaties voor

beheersdoeleinden: prestatie van de website, toegangspercentage, etc. de meeste

communicatiesporen bevatten persoonsgegevens en mogen niet geanalyseerd of verwerkt

worden zonder rekening te houden met de WVP.

52. In ieder geval is het de verantwoordelijke voor de verwerking die moet instaan voor het

naleven van de WVP, tenzij hij kan aantonen dat de beheerder tegen zijn bevelen in heeft

gehandeld. Zo wordt de beheerder zelf aansprakelijk als hij metabestanden inzet zonder dat hij

daarover de verantwoordelijke voor de verwerking behoorlijk heeft ingelicht.

2.4 Webhost

53. Er zijn twee gevallen:

 Webhost van diensten: de verantwoordelijke voor de verwerking zelf of een instellinggegevensverwerker die over een IP-adres beschikt en die onder zijn verantwoordelijkheid aan het hele netwerk toegang verschaft tot de gehoste website op de servers. In de

meeste gevallen moet de webhost voor beheersdoeleinden van het materieel voorzien in

een logging van de communicaties: prestaties van de server, toegangspercentage, etc.

Bepaalde verwerkingen zijn specifiek aan de technische communicatie (beheer van de SSL certificaten,…) en kunnen specifieke voorzorgsmaatregelen rechtvaardigen.

 De host als openbare operator (FAI): deze host stelt een materiële en softwareconfiguratie

ter beschikking waarmee de website kan gemaakt worden, maar hij behoudt volledig het

technisch beheer van de communicatie. Hij is onderworpen aan de wet van 13 juni 2005

betreffende de elektronische communicatie. Hij moet vooral de communicatiesporen

onthouden die hij geheel of gedeeltelijk ter beschikking zal stellen van de eigenaar van de

website. Zijn rechten, plichten en verantwoordelijkheden worden geregeld door de wet en

worden hier niet onderzocht. We onthouden evenwel dat de operator bepaalde cookies

beheert die de internetgebruiker kan terugvinden op zijn werkpost, met name de SSL protocol cookies.

54. Het technische en contractueel onderscheid tussen de wederkerige diensten, de

toepassingsgerichte of de in the cloud servers, nuanceren enigszins de respectieve

verantwoordelijkheden, wat evident lijkt gelet op de opmerkingen hieronder. Aanbeveling / - 18/62

2.5 Publicitair

55. Er kunnen 3 rollen worden onderscheiden:

1 De adverteerder: de natuurlijke- of rechtspersoon die ruimte zoekt om zijn producten te

adverteren.

2 De distributeur: de eigenaar van de website die op zijn site ruimtes verhuurt voor reclame

die de adverteerder aanbiedt.

3 Het netwerk (of het nutsbedrijf): dit zijn verenigingen, agentschappen, personen die als

tussenpersonen optreden tussen de adverteerders en de distributeurs.

56. In de praktijk zal de distributeur een of meerdere banners tonen die hij heeft gekozen uit een

lijst die met de adverteerders werd overeengekomen. De selectie voor de weergave gebeurt

toevalsgewijs of volgens een bepaald algoritme, bijvoorbeeld door rekening te houden met het

gekende profiel van de bezoeker van de site: door zijn vorig klikgedrag of ieder ander mogelijk

toegankelijk criterium (taal, geografische lokalisering,…).

3 DE LOKALISERING VAN DE COOKIES EN METABESTANDEN

3.1 Tijdelijke opslag

57. De metabestanden en de communicatiesporen, kunnen naargelang hun aard gememoriseerd

worden voor kortere of langere periodes. Bepaalde tijdelijke informatie bestaat enkel gedurende

de communicatie zelf: genereren, doorzenden van de communicatie, ontvangst en zeer tijdelijk

memoriseren in een cachegeheugen.

3.2 De standaardopslag van cookies

58. De standaardcookies worden opgeslagen in ad hoc registers van de gebruiker, en worden op

een specifieke manier genereerd door diverse browsers. Hoewel het opslagprincipe met een

vervaldatum hetzelfde blijft voor alle browsers, worden meerdere varianten van cookies in het

beheer vastgesteld al naargelang de browserversie en het exploitatiesysteem (Windows 7, of 8,

iOS, Mac OS X, Android, etc.) die wordt gebruikt.

