Over functionele en niet functionele cookies

Posted on 18/06/2012 door

0


We hebben in een artikel van 16 mei ll., dat ook al verscheen op Bloovi.be, een uitgebreide stand van zaken gebracht in het cookiedebat.

Intussen gaat de voorbereiding van de nieuwe Belgische wetgeving zijn normale parlementaire gang.  Zoals we vorige maand al meegaven blijft het voorlopig nog even koffiedik kijken wat betreft de precieze inhoud en draagwijdte van de toekomstige regeling. 

Het enige wat wel duidelijk is en waar iedereen van de EU in haar richtlijn over de bevoegde Europese Commissaris Kroes, tot de Belgische privacycommissie het eens over lijken te zijn is dat het niet de bedoeling kan zijn dat het surfen op internet onwerkbaar wordt door een eindeloze reeks pop-ups voor elke mogelijk cookie.

De Europese richtlijn maakte al een onderscheid tussen louter technische, “functionele” cookies en de meer ingrijpende (meestal third party) tracking cookies.

De “Article 29 Working Party”, die stakeholders op Europees niveau samenbrengt om samen met de EU na te denken over privacyrecht -en dus ook over cookies- heeft inmiddels op 7 juni 2012 in een nieuw gepubliceerde opinie duidelijk gemaakt welke cookies volgens haar “functioneel” zijn en dus (in principe) geen voorafgaande toestemming (zullen) vereisen (onder de toekomstige wet).

 

Definities voor functionele cookies

De Working Party beschrijft twee categorieën van functionele cookies:

  1. cookies die worden gebruikt voor de overdracht van signalen over een netwerk;
  2. cookies die worden gebruikt voor het uitvoeren van een door de gebruiker opgevraagde dienst.

 

Cookies voor signaaloverdracht

Dit zijn volgens de Working Party “functionele cookies” als de signaaloverdracht niet mogelijk is zonder cookies. Volgens de Working Party is voor normale signaaloverdracht nodig dat de overdrager:

  • het signaal over een bepaalde route kan sturen
  • het signaal in een bepaalde volgorde kan worden opgeknipt
  • fouten in de signaaloverdracht kunnen worden opgespoord.

Als voor een of meer van deze aspecten het plaatsen van een cookie noodzakelijk is, is die cookie functioneel van aard.

 

Cookies voor het uitvoeren van een dienst

Wellicht is deze categorie de belangrijkste en ook de grootste. Het hoeft niet te gaan om cookies die noodzakelijk zijn om een bepaalde dienst aan te bieden.  De vraag is of de cookie “noodzakelijk is voor de functionaliteit”van een bepaalde dienst.

Volgens de Working Party moeten twee praktische vragen beantwoord worden

  • Is de functionaliteit beschikbaar in afwezigheid van de cookie?
  • Heeft de gebruiker de betreffende functionaliteit verzocht of opgevraagd?

Als aan beide voorwaarden cumulatief voldaan is, kan men spreken van een functionele cookie en is dus geen voorafgaande toestemming nodig.

 

Voorbeelden volgens de Working Party

De Working Party geeft een lijst van voorbeelden van functionele cookies:

  • Shopping cards (als die verwijderd worden bij het einde van de sessie)
  • Cookies voor log-in of registratie (als die verwijderd worden bij het einde van de sessie en met geen ander doel gebruikt worden
  • Beveiligingscookies (bijvoorbeeld om mislukte log-in pogingen op te sporen en bij te houden
  • Cookies nodig om beeld of geluid af te spelen (als die enkel technische gegevens die verband houden met het afspelen opslaan en de cookie aan het einde van de sessie wordt gewist
  • Cookies die worden gebruikt voor load balancing
  • Cookies die taal- en presentatievoorkeuren opslaan (als de cookie gewist wordt bij het einde van de sessie of de surfer toestemming geeft voor blijvende opslag)
  • Cookies van social networks die leden van het netwerk in staat te stellen om plug-ins te gebruiken op andere websites (als de cookie gewist wordt bij het einde van de sessie en voor niets anders gebruikt wordt.

 

Cookies die volgens de Working Party in geen geval functioneel zijn:

  • Tracking cookies van social networks en van adverteerders
  • Cookies voor statistische doeleinden, ook al lijkt de Working Party het erover eens dat het privacy risico hier klein is voor zover het gaat om first party cookies.  Third Party statistische cookies lijkt de Working Party wél als problematisch te zien, wat enigszins verbazend is.  Dit betekent immers dat de cookies van statistische tools als Google Analytics niet als functionele cookies beschouwd kunnen worden en dat daarvoor dus wel expliciet de voorafgaande toestemming nodig is.

We wijzen er nog even op dat de Article 29 Working Party géén wetgevend orgaan is en dat zij alleen maar advies en opinies geven (die door de EU wel ernstig worden opgevolgd en in overweging worden genomen).  De commissie is samengesteld uit vertegenwoordigers van de meeste nationale privacy organen.  Voor België zetelt in de Working Party bijvoorbeeld de voorzitter van de Privacycommissie.  Aan de adviezen mag dan ook met recht enig belang worden toegekend.