Wetsvoorstel regelt cookietoestemming vanuit browser

Mensen, het woord Cookie c.q. Browser komt niet voor in het wetsvoorstel.  For help: Het gewraakte wetsartikel staat op pagina 17, onderste helft. Althans, de veranderingen. Ik zie nog niet helemaal waar browserinstellingen voldoende zijn.  Waarschijnlijk omdat bij toestemming het woord "vooraf" is geschrapt, en omdat het wel mag als het voor de uitvoering van je site "strikt noodzakelijk" is.  Misschien lees ik verkeerd, maar dan is de browser-instellingen een volgens mij een kort-door-de-bocht conclucie. Zijn er juristen in de zaal die ons meer duidelijkheid kunnen verschaffen? Ik zie nog steeds staan "toestemming voor desbetreffende handeling" ergo elke keer dat je wat opslaat vergt toestemming. Blijft voor mij ook vaag: wat is "strikt noodzakelijk"? Voor een bannerboer is cookies strikt noodzakelijk? Dat moet nog steeds met jurisprudentie ingevuld worden. Voor je eigen site strikt noodzakelijk?  Wat ik er ook niet in lees is hoe het nou zit met third party cookies; de sprong van de wet naar de conclusie is wat groot, is er iemand van Kennedy van der Laan of de ICT-Office of andere specialist die ons kan verlichten? Dus ik snap het verkeerd of het is nog steeds best wel streng. Wie o wie legt het uit? Verder lees ik wel nog ff:- Dat er nog aanvullende regels bij kunnen worden bedacht (als de huidige regels verkeerd uitpakken) waarmee de toch al als "symboolpolitiek" gekenmerkte regelgeving helemaal in het primaat van de politiek terecht kan komen. Ergo als er een populist met gek haar cookies tot Het Kwaad verklaart, kan alles weer veranderen. pag. 16: als je gehackt bent en je slaat persoonsgegevens op, moet je je melden bij het CPB 

@ BasJe hebt gelijk. Voor cookies (en andere technieken) gaat een opt-in in plaats van een opt-out regime gelden en dit is strenger. Dat er geen voorafgaande ondubbelzinnige toestemming meer nodig is, neemt niet weg dat er wel toestemming nodig is om een cookie te plaatsen. Je hebt nu alleen iets meer speelruimte om dit in te vullen.  Hoe dit ingevuld gaat worden is nog onduidelijk. De overheid kan nadere regels opstellen door een Algemene Maatregel van Bestuur. En Kamerleden kunnen bij de behandeling van het wetsvoorstel in de Kamer ook nog amendementen over het toestemmingsvereiste indienen. Door amendementen pakte het bel-me-niet register vorig jaar nog een stuk strenger uit. Een beetje houvast voor invulling van het toestemmingsvereiste vind je in de Wet Bescherming Persoonsgegevens. Hier staat bijvoorbeeld dat iemand ge?nformeerd moet zijn om toestemming te kunnen geven ( weten waar je ja tegen zegt) en dat die toestemming vervolgens ook kan blijken uit gedrag. De Europese Commissie gaf in haar voorwoord bij de Richtlijn E-Privacy al aan dat beveiligingsinstellingen van je browser onderdeel uit kunnen maken van gedrag waaruit toestemming blijkt. We moeten onze webbezoeker dan wel van betere informatie voorzien. Want niemand leest een privacy statement, toch? Daarom pleit de branche voor duidelijke informatie middels een cookiezegel op iedere homepage. Daar kan men lezen wat vastgelegd wordt en waarom. Vervolgens kan hij kiezen of hij ja of nee wil doorsurfen.

@Jitty, dat zegt het artikel naar mijn weten niet, in punt 3 wordt namelijk min of meer gezegd, dat voor het juist technisch laten functioneren deze toestemming niet nodig is, denk hierbij aan een session cookie waarmee een webserver jou kan herkennen gedurende een sessie (zodat bijvoorbeeld je shoppingcart werkt als je niet ingelogd bent). Voor alle niet essentieele zaken (zoals bannertracking) is naar mijn weten dus een optin nodig.

@KoosDat klopt! Zeg ik iets anders? Voor cookies die nodig zijn voor het functioneren van een dienst of het verzenden van communicatie (je shopping cart e.d.) maakt het artikel een uitzondering. Voor de rest is toestemming nodig, opt-in dus. Daar is geen twijfel mogelijk: de vraag is alleen hoe je die toestemming moet invullen. Daar is ruimte voor discussie. Moet dit via een actieve handeling, of kan je dit uitdrukken door gedrag? Dat je toestemming ook middels je browser zou kunnen geven heeft de Europese Commissie zelf aangegeven in haar voorwoord bij de E-Privacy Richtlijn, die door deze wijzigingen in onze nationale wetgeving wordt ge?mplementeerd. 13 EU lidstaten hebben bovendien een verklaring aangeboden aan de Europese Commissie waarin zij aangeven dat zij browserinstellingen gaan hanteren als uitwerking van de toestemmingsvereiste. Onder meer Frankrijk en Oostenrijk hebben de Richtlijn al op deze manier ge?mplementeerd.  De brancheverenigingen pleiten voor een gelijke implementatie, dus toestemming via browsersettings met een duidelijke informatieplicht. Omdat andere invulling van die toestemming de concurrentiepositie van Nederlandse bedrijven ondermijnt. Dan wordt de cookiewet voor internet, de vliegtaks voor de toeristische sector;-)