De courante browsers beschikken over functies waarmee standaardcookies kunnen worden

aanvaard of geweigerd. Er moet niettemin worden vastgesteld dat er ruimte is voor uitzonderingen: bepaalde browsers blijven bepaalde cookies aanvaarden ondanks de weigering

van de gebruiker of ze wissen niet alle cookies op verzoek (bijvoorbeeld door de nog niet

vervallen cookies te bewaren). Bovendien bieden de cookiesopties (weigering, op verzoek of

algemene toestemming) maar weinig nuancemogelijkheden naargelang het soort cookie. Voor

bepaalde browsers is het mogelijk om de opslag te weigeren van bepaalde cookies,

bijvoorbeeld derde partij cookies, terwijl andere browsers dit onderscheid niet maken: cookies

aanvaarden voor een authenticatiefunctie houdt automatisch in dat de opslag van andere

cookies voor geheel andere doeleinden wordt aanvaard.

3.3 Opslag door de beheerder

59. Alle commerciële of open software die de mogelijkheid biedt om de gebruikers te registreren,

bieden een “cookie”-functie aan om de transactie te beheren: ze worden uitgewisseld om een

wederzijdse erkenning toe te laten. Deze cookies kunnen opgeslagen blijven in een

serverregister, in een gegevensbank of op de computer van de gebruiker. De cookiefuncties

laten op die manier toe dat ze gebruikt worden voor andere doeleinden indien de beheerder dat

beslist. Hoewel de bruikbare informatie zoals authenticatiegegevens op de server wordt

bewaard, kunnen de uitgewisselde cookies zich beperken tot een identifier van de gebruiker.

Het gebruik van cookies en andere metabestanden die door de beheerder worden

gememoriseerd kan al dan niet wettelijk zijn afhankelijk van de nagestreefde doeleinden. De

algemene regels is dat een dergelijke aanwending het voorwerp moet uitmaken van de

toestemming van de gebruikers, ook als het de verantwoordelijke voor de verwerking is die de

informatie opslaat.

De software bevat dikwijls functies voor transactieloggings (inhoud van de transacties, metainformatie, cookies, etc.). Het spreekt vanzelf dat dergelijke loggings de WVP moeten naleven

en dat niet alles is toegestaan.

3.4 De opslag door de openbare webhost

60. Bepaalde cookies en metabestanden werden gecreëerd of uit een bericht getrokken, die door

de host wordt beheerd en in trackingbestanden gelogd. De verwerking van die bestanden wordt

geregeld door de wet van 13 juni 2005 betreffende de elektronische communicatie. Hoewel de

communicatiesporen ter beschikking worden gesteld van de websitebeheerder, mag hij deze

enkel gebruiken in strikte overeenstemming met de WVP.

4 DE TOEGANG, LEZING EN VEWERKING VAN COOKIES

4.1 De opgeslagen cookies op de werkpost van de bezoeker

61. De lokaal, gememoriseerde cookies zijn moeilijk toegankelijk: in diverse, meestal verborgen

registers, voorbehouden voor het systeem en dus alleen toegankelijk voor de “super

administrator” van de website. Daarnaast hebben de cookies een niet gedocumenteerde

structuur met een gecodeerde of zelfs cijferinhoud. De eigenaar is eigenlijk niet altijd in staat

om de noodzakelijke informatie te verstrekken over de cookies die zijn website genereert,

vooral door gebruik te maken van software die de eigen inhoud of open-bron-inhoud beheert.

De softwareaanbieders verstrekken weinig of geen informatie over de cookies die worden

gebruikt.

De websiteontwikkelaars zouden er dus bij hun softwareleveranciers moeten op toezien dat de

software die ze gebruiken geen cookies genereren waarvoor de toestemming is vereist en dat

zij geen mogelijkheden openlaten voor kwaadwillige of onrechtmatige verwerkingen.

Toegang van de verantwoordelijke voor de verwerking

62. Indien de verantwoordelijke voor de verwerking of de websitebeheerder voorziet in de lezing en

de verwerking van cookies die persoonsgegevens bevatten, moet hij de beperkingen en de

afbakeningen respecteren die in dit ontwerp van aanbeveling worden vastgesteld.

