OPTA updatet cookieFAQ: serverloganalyse mag, fingerprinting denk ik ook

Sinds donderdagmiddag is de cookieFAQ van de OPTA geüpdate. Omdat de vorige versie van 30 juli 2012 was, was dat wel nodig. Maar heel veel nieuws kan ik er niet in ontdekken, het is vooral verduidelijking. De met veel smart afgewachte uitzondering voor first-party analytics cookies staat er niet in, dat ligt nog ergens in de procedurele kringen te wachten op iemands stempel vermoed ik.

De belangrijkste verduidelijking is voor mij dat server logs gewoon mogen worden verwerkt. Dat betreft alleen het passief ontvangen van “gegevens die door de gebruiker zelf naar de server worden gestuurd”, oftewel geen uitlezen of zetten van informatie. Enigszins verwarrend vind ik dan wel de vervolgopmerking dat “Alle gegevens die na het initiële request worden geplaatst of uitgelezen vallen wel onder het bereik van artikel 11.7a Tw.” Want, eh, als de eerste GET passief uitlezen is, dan is de tweede dat toch ook? HTTP is stateless dus wat ís dat eigenlijk, een twééde GET?

Met deze verduidelijking staat de deur meteen ook op een stevige kier voor passief fingerprinting. Want ook daar is alleen sprake van “analyseren van de gegevens die door de gebruiker zelf naar de server worden gestuurd”. In feite is het niets meer dan heel creatief interpreteren van server logs, zo je wilt.

De cookiewet geldt écht voor de hele wereld, wanneer ze cookies op Nederlandse PC’s zetten dan moeten ze toestemming hebben. Domeinnaam, taal en doelgroep zijn irrelevant. Formeel juist, maar de handhaving lijkt me nogal een uitdaging dan.

Een intranet valt inderdaad buiten de cookiewet.

Een cookie dat registreert dat je geen cookies wil, is legaal. Gelukkig maar. Wel moet het dan écht alleen een “nocookies=1″ cookie zijn, dus geen grappen met stiekem toch een unieke identifier in zo’n cookie stoppen.

En wie nu nóg geen cookieverklaring heeft, moet echt dringend aan de bak. Een globale verwijzing naar algemene voorwaarden, privacy en/of permission statements is onvoldoende, herhaalt de OPTA nog maar eens.

Oh, en je bent echt verantwoordelijk voor je adverteerders hun cookies:

De eigenaren van de websites zijn het aanspreekpunt voor welke informatie hun website biedt over cookies en welke gegevens er bij een bezoek aan de website worden geplaatst en uitgelezen. De gebruiker bezoekt immers de website van de website-eigenaar en niet de website(s) van de adverteerder(s).

Ook geen nieuw beleid maar dit blijft zo ongeveer het moeilijkste punt van de cookiewet.


Arnoud Engelfriet is partner bij ICTRecht sinds juni 2008. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.

Dit artikel verscheen vrijdag 8 februari 2013 op de blog van ICTRecht en is met toestemming op deze website overgenomen.

Over Arnoud Engelfriet

Arnoud Engelfriet is partner bij ICTRecht sinds juni 2008. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt.


Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.