OPTA stelt onterecht informatieverplichting voor het gebruik van een no-follow cookie

Afgelopen vrijdag heeft de OPTA een update gepubliceerd van het document “Veelgestelde vragen over de nieuwe cookiewet”. Een opvallende wijziging betreft het antwoord van de OPTA op de vraag of het is toegestaan om door middel van een cookie te registeren dat een gebruiker geen toestemming heeft gegeven voor het plaatsen van cookies (“no-follow cookie”).

De OPTA stelt terecht dat het plaatsen van een no-follow cookie onder de uitzonderingen van de cookiewet valt: het registeren dat iemand geen cookies wil, kan gezien worden als een door de gebruiker gevraagde dienst waarbij het plaatsen van cookies strikt noodzakelijk is.

Wat ik echter niet kan plaatsen is dat de OPTA meent dat hier slechts sprake van is als voldaan wordt aan een drietal voorwaarden:

  • de gebruiker moet een keuze gehad hebben tussen het toestaan en weigeren van cookies én gekozen hebben om cookies te weigeren. Indien de gebruiker geen keuze maakt tussen de voornoemde keuzes zal de toestemmingsvraag op de website getoond dienen te blijven;
  • de website dient de gebruiker vervolgens te informeren dat een no-follow cookie geplaatst zal worden met als enig doel de registratie van de keuze.
  • de website mag een no-follow cookie slechts plaatsen met dat specifieke doel. De no-follow cookie mag slechts een daarvoor strikt noodzakelijke inhoud (bijvoorbeeld no follow=1) kennen en geen unieke identifier(s). Het is niet toegestaan om de gebruiker met een no-follow cookie door middel van die cookie (al dan niet in combinatie met andere technieken) alsnog op enige andere wijze (tijdelijk) te volgen en/of dit op enig moment te koppelen aan andere over deze gebruiker beschikbare gegevens.

De eerste voorwaarde snap ik: je mag geen no-follow cookies plaatsen als er nog geen keuze is gemaakt. Overigens is het bieden van die keuze niet wettelijk verplicht: je mág enkel de keuze voor het accepteren van cookies bieden (en de keuze voor weigering van cookies niet opnemen). Pas als er een keuze is gemaakt voor het weigeren van cookies – en overigens ook voor het wél plaatsen van cookies – mag je die keuze opslaan in een cookie. Prima.

De tweede voorwaarde snap ik echter niet. De OPTA stelt nu als voorwaarde dat je de gebruiker moet informeren over het plaatsen van een functionele cookie. Dat is geen verplichting op grond van de cookiewet – als je onder de uitzonderingen valt hoef je namelijk niet te informeren. En je kan niet met droge ogen beargumenteren dat je pas onder de uitzonderingen valt – dus dat je geen toestemming of informatie hoeft te geven – als je informatie geeft. Dat slaat kant noch wal. Ook op grond van andere wetgeving, zoals de Wet bescherming persoonsgegevens of andere bepalingen uit de Telecommunicatiewet, zie ik niet in waarom de gebruiker geïnformeerd moet worden over het plaatsen van een no-follow cookie met als enig doel de registratie van de keuze van de gebruiker.

De derde voorwaarde is wel weer logisch: je mag alleen een functioneel cookie plaatsen voor het doeleinde van die functie. Gebruik je het cookie ook voor andere doeleinden, dan geldt het niet als een “uitsluitend” dienen voor het bieden van de door de gebruiker gevraagde dienst. Dat andere doeleinde kan namelijk buiten de uitzonderingen vallen, en dan dien je dus alsnog toestemming te verkrijgen en informatie te bieden.



Wouter Dammers
is sinds juni 2012 juridisch adviseur bij ICTRecht. Wouter is gespecialiseerd in IT recht, open source licenties, privacy recht en auteursrechtelijke en octrooirechtelijke vraagstukken met betrekking tot software.

Dit artikel verscheen op 6 augustus 2012 op cookierecht.nl en is met toestemming overgenomen op deze website.