4.2 De opgeslagen cookies op de server van de website

63. Bepaalde cookies die bij een communicatie worden uitgewisseld, moeten hun correspondent

hebben op de server, bijvoorbeeld om een geregistreerde bezoeker of een taalkeuze te kunnen

herkennen. Maar de server moet ook alle uitgewisselde informatie loggen, ongeacht of zij al

dan niet samengaan met een cookie.

Toegang door de verantwoordelijke voor de verwerking

64. Indien de verantwoordelijke voor de verwerking of de websitebeheerder voorziet in de lezing en

de verwerking van cookies die persoonsgegevens bevatten, moet hij de beperkingen en de

afbakeningen respecteren die in dit ontwerp van aanbeveling worden vastgesteld.

4.3 De opgeslagen cookies door het host systeem

65. Alle uitgewisselde berichten passeren via het host systeem (routers, websiteservers en

databankservers,…).

Toegang door de host

66. Indien de host voorziet in de lezing en de verwerking van cookies die persoonsgegevens

bevatten, moet hij de beperkingen en de afbakeningen respecteren die in dit ontwerp van

aanbeveling worden vastgesteld.

II. JURIDSICHE BESCHOUWINGEN

1 Juridische context

1.1 De wet inzake elektronische communicatie

67. De Wet van 10 juli 2012 houdende diverse bepalingen inzake elektronische communicatie (B.S. 25 juli 2012; zie Advies van de Commissie nr. 10/2012 van 21 maart 2012 betreffende die wetsontwerp: https://www.privacycommission.be/sites/privacycommission/files/documents/advies_10_10_2012.0.pdf) werden

aangebracht aan de Europese “Telecomwet” (het “Telecompakket” tekent het Europees reglementair kader inzake elektronische communicatie. Het bestaat uit 5 richtlijnen en een verordening). Artikel 129 van de wet elektronische

communicatie heeft betrekking op de opslag van informatie of het verkrijgen van toegang tot

informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker. Er

wordt algemeen erkend dat deze woorden het begrip cookies generiek omvatten (en het

concept van de hierboven besproken metabestanden).

68. Artikel 90 van de voormelde wet amendeert artikel 129 van de wet van 13 juni 2005

betreffende de elektronische communicatie (hierna de wet elektronische communicatie). Het

wijzigt krachtens de Richtlijn “Recht van de burgers” (Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en -diensten, Richtlĳn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming: https://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:NL:PDF). Een officieuze, geconsolideerde versie is beschikbaar op dit adres:https://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CONSLEG:2002L0058:20091219:NL:PDF) het toepasselijk juridisch regime op cookies door de wijzigingen aangebracht aan artikel 5, §3 van de Richtlijn privacy en elektronische communicaties

(Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van

persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie: https://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0037:NL:PDF) van het “Telecompakket” te integreren.

69. Dit nieuwe wettelijk kader voor cookies vervangt in feite het optout-mechanisme door een

optin-mechanisme waarbij in de meeste gevallen de voorafgaande en geïnformeerde

toestemming van de gebruiker is vereist. Het is de bedoeling van de Commissie om de

verantwoordelijke voor de verwerking te helpen met de uitvoering van deze nieuwe

verplichting.

70. Artikel 5, §3 van de richtlijn privacy en elektronische communicatie en artikel 129 van de wet

elektronische communicatie zijn toegespitst op de opslag van informatie in de eindapparatuur van de gebruikers en op de toegang tot die informatie. Het spectrum van het opgesteld,

juridische regime gaat verder dan alleen maar het gebruik van cookies die internetbrowsers en

-explorers beheren en omvat ook andere informatie zoals de informatie die werd opgeslagen en

geraadpleegd met behulp van smartphonetoepassingen die geen gebruik maken van cookies.

71. Om meer klaarheid te scheppen in de specifieke cookiesproblematiek, is het de bedoeling dat

de juridische beschouwingen zich beperken tot deze techniek en enkele varianten. Andere

technieken zullen in het licht van de WVP slechts algemeen vermeld worden.