@Jitty, ik interpreteerde je reactie anders, maar kennelijk denken we dus het zelfde :)Overigens hoop ik niet dat men blind uit gaat van browserinstellingen, anders vrees ik dat er helemaal niets veranderd.

@Jitty: kijk dat is nou waar je jurist voor bent en ik niet; jij weet het kader. Dank voor het kennisdelen.  Mijn conclusie op basis van de nieuwe informatie: de nieuwe wet doet een gooi in een bepaalde richting en met wat kennis van de context hebben we een richting van wat vermoedelijk de bedoeling is. Min of meer.  En voor de rest mag en zal het ingevuld en aangeplakt worden met ministeri?le besluiten en amandementen. Wat dus 'toestemming' inhoudt is betrekkelijk vaag. En wat 'strikt noodzakelijk' is ook.  Ik dacht altijd: in de wet staat precies wat wel en niet mag en wat wel en niet moet. Zo werkt het dus niet, blijkbaar. Het is meer een ruwe bonk klei die nog helemaal gevormd kan worden. Ik weet as nonjurist niet of dit gewoon een slecht geschreven wet is, of dat 't altijd zo gaat. Als ik zulke afspraken met mijn klanten zou maken, had ik een 100% garantie op enorme misverstanden. Eigenlijk is dit wetsvoorstel slechter nieuws dan een voorstel met duidelijke regels van wat wel en niet mag. @Koos: Of sessie-cookies vallen onder 'strikt noodzakelijk', dat staat volgens mij nergens. Wat 'strikt noodzakelijk' is, daar kunnen technici, rechters, advocaten, activisten en totale dombo's een heel andere mening over hebben.  Je kunt ook betogen dat sessie-cookies helemaal niet onder de wet vallen, omdat er niks op "de randapparatuur opgeslagen" wordt, als je je browser quit is het weg. Je kunt ook betogen dat sessie-cookies helemaal niet nodig zijn, je kunt in principe lettergrootte of de inhoud van een winkelmandje ook via het URL meegeven. Maar in de fundamentalistische 'cookies are evil' uitleg is een cookie zelden strikt noodzakelijk.  @Jitty: Dus pas als er wat rechtszaken over gevoerd zijn weten we echt waar we aan toe zijn. Voor jou breken binnenkort gouden tijden aan!!! 🙂

@Bas, juristen zijn altijd dolblij met onduidelijke wetgeving. Lekker aan de bak 😉 Ik lees net dat het trouwens nooit de bedoeling is geweest van het Europees parlement een opt-in voor cookies te introduceren.  In een recent interview in een rechtstijdschrift legt Privacy rapporteur voor de Europese Commissie, Alexandro Alvaro, uit dat het niet de bedoeling was van het Europees Parlement een opt-in voor cookies te introduceren. De betreffende bepaling (5.3) was veel meer gericht op spyware. Je kunt de bepaling volgens Alvaro dan ook niet los zien van de toelichting, waarin staat dat browserinstellingen ook toestemming impliceren. De uitspraken van Alvaro werpen de nodige duidelijkheid op de bedoelingen van de Europese Commissie: ???Had the Parliament intended [for example] the placing of all cookies on a user?s terminal to require ?prior? and/or ?explicit? consent, it would have adopted such language.?? Artikel is te downloaden op http://www.ddma.nl 

@Bas Groot, via de een cookie of via een url meegeven maakt natuurlijk niet uit, feitelijk gezien zal deze informatie toch ook weer ergens op je harde schijf of memory weggeschreven worden. Ik vind ook dat de wet zich helemaal niet moet richten op technische implicaties, maar juist op morele, HOE een website technisch zaken op lost is niet relevant, wel WAT ze met userdata doen.

@Jitty: nou mooie boel is dat. Ik vond die europese richtlijn ook al zo vaag: "such as certain types of cookies" staat er. Wist Alvaro veel dat cookies geen spyware zijn… En vervolgens krijg je een keten van misinterpretaties en maken we er een belachelijke wet van waar dus helemaal niks van klopt.  Hoe kunnen we deze info bij Maxime Verhagen of een paar relevante parlementsleden krijgen?

