Vereisen alle cookies toestemming?

Analyse van regelgevingskaders toont aan dat niet alle cookies aan dezelfde toestemmingsvereisten zijn onderworpen. De ePrivacyrichtlijn (Richtlijn 2002/58/EG), vaak de "EU-cookiewet" genoemd, maakt een duidelijk onderscheid tussen strikt noodzakelijke cookies en andere soorten cookies. Volgens artikel 5, lid 3, “is toestemming niet vereist voor de technische opslag of toegang die strikt noodzakelijk is voor het legitieme doel om het gebruik van een specifieke dienst mogelijk te maken waar de abonnee of gebruiker uitdrukkelijk om heeft verzocht.”

Empirisch onderzoek naar websitepraktijken bevestigt dat strikt noodzakelijke cookies—die vereist zijn voor kernfunctionaliteiten zoals sessiebeheer, winkelwagentjes en beveiligingsfuncties—routinematig worden geplaatst zonder uitdrukkelijke toestemming van de gebruiker. Authenticatietokens voor inloggen en cookies voor het onthouden van winkelwagentjes vallen bijvoorbeeld onder deze uitzondering. Deze bevindingen komen overeen met de richtlijnen van regelgevende instanties, waaronder het Europees Comité voor gegevensbescherming (EDPB, 2020), die stelt:

• “Cookies die essentieel zijn voor de werking van een website, vereisen geen toestemming.”

Omgekeerd komen cookies die worden gebruikt voor analyse, reclame of personalisatie niet in aanmerking voor de uitzondering en vereisen dus voorafgaande geïnformeerde toestemming van gebruikers. Deze tweedeling wordt expliciet ondersteund door artikel 6 van de GDPR, dat een wettelijke basis vereist voor het verwerken van persoonsgegevens, verder versterkt door Overweging 30 die online identificatoren als persoonsgegevens identificeert.

Een evaluatie van nationale implementaties (bijv. de Britse Privacy and Electronic Communications Regulations—PECR, de richtlijnen van het Franse CNIL) bevestigt een consistente aanpak:

• Toestemming is niet nodig voor essentiële cookies.
• Toestemming is verplicht voor niet-essentiële cookies (bijv. voor tracking, profilering).

Praktische effectbeoordelingen tonen aan dat de meeste websites nu cookiebanners gebruiken die onderscheid maken tussen essentiële en niet-essentiële cookies, en gebruikers gedetailleerde controle bieden. Deze aanpak minimaliseert nalevingsrisico's en sluit aan bij de verwachtingen van de regelgevers.

Samenvattend ondersteunen de analyse van de regelgeving en de waargenomen praktijk de conclusie:

• Strikt noodzakelijke cookies zijn volgens de EU-wetgeving vrijgesteld van toestemmingsvereisten.
• Alle andere categorieën cookies vereisen uitdrukkelijke toestemming van de gebruiker voordat ze worden geplaatst.

Dit onderscheid is nu standaardpraktijk in nalevingsstrategieën in rechtsgebieden die onder de ePrivacyrichtlijn en de GDPR vallen.