72. De cookies verzamelen en stockeren ten behoeve van de internetgebruiker informatie voor een

volgende toegang en dit kan een intrusief karakter aannemen in diverse gradaties. De gebruiker

is er zich dikwijls niet bewust van dat er verborgen informatie wordt uitgewisseld tussen zijn

eindapparatuur en de webservers. Om de gebruikers te beschermen werd daarom de

mogelijkheid geboden de verwerking te weigeren en te vervangen door een

toestemmingsmechanisme. De verantwoordelijken voor de verwerking moeten dus deze

juridische regel technisch omzetten.

73. De Commissie staat achter deze evolutie die de bescherming van persoonsgegevens van de

internetgebruikers versterkt. Maar ze blijft evenwel met talrijke vragen zitten over de

daadwerkelijke invoering ervan. Het secretariaat van de Commissie ontvangt hierrond talrijke

vragen om informatie en al dan niet gegronde klachten.

1.2 WVP

74. De WVP is van toepassing op de aspecten die niet uitdrukkelijk zijn geregeld door artikel 129

van de wet elektronische communicatie en dit zodra er persoonsgegevens worden verwerkt.

Het betreft hier de toepassing van de doctrine dat een wet die een specifieke kwestie regelt (lex

specialis) primeert op een wet die slecht een algemene kwestie regelt (lex generalis).

Anders gezegd bepaalt artikel 129 van de wet elektronische communicatie de wettelijkheid van

de verwerking terwijl de zogenaamde algemene principes van de WVP geheel en al van

toepassing zijn, nl. de kwaliteit van de gegevens, de rechten van de betrokken persoon

(toegang, verwijdering, verzet), de vertrouwelijkheid en de veiligheid van de verwerking, de

voorafgaande aangifte en bekendmaking van de verwerking, de doorgifte van gegevens naar

derde landen (zie Advies van de Werkgroep van het Artikel 29 over gegevensbescherming 2/2010 van 22 juni 2010 over online reclame

op basis van surfgedrag: https://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_nl.pdf, blz. 11-12).

75. In de meeste gevallen moeten cookies als persoonsgegevens beschouwd worden omdat ze over

het algemeen een unieke gebruikersidentificatie bevatten. In zijn Advies 1/2008 van 4 april

2008 over gegevensbescherming en zoekmachines vermeldt de Werkgroep voor de

bescherming van personen ten aanzien van de verwerking van hun persoonsgegevens (hierna

de Groep Artikel 29): “Wanneer een cookie een unieke gebruikersidentificatiecode bevat, vormt

deze code duidelijk een persoonsgegeven. Door het gebruik van permanente cookies of

soortgelijke middelen met een unieke gebruikersidentificatiecode kunnen gebruikers van een

bepaalde computer zelfs worden getraceerd wanneer zij zich bedienen van dynamische IP-adressen (verklarende nota vanwege de Commissie: een dynamisch adres is een IP verbindingsadres, welk wordt bepaald hetzij op het moment van de verbinding, hetzij periodiek (bv. elk uur). Wanneer een operator dynamische adressen verstrekt voor de verbindingen, logt hij de overeenstemming tussen het dynamisch IP adres en de aanvrager van de verbinding. Deze log kan later dienen voor een gerechtelijk onderzoek). Met de door deze middelen gegenereerde gedragsgegevens kunnen de persoonlijke kenmerken van de betrokkene nog specifieker in beeld worden gebracht” (https://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp148_nl.pdf).

76. In het kader van de gedragsreclame, heeft de ingewonnen informatie betrekking op het

klikgedrag van de gebruiker en kan ze eventueel gelinkt worden aan informatie met betrekking

tot de vrijwillige registratie van de gebruiker op de bezochte website.

2 Toepassingsgebied van de Belgische regelgeving m.b.t. cookies

2.1 Materiële toepassing

77. Alle cookies zijn aan de nieuwe regelgeving onderworpen, of het nu gaat over een

rechtstreekse dan wel een onrechtstreekse identificatie. Considerans 24 van de Richtlijn privacy

en elektronische communicatie geeft uitleg over deze benadering: “Eindapparatuur van

gebruikers van netwerken voor elektronische communicatie en in die apparatuur bewaarde

informatie maken deel uit van de persoonlijke levenssfeer van de gebruikers”. De bescherming

is verbonden met een domein dat behoort tot de privacy van de betrokken personen.