@Koos: en de moraliteit, daar zeggen ze nou juist -niks- over. Hadden ze nou goede regels gesteld over wat je met de data wel en niet mag. Want met cookies is niks mis, maar met informatie weggeven of verkopen is wel iets mis mee. Maar informatiegebruik zegt deze wet niks over. In plaats daarvan criminaliseren ze een volstrekt normaal en legitiem onderdeel van het internet.  Ik vraag me dan af of dit dezelfde megolen zijn, die een keer ontzettend hard hun kop gestoten hebben tegen een lage deurpost en toen de sterretjes weggetrokken waren, meteen ook hebben bedacht niet kan worden bewezen dat met zekerheid is uit te sluiten dat van GSM antennes een oncogene werking uitgaat, of dat schoolkinderen evenwichts- en concentratiestoornissen krijgen van de nabijheid van een elektriciteitshuisje of dat de natuur ontregeld wordt door lichtvervuiling. En dat cookies het Rijk der Kwaad zijn.

@BasInderdaad belangrijk dat deze informatie bij de Kamer komt! Ik heb met DDMA een aantal afspraken met kamerleden ingepland. Keep you posted!

@Jitty: Nou blijkt dat alle tweedekamerleden een flabje.flobje@tweedekamer.nl adres hebben. Ik overweeg om de twee relevante partijgenoten een mail te sturen met zo kort mogelijk een paar punten van aandacht. Maar dan moet het wel iets zijn waar ze wat mee kunnen. Alleen maar zeuren en klagen kunnen die mensen natuurlijk niks mee.  Ik denk dat belangrijk is: a) het verbieden van cookies is volgens de opsteller van de EU richtlijn nooit de bedoeling geweest, zegt ie zelf. Hij dacht dat cookies een soort spyware zijn maar dat is echt 'de klok horen luiden'. b) cookies zijn niet Het Kwaad. Zonder toestemming informatie aan derden geven is Het Kwaad. Ik zou willen propageren dat de bezoeker DAAR toestemming voor moet geven.  c) wat de wet erg ondoorzichtig maakt is dat de sleutelwoorden "toestemming" en "strikt noodzakelijk" nu volstrekt rekbare begrippen zijn. Tot er jurisprudientie is, kan de industrie er niks mee. Dat zou helderder moeten.  d) Mede doel van de wet was bewustwording bij het publiek, maar als er eerst een paar jaar rechtszaken gevoerd moeten worden voor duidelijkheid, schiet de wet als bewustwordingsmiddel zijn doel volledig voorbij.  e) Er moet duidelijkheid komen of randapparatuur-instellingen als 'toestemming' gelden.  f) Voor partijen als makers van statistiek-software en reclame-toepassingen zijn cookies strikt noodzakelijk, anders werkt het niet goed. Maar zijn cookies die is niet van de site zelf zijn. Geldt dat als "strikt noodzakelijk"? Reclame is vaak noodzakelijk voor websites om te overleven.  

Het europees parlement loopt enigzins achter de techniek aan, sinds https://panopticlick.eff.org/ de eff eerder dit jaar 'cookieless tracking' introduceerde. De techniek daarachter (een gebruiker herkennen op basis van een combinatie van allerlei beetjes informatie) is al langer in gebruik bij malafide sites.  Deze regels betekenen eigenlijk alleen maar extra rompslomp voor de goeden, de slechten (die toch al buiten de wet opereren) zullen er niet van wakker liggen.  Veel belangrijker is het dat malware/spyware etc direct schade toebrengt aan de consument en aan de infrastructuur (door toenemende belasting), dat zou wat mij betreft in het strafrecht opgenomen mogen worden, voor zover de huidige regelgeving daar nog niet voldoende ruimte voor geeft.

@Jacques Mattheij, wetgeving op basis van techniek is zinloos, binnen de kortste keren loopt je wetgeving achter, en het duurt jaren om dat weer recht te breiden, overigens is deze ook wel aardig: http://samy.pl/evercookie/ hier gebruikt men zo een beetje alle mogelijke technieken om iets bij de gebruiker op te slaan, en dat is heel wat meer als alleen cookies 🙂

