Onduidelijkheid van cookies, hoeveel toestemming moeten we vragen?

Cookies, online krijgen we er inmiddels genoeg (van). Ondanks wetgevingen, zijn er nog scenario's vatbaar voor discussie. Hoe ver moet toestemming gaan?

Voor een Facebook pixel, social sharing via AddThis of ShareThis of bijvoorbeeld een Twitter widget zal eerst toestemming gegeven moeten worden vanuit de bezoeker, voordat ze worden opgenomen op een website.

Echter, hoe zit het met een afbeelding, dat op een website ingevoegd wordt vanuit een andere website? Dat er nog scenario's open staan voor interpretatie als ook discussie, blijkt uit onderstaande praktijk voorbeeld:

Mag er een afbeelding worden geplaatst van abc.nl op de eigen site xyz.nl, wanneer de afbeelding van abc.nl gepaard gaat met cookies (bijvoorbeeld, doordat de bezoeker op de website abc.nl zelf al cookies voorgeschoteld krijgt, al dan niet met toestemming)?

Telecommunicatiewet

Artikel 11.7a uit de Telecommunicatiewet maakt het er ook niet duidelijker op voor een gemiddelde website eigenaar. Handiger is na te gaan wat de Autoriteit Consument & Markt (ACM) er over te zeggen heeft.

Autoriteit Consument & Markt

De Autoriteit Consument en Markt zegt op hun website het volgende:

Analytische cookies mogen beperkt

Het betreffen analytische cookies (immers van Google). Het zou echter in elk ander scenario niet analytische cookies kunnen zijn, of cookies kunnen zijn waarvan niet met zekerheid uit te sluiten is dat het geen gevolgen heeft voor de privacy van de bezoeker.

Autoriteit Persoonsgegevens over cookies

Ook de AVG wetgeving is van toepassing en dus kunnen we na gaan wat de Autoriteit Persoonsgegevens over cookies te zeggen heeft:

Als de cookies ook bij bezoek aan een andere website kunnen worden uitgelezen, noemen we dit tracking cookies

Echter, de afbeelding is in dit geval een statisch document, de cookies zijn dus aanwezig maar zullen niet worden uitgelezen, omdat het niet gepaard gaat met bijvoorbeeld JavaScript dat de mogelijkheid heeft om de cookie-inhoud uit te lezen.

Hierop is natuurlijk een (technisch) uitzondering mogelijk: de gif-afbeelding van rtvdrenthe lijkt een statisch document, maar wellicht wordt er primair een scripting-file aangeroepen dat desondanks de cookie wèl uitleest. Vervolgens genereert het een content-type van image/gif waardoor het voor de browser lijkt alsof het een statische afbeelding is.

  1. Dit lijkt onwaarschijnlijk, omdat de cookie in kwestie een Google Analytics cookie betreft;
  2. Tegelijkertijd wordt de afbeelding niet gecached, wat betekent dat de afbeelding steeds opnieuw van de server wordt geplukt. Als de afbeelding zou worden gecached, kon (real-time c.q. actieve) tracking iig met zekerheid uitgesloten worden.

Voorgelegd aan de autoriteit persoonsgegevens

Ondanks de recente uitspraak van de privacy toezichthouder omtrent bijvoorbeeld cookiewalls en toegankelijkheid van websites, staan er dus nog scenario's open voor interpretatie. Om die reden hebben we de Autoriteit Persoonsgegevens de volgende casus voorgelegd:

  1. Bezoeker bezoekt abc.nl en geeft toestemming voor tracking cookies;
  2. Cookies worden niet alleen gekoppeld aan de webpagina die bekeken wordt, maar ook aan andere resources (bijvoorbeeld: stylesheet, afbeeldingen);
  3. Bezoeker gaat naar xyz.nl waar een afbeelding van abc.nl (third party) opgenomen is;
  4. De afbeelding van abc.nl gaat gepaard met cookies, doordat hier immers eerder toestemming voor is gegeven;
  5. Mogelijkerwijs, maar niet met zekerheid te zeggen, worden de cookies niet uitgelezen doordat de afbeelding van abc.nl geen JavaScript uitvoert dat de cookie-inhoud gaat uitlezen.

De volgende vragen hebben we gesteld:

  1. Mag je bronnen laden van een third party, als deze cookies met zich meenemen, maar met zekerheid is te zeggen dat de afbeelding geen script bevat dat dit uitleest?
  2. Mag je bronnen laden van een third party, als deze cookies met zich meenemen, maar het onder water mogelijk is dat de afbeelding dynamiek bevat waardoor de inhoud uitgelezen zou kunnen worden?
  3. Mag je bronnen laden van een third party, als deze cookies met zich meenemen, maar de bron (abc.nl) zonder toestemming heeft geplaatst?

Als ook, hoe ver moet de onderzoeksplicht gaan, want:

  1. deze cookies zullen alleen geplaatst worden en gepaard gaan met de afbeelding, als de bezoeker de bron (abc.nl) heeft bezocht;
  2. deze cookies zijn om die reden niet met automatische cookie-scans te detecteren;
  3. cookies kunnen analytisch als ook niet analytisch noch functioneel zijn. Omdat een automatische cookie-scan voorbij gaan aan deze cookies, vergt het kennis van cookies om het cookie-type te achterhalen;
  4. het vergt van eigenaar xyz.nl technische kennis om na te gaan of de website abc.nl toestemming heeft gevraagd voor die cookies, als ook om na te gaan of abc.nl de cookie-implementatie technisch correct heeft gedaan (dit blijkt in praktijk nog een aandachtspunt op zichzelf).

Denk jij de juiste richtlijnen te hebben? Wij horen het graag! Tot die tijd wachten wij een reactie van de Autoriteit Persoonsgegevens af.