78. Omdat het toepassingsgebied van de wet elektronische communicatie dat van de

persoonsgegevens overschrijdt, refereert deze aanbeveling naar het begrip “gebruiker” dat de

Belgische en Europese wetgevers handhaven in het kader van de regelgeving inzake cookies

eerder dan naar het begrip “betrokken persoon” dat in de teksten met betrekking tot de

bescherming van persoonsgegevens wordt gebruikt.

2.2 Territoriale toepassing

79. De wet elektronische communicatie omschrijft haar territoriaal actiegebied niet uitdrukkelijk.

80. Nochtans wordt het territoriaal toepassingsgebied van de Europese Richtlijn privacy en

elektronische communicatie, dat wordt omgezet in artikel 3§1, gedefinieerd. Volgens deze

bepalingen is artikel 5, §3 betreffende de cookies van toepassing op de opslag of op het

verkrijgen van informatie die reeds is opgeslagen in de eindapparatuur van de betrokken

personen die gebruik maken van de openbare communicatiediensten van de Europese Unie.

Zoals de Groep 29 benadrukt, moet dit toepassingsgebied worden gecombineerd met de

territoriale toepasselijkheid van de Richtlijn bescherming persoonsgegevens of met het

nationaal recht dat de omzetting is van die Richtlijn (Advies 2/2010 van 22 juni 2010 over online reclame op basis van surfgedrag:

https://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_nl.pdf, bl. 12).

In casu zijn twee criteria van de WVP territoriaal van toepassing ( Artikel 3bis van de WVP ): op de verwerking van persoonsgegevens die wordt verricht in het kader van de effectieve

en daadwerkelijke activiteiten van een vaste vestiging van de verantwoordelijke voor de

verwerking op het Belgisch grondgebied of op een plaats waar de Belgische wet uit hoofde

van het internationaal publiekrecht van toepassing is;

 op de verwerking van persoonsgegevens door een verantwoordelijke die geen vaste

vestiging op het grondgebied van de Europese Gemeenschap heeft, indien voor de

verwerking van persoonsgegevens gebruik gemaakt wordt van al dan niet

geautomatiseerde middelen die zich op het Belgisch grondgebied bevinden, andere dan

degene die uitsluitend aangewend worden voor de doorvoer van de persoonsgegevens

over het Belgisch grondgebied.

81. Gelet op wat voorafgaat besluit de Commissie dat de Belgische wetgeving alleen van toepassing

is op de verantwoordelijke voor de verwerking gevestigd op het Belgisch grondgebied maar niet

op diegenen die uitsluitend in een andere Lidstaat gevestigd zijn.

82. Voor wat de verantwoordelijke voor de verwerking betreft die zich buiten de Europese Unie

bevindt, is de Groep 29 van oordeel dat het nationaal recht inzake de verzameling van de

persoonsgegevens van toepassing is van de lidstaat waar de pc van de gebruiker is

gelokaliseerd, als er cookies op zijn harde schijf worden geplaatst (Document WP 56 van 30 mei 2002 betreffende de internationale toepassing van de gegevensbeschermingswetgeving van

de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU:

https://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp56_nl.pdf, bl. 11 en 12; zie ook het advies 1/2008 van 4

april 2008 van de Groep 29 over gegevensbescherming en zoekmachines:

https://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp148_nl.pdf, bl. 11 en 12).

3 CONTROLE VAN DE BELGISCHE REGLEMENTERING INZAKE COOKIES

83. Krachtens artikel 14, §1, 3° van de wet van 17 januari 2003 Wet met betrekking tot het statuut

van de regulator van de Belgische post- en telecommunicatiesector, is het IPBT (het Belgisch

Instituut voor postdiensten en telecommunicatie) belast met het toezicht op de naleving van de

wet betreffende elektronische communicaties.

84. Die specifieke bevoegdheid waarmee het IBPT werd belast, doet niets af aan de bevoegdheden

eigen aan de Commissie van zodra er sprake is van verwerkingen van persoonsgegevens en

inzonderheid de bevoegdheid van de Commissie om adviezen en aanbevelingen uit te brengen

of kennis te nemen van klachten ter zake en controles uit te voeren ( Opdrachten als bepaald in de artikelen 29 §1, 30 §1, 31 §1 en 32, §1 van de privacywet ).