@betrokkenen:  Ik heb inmiddels de stukken gevonden waarin staat hoe het voorstel gaat worden na de marktconsultatie en advies van de Raad van State. Het ziet er naar uit dat de soep niet zo heet gegeten wordt en dat er alsnog een hanteerbare en relatief duidelijke wettekst uit gaat komen, zie: https://zoek.officielebekendmakingen.nl/dossier/32549/kst-85796?resultIndex=0&sorttype=1&sortorder=4 Download het PDFje aan de rechterkant en zie pagina 4 en verder, waar artikel 11.7a, de gewraakte Cookiewet wordt aangehaald. Daarin staat expliciet vermeld dat browserinstellingen voldoende zijn. Men geeft aan dat bekend is dat het niet 100% sluitend is, en daarom is een mogelijkheid opgenomen om extra maatregelen te nemen indien nodig.  Ze noemen zelf al een voorbeeld om het te omzeilen dmv Flash die tegenwoordig stukjes tekst op je HD mag zetten.  Maar dat is in de geest van de wet correct te amenderen, omdat de wet niet de techniek beschrijft maar alleen het kale feit dat gegevens worden opgeslagen.  Of dat dan met Flash, HTML5 database-functies of hoe dan ook gebeurt, als de browser in privacy mode staat mag dat gewoon niet. Ik voorzie dat de privacy modus van browsers steeds meer van dat soort gaten zal dichten, niet alleen omdat de EU of de Nederlandse regering dat wil, maar omdat de consument ook zal verlangen dat de privacy-modus echt priv? is.  Aan de server-kant zegt deze wet niks. Profiling mag en is weinig tegen te doen, want dat is allemaal server-side.  Wat blijft is dat het weggeven van informatie aan derden er niet in staat, maar daarbij kun je betogen dat dat niet in de Telecommunicatiewet thuishoort maar in de Wet Bescherming Persoonsgegevens.  @Jitty of andere juristen: Biedt de web bescherming persoonsgegevens enige waarborg tegen het weggeven van informatie naar derde partijen op het internet? Bijvoorbeeld mag een bannerboer die op 1000 sites adverteert en een database met de individuele bezoekhistorie van die 1000 sites verkopen een eindklant? Dat hij het voor zichzelf mag bijhouden lijkt me voor de hand liggen.    

@BasDerdeverstrekking is inderdaad het domein van de Wet Bescherming Persoonsgegevens. In principe mag je gegevens aan derden verstrekken zonder toestemming van de consument. Je moet hem hier wel over ge?nformeerd hebben, bijvoorbeeld in je privacy statement. En je moet hem gelegenheid bieden zich hiertegen te verzetten (=opt-out) Voor doorgifte van bijvoorbeeld emailadressen, die al onder het opt-in regime vallen, heb je wel toestemming nodig van een consument.  In het geval van je bannerboer zijn een aantal dingen van belang. Heeft hij: A) derdeverstrekking van surfgedrag voor verzameling vastgelegd als een doel van zijn gegevensverwerking (en dit ook gemeld bij het College Bescherming Persoonsgegevens) B) De bezoeker ten tijde van het verzamelen van het surfgedrag ge?nformeerd dat zijn persoonsgegevens voor derdenverstrekking worden vastgelegd en misschien ook wel worden verrijkt. c) Biedt hij gelegenheid tot opt-out Hier ligt natuurlijk weer een probleem bij het informeren. Want hoe doe je dit als je als affiliatepartij op een site van een adverteerder banners vertoont? Is een webbezoeker dan ge?nformeerd? En stel nou dat je concludeert dat dit niet het geval is. Dan is er nog het probleem van de handhaving. Dit soort dingen mag op basis van de huidige wetgeving al niet. Daar hoeven we geen nieuwe regels voor te gaan bedenken, we moeten bestaande regels gaan handhaven.

@Jitty: dank voor de kennis en kunde, helder verhaal. Ik dacht dat dat gewoon helemaal niet mocht. Maar de regel is blijkbaar: als je het maar zegt, en een opt-out geeft, dan mag je de info weggeven of verkopen. Mee eens dat het probleem niet is dat er te weinig regels zijn, maar dat de bestaande regels niet gehandhaafd worden. Of niet te handhaven zijn. Dat is dan de discussie. Bij bannering is handhaving inderdaad erg lastig. Je zou via een linkje naar de afzender "Ads by Google" de opt-out en privacy statement kunnen regelen, maar het betekent dat er dus bij een advertentie altijd een woordje of linkje moet waar je kunt klikken voor die dingen.  Bij statistieken en effectiviteitsmetertjes is het nog veel lastiger, dan moet de website-aanbieder op zijn privacy statement pagina een opt-out link neerzetten, waarmee Google Analytics e.d. jou niet meer gaan tellen. Dan is een cookie-wet toch wel handig.  De laatste loophole is een bedrijf dat de gegevens niet weggeeft maar houdt en zelf gaat exploiteren zonder de privacy aan derden te onthullen.

NIEUWS!  De minister gaat accoord met de aanbevelingen van de Raad van State: https://zoek.officielebekendmakingen.nl/kst-32549-4.html Zoek naar de tekst 3. Artikel 11.7a van de Telecommunicatiewet Wel met de kanttekening dat wanneer de EU een europese uitwerking van die regeling gaat maken, Nederland die zal overnemen, dus de toekomst is nog een beetje onzeker, maar aangezien de EU zelf al aangeeft dat de soep niet zo heet gegeten zal worden, kan volgens mij de bannersector enigszins opgelucht ademhalen.