4 VERANTWOORDELIJKE VOOR DE VERWERKING

85. De verplichtingen vermeld onder artikel 129 van de wet elektronische communicatie berusten

op diegenen die cookies plaatsen en/of toegang krijgen tot de informatie van de cookies die

reeds zijn opgeslagen in de eindapparatuur van de gebruikers (Zie het advies van de Groep 29 nr. 1/2010 van 16 februari 2010 over de begrippen “voor de verwerking verantwoordelijke”

en “verwerker”: https://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_nl.pdf). Zoals werd uitgelegd (zie supra

punt 2.1.) is het niet van belang of die cookies geassocieerd zijn met persoonsgegevens of

persoonsgegevens bevatten.

4.1 Eigenaar van de website

86. In het kader van het gebruik van cookies is de eigenaar van de website de verantwoordelijke

voor de verwerking als bedoeld in de WVP ( Zie WVP, artikelen 1, §4 15bis, 16 §1 en §4 ). Hij beslist over de doeleinden en de middelen van

de verwerkingen die op zijn website worden verricht. Hij is aansprakelijk voor elk gebruik van

cookies zelfs als daarvoor de diensten van derden nodig zijn op zijn website. Wanneer hij de

ontwikkeling van zijn website toevertrouwt aan een derde partij, moet hij waken over een

conform gebruik van cookies. Hetzelfde geldt als hij beroep doet op de diensten van derden in

het kader van reclame of sociale netwerken. Als hij het beheer van zijn website toevertrouwt

aan een derde partij, moet hij een schriftelijke overeenkomt voor onderaanneming opmaken,

overeenkomstig artikel 16 van de WVP.

87. De Commissie beschouwt de eigenaar van de website als de eerstelijnsactor die aan de

gebruikers informatie moet verstrekken en hun voorafgaande toestemming moet verkrijgen.

4.2 Websitebeheerder

88. De websitebeheerder kan aan de oorsprong liggen van de installatie, de raadpleging of de

verdere verwerking van cookies en andere metabestanden. Hij verzamelt met name

persoonsgegevens bij de gebruiker (gebruikersprofiel, IP-adres, geheugenlocatie, taal van het

besturingssysteem, enz…). voor rekening van de eigenaar van de website. Hij handelt als de

gegevensverwerker van de eigenaar van de website, en is gedekt door een overeenkomst voor

onderaanneming ( Zie WVP, artikelen 1, §4 15bis, 16 §1 en §4 ).

89. De beheerder is aansprakelijk als hij cookies verwerkt met persoonsgegevens buiten het kader

dat werd vastgelegd door de verantwoordelijke voor de verwerking: hij wordt dan zelf de

verantwoordelijke voor de verwerking voor zijn eigen doeleinden (Zie WVP, artikel 16 en het document W¨P169 van de groep 29 “Advies 1/2010 over de begrippen “voor de verwerking

verantwoordelijke” en “verwerker”: https://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_fr.pdf).

4.3 Webhost

90. In het algemeen maakt de webhost gebruik van cookies om tegemoet te komen aan de

behoefte aan statistieken.

91. De Commissie meent dat de webhost de host ervan moet verwittigen dat dergelijke processen

werden ingevoerd zodat die laatste, indien nodig, de bezoekers over hun rechten kan

informeren.

4.4 Advertentienetwerk

92. De eigenaar van de website (de verderler) verhuurt ruimte op zijn website aan de

advertentienetwerken zodat zij kunnen adverteren, gewoonlijk onder de vorm van banners of

knoppen (bijv. de knoppen voor de sociale netwerken van het “I like”-type ( In die context worden websitebeheerders die reclameruimte verkopen ook verspreiders genoemd ), die geassocieerd zijn met derde partij cookies.

93. De advertentienetwerkwerkaanbieder kan beschouwd worden als verantwoordelijk voor de

verwerking omdat hij de doeleinden of de essentiële middelen bepaalt van de

gegevensverwerking in het kader van het gebruik van cookies voor reclamedoeleinden. Omdat

het plaatsen van of de toegang tot cookies voor reclamedoeleinden voorvalt tijdens een raadpleging van de site van de eigenaar, beschouwt de Commissie hen als medeverantwoordelijk voor alle verrichtingen van de verwerking die in reclame resulteren.

94. De Commissie dringt erop aan de dat de dienstenovereenkomsten die werden afgesloten tussen

de eigenaar van de website en de reclamenetwerken eenieders verantwoordelijkheid bepalen

met name voor het verkrijgen van de toestemming en de voorafgaande informatie.

95. Het is evenwel niet altijd mogelijk om overeenkomsten af te sluiten met de aanbieders van

banners of “knoppen” omdat deze hun eigen gebruiksvoorwaarden opdringen. De eigenaar van

de website, eventueel via de tussenkomst van de websitebeheerder, moet er dus voor instaan

dat deze aanbieders de verplichtingen naleven die voortvloeien uit de WVP en artikel 129 van

de wet elektronische communicatie.

4.5 Adverteerder

96. Zodra de adverteerder geen beroep doet op een advertentienetwerk, kan hij cookies integreren

in de inhoud van zijn advertenties die verspreid worden op de website van de eigenaar van de

website.

97. De Commissie dringt er andermaal op aan dat in de afgesloten dienstencontracten tussen de

website-eigenaar (eventueel via zijn websitebeheerder) en de adverteerder, ieders

verantwoordelijkheid uitdrukkelijk wordt omschreven, met name met betrekking tot het

verkrijgen van de voorafgaande toestemming en het verstrekken van de voorafgaande

informatie. Zo niet, moet de eigenaar van de website (eventueel via zijn websitebeheerder)

ervoor instaan dat deze gebruiksvoorwaarden overeenstemmen met de verplichtingen die

voortvloeien uit de WVP en artikel 129 van de wet elektronische communicatie en worden

nageleefd door deze aanbieders.

5 PRINCIPE VAN DE RECHTMATIGHEID VAN DE VERWERKING BIJ HET GEBRUIK VAN

COOKIES

5.1 Informatie voorafgaand aan de toestemming

98. Punt 1, 1ste lid van het artikel 129 van de wet elektronische communicatie bepaalt dat de opslag

van cookies of het verkrijgen van toegang tot de reeds opgeslagen cookies op de

eindapparatuur van een abonnee of een gebruiker alleen is toegelaten op voorwaarde dat die

laatsten overeenkomstig de in de WVP bepaalde voorwaarden, duidelijke en precieze informatie

ontvangen over de doeleinden van de verwerking en over hun rechten op grond van de WVP.

99. De inhoud van de informatieplicht bedoeld in dit artikel staat beschreven in artikel 9, §1 van de

WVP aangezien de gegevens in kwestie rechtstreeks of onrechtstreeks in een onlinecontext

verkregen werden bij de betrokken persoon. De Commissie herinnert eraan dat vooral

uitdrukkelijk moet worden omschreven: de identiteit van de verantwoordelijke voor de

verwerking, de doeleinden van de verwerking, de ontvangers van de gegevens en het bestaan

van een recht op toegang voor de betrokken persoon.

100. Betreffende de manier waarop de informatie moet worden verstrekt, bepaalt artikel 129, 1ste lid,

1° van de wet elektronische communicatie uitdrukkelijk dat die verstrekte informatie helder en

precies moet zijn. Considerans 25 van de Richtlijn privacy en elektronische communicatie voegt

eraan toe dat de methodes om informatie te verstrekken zo gebruiksvriendelijk mogelijk

moeten zijn. De Commissie dringt erop aan dat die manier om de informatie te tonen op de

internetsites wordt overgenomen.

5.2 Toestemming voorafgaand aan de verwerking

Principe

101. De opslag van cookies of het verkrijgen van toegang tot cookies die reeds zijn opgeslagen in de

eindapparatuur van de abonnee of de gebruiker, is uitsluitend toegelaten als die laatsten hun

toestemming hebben gegeven nadat ze - zoals hierboven uiteengezet - werden geïnformeerd.

102. De Franstalige versie van de Richtlijn “recht van de burgers” (Zie punt 2 en voetnoot 4) maakt nogal onhandig gebruik

van het woord “accord”, terwijl dit begrip niet werd opgenomen in de definities van de Richtlijn

privacy en elektronische communicatie die ze amendeert (maakt nogal onhandig gebruik

van het woord “accord”, terwijl dit begrip niet werd opgenomen in de definities van de Richtlijn

privacy en elektronische communicatie die ze amendeert). De Nederlandstalige en Engelstalige

versies gebruiken uitdrukkelijk de term “toestemming”. De Belgische wetgever heeft gelukkig

terecht die laatste term gebruikt.

103. In considerans 66 van de Richtlijn “Recht van de burgers”, wordt zonder te verwijzen naar de

toestemming, melding gemaakt van een recht op weigering voor de gebruikers. De Commissie

betreurt deze uitdrukking omdat ze verwarring zaait aangaande het toepassingsgebied van de

toestemming. Het recht op weigering stemt inderdaad overeen met het oude opt-outstelsel.

104. Welnu, artikel 2, f) van de Richtlijn Privacy en elektronische communicatie vermelden

uitdrukkelijk dat de “toestemming” van een gebruiker of abonnee overeenstemt met de “toestemming” van de betrokken persoon” zoals omschreven in de richtlijn [bescherming van

persoonsgegevens] (Zie ook considerans 17). Artikel 2, h) van de Richtlijn bescherming persoonsgegevens (Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van

natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens,

officieuze geconsolideerde versie is beschikbaar op het adres:

https://eurlex.europa.eu/LexUriServ/LexUriSErv.do?uri=CONSLEG:1995L0046:20031120:NL:PDF). De Commissie herinnert eraan dat de toestemming overeenkomstig artikel 5, h van de WVP,

ook ondubbelzinnig moet zijn om te kunnen dienen als juridische grond voor een verwerking

van persoonsgegevens.

105. De Commissie is bijgevolg van oordeel dat het begrip toestemming zoals omschreven in artikel

129 van de wet elektronische communicaties overeenstemt met het begrip toestemming zoals

omschreven in de artikelen 1, §8 en 5, h van de WVP.

106. Net als de Groep van het artikel 29, is de Commissie van mening dat de toestemming moeten

worden verkregen nog voor gestart wordt met de gegevensverwerking (Advies van de Groep van het Artikel 29 15/2011 van 13 juli 2001 betreffende definitie van het begrip toestemming, blz. 35,

https://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_en.pdf). Hoewel artikel 129

van de wet elektronische communicaties geen gebruik maakt van de term “voorafgaand” naast

het begrip “toestemming”, kan de inhoud van de bepaling niet anders geïnterpreteerd

worden (“De opslag van informatie of het verkrijgen van toegang tot informatie is slechts toegestaan op voorwaarde dat :

2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de bepalingen in 1°”). Een verwerking van persoonsgegevens die wordt verricht voor er toestemming werd

verkregen, is in ieder geval onwettelijk, gelet op artikel 5 van de WVP.

5.3 Geldigheid van de toestemming

107. De Commissie stelt vast dat de manier waarop de toestemming wordt verkregen in de praktijk

sterk van elkaar verschilt.

108. De Commissie wenst uitdrukkelijk de elementen te omschrijven die essentieel zijn voor de

vereiste toestemming, zoals hierboven uiteengezet (De verantwoordelijke voor de verwerking moet kunnen aantonen dat hij een geldige en onbetwistbare toestemming heeft verkregen. Zie hiervoor Advies van de Groep van het Artikel 29 15/2011 van 13 juli 2001 betreffende definitie van toestemming, blz 35, https://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_nl.pdf). Hoewel artikel 129

van de wet elektronische communicaties geen gebruik maakt van de term “voorafgaand” naast

het begrip “toestemming”, kan de inhoud van de bepaling niet anders geïnterpreteerd

worden (“De opslag van informatie of het verkrijgen van toegang tot informatie is slechts toegestaan op voorwaarde dat :

2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de bepalingen in 1°”.

Een verwerking van persoonsgegevens die wordt verricht voor er toestemming werd

verkregen, is in ieder geval onwettelijk, gelet op artikel 5 van de